Compliance & Wetgeving

• Verwerkingsverantwoordelijke: GroeimetAI, Fabriekstraat 20, 7311GP Apeldoorn.
• Rechtsgrond: uitvoering overeenkomst (art. 6 lid 1 sub b) voor accountdata; toestemming (sub a) voor analytics; gerechtvaardigd belang (sub f) voor beveiliging en misbruikdetectie.
• Dataresidentie: primaire opslag in Nederland (europe-west4). Internationale doorgifte aan Anthropic (VS) onder SCC's + TIA.
• Bewaartermijnen: accountdata zolang account actief, daarna max. 30 dagen tot definitieve verwijdering; betaalbewijzen 7 jaar (fiscale plicht).
• Recht op inzage, rectificatie, verwijdering, beperking, bezwaar en dataportabiliteit — uit te oefenen via instellingen of via info@groeimetai.io.
• Dataportabiliteit: in-app data-export als gestructureerde JSON (AVG art. 20).
• Account-verwijdering: zelfservice via Instellingen → Account → Account verwijderen. Verwijdert Auth, Firestore en Storage.
• Datalekken: meldplicht binnen 72 uur bij de Autoriteit Persoonsgegevens en, waar nodig, aan betrokkenen.
• Toezichthouder: Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

CVeetje is geen high-risk AI-systeem in de zin van Annex III. Wij beoordelen, screenen of selecteren géén kandidaten namens werkgevers — CVeetje is uitsluitend een schrijfhulp voor de gebruiker zelf. Op grond van Artikel 6 lid 3 onder b vallen wij buiten high-risk omdat de AI bedoeld is voor het verbeteren van het resultaat van een eerder voltooide menselijke activiteit (jouw eigen werkervaring, opleiding, vaardigheden).

• Risicoclassificatie: beperkt risico (limited risk). Documentatie beschikbaar voor toezichthouders.
• Art. 50 transparantie: bij iedere AI-actie zie je vooraf welk model wordt ingezet (Platform AI of jouw eigen sleutel).
• AI-output is duidelijk gelabeld als gegenereerd door AI. De gebruiker controleert en bewerkt de output altijd zelf.
• AI-geletterdheid (art. 4): deze pagina, /ai-transparency en in-app uitleg dragen bij aan begrip van wat AI wel/niet doet.
• Geen verboden praktijken (art. 5): geen subliminale beïnvloeding, geen social scoring, geen exploitatie van kwetsbare groepen.
• GPAI-deployer: wij gebruiken Anthropic Claude (een general purpose AI model) als afnemer; eigen logging van inputs/outputs voor incident-onderzoek.
• Strenge anti-hallucinatie-regels in prompts: AI mag geen ervaring, opleiding of vaardigheden verzinnen die niet in jouw profiel staan.
• Disputes-flow: als de AI iets fouts genereert, kun je dat melden; een gatekeeper-LLM beoordeelt het bezwaar en regenereert correct.