Privacybeleid

CVeetje ("wij", "ons" of "onze") respecteert je privacy en is toegewijd aan het beschermen van je persoonsgegevens. Dit privacybeleid legt uit hoe wij je gegevens verzamelen, gebruiken, opslaan en beschermen wanneer je onze website en diensten gebruikt.

Dit beleid is van toepassing op alle gebruikers van CVeetje, inclusief bezoekers van onze website en geregistreerde gebruikers van onze dienst.

Door gebruik te maken van CVeetje, ga je akkoord met de verwerking van je gegevens zoals beschreven in dit privacybeleid.

CVeetje is een dienst van GroeimetAI en is de verwerkingsverantwoordelijke voor de persoonsgegevens die via onze dienst worden verzameld.

Bedrijfsgegevens: GroeimetAI Fabriekstraat 20 7311GP Apeldoorn Nederland

KvK-nummer: 90102304 BTW-nummer: NL004787305B79 E-mail: info@groeimetai.io

Voor vragen over dit privacybeleid of de verwerking van je persoonsgegevens kun je contact met ons opnemen via bovenstaand e-mailadres.

Wanneer je een account aanmaakt, verzamelen wij:

• E-mailadres • Naam (indien opgegeven) • Profielfoto (indien je inlogt via Google of Apple) • Wachtwoord (versleuteld opgeslagen)

Als je inlogt via Google of Apple, ontvangen wij bepaalde profielgegevens van deze diensten conform hun privacybeleid.

Om CV's te genereren, verzamelen wij de informatie die je invoert:

• Persoonlijke gegevens (naam, contactgegevens, locatie) • Werkervaring en functiebeschrijvingen • Opleiding en certificeringen • Vaardigheden en competenties • Profielfoto's die je uploadt • LinkedIn-profieldata (als je deze plakt of importeert) • Screenshots of documenten van oude CV's

Je bepaalt zelf welke informatie je invoert. Wij raden aan alleen informatie te delen die relevant is voor je CV.

Wij verzamelen automatisch bepaalde informatie over je gebruik van de dienst:

• IP-adres en apparaatinformatie • Browsertype en -versie • Pagina's die je bezoekt en functies die je gebruikt • Datum en tijd van je bezoeken • Referrer-informatie (hoe je bij ons kwam)

Deze gegevens worden geanonimiseerd voor analytische doeleinden.

Wij gebruiken je gegevens voor de volgende doeleinden:

• Het leveren van onze dienst: Het genereren van CV's, motivatiebrieven en LinkedIn-content op basis van je profielgegevens.

• Accountbeheer: Het aanmaken en beheren van je account, het verwerken van betalingen, en het bijhouden van je creditsaldo.

• Communicatie: Het sturen van belangrijke serviceberichten, zoals bevestigingen van aankopen of wijzigingen in onze voorwaarden.

• Verbetering van de dienst: Het analyseren van gebruikspatronen om onze dienst te verbeteren (alleen geanonimiseerde data).

• Fraudepreventie: Het detecteren en voorkomen van frauduleus of ongeautoriseerd gebruik.

• Wettelijke verplichtingen: Het voldoen aan wettelijke verplichtingen, zoals belastingadministratie voor betalingen.

Wij verwerken je persoonsgegevens op basis van de volgende rechtsgronden (conform de AVG/GDPR):

• Uitvoering van een overeenkomst: De verwerking is noodzakelijk voor het leveren van de dienst die je hebt aangevraagd (artikel 6(1)(b) AVG).

• Toestemming: Voor bepaalde verwerkingen vragen wij je expliciete toestemming, bijvoorbeeld voor het opslaan van je profielgegevens (artikel 6(1)(a) AVG).

• Gerechtvaardigd belang: Voor het verbeteren van onze dienst en het voorkomen van fraude, waarbij wij je belangen en rechten in acht nemen (artikel 6(1)(f) AVG).

• Wettelijke verplichting: Voor het voldoen aan wettelijke verplichtingen, zoals belastingwetgeving (artikel 6(1)(c) AVG).

Wij verkopen je persoonsgegevens niet aan derden. Wij delen je gegevens alleen in de volgende situaties:

• Met subverwerkers: Zie sectie 7 én onze publieke subverwerkers-pagina (/sub-processors) voor het volledige actuele overzicht inclusief vestigingsland en juridische waarborgen.

• Met AI-providers: Bij Platform AI sturen wij prompt-data naar Anthropic onder een verwerkersovereenkomst (DPA) + EU Standard Contractual Clauses. Bij eigen API-sleutel (BYOK) wordt je profieldata rechtstreeks naar de door jou gekozen provider gestuurd onder hun eigen voorwaarden.

• Bij wettelijke verplichting: Als wij hiertoe wettelijk verplicht zijn, bijvoorbeeld bij een gerechtelijk bevel of melding aan de Autoriteit Persoonsgegevens.

• Bij bedrijfsoverdracht: Bij een fusie, overname of verkoop van activa kunnen je gegevens worden overgedragen aan de nieuwe eigenaar; je wordt hierover tijdig geïnformeerd en kunt je account verwijderen vóór de overdracht.

Wij gebruiken Firebase (Google Cloud) voor:

• Authenticatie (Firebase Auth — inloggen en accountbeheer) • Database (Cloud Firestore — opslag van profielen, CV's, transacties) • Bestandsopslag (Cloud Storage — uploads, profielfoto's, gegenereerde bestanden) • Hosting (Cloud Run voor de webapp)

Onze productie-omgeving draait in europe-west4 (Eemshaven, Nederland). Primaire data wordt dus in Nederland opgeslagen. Google is gecertificeerd onder het EU-US Data Privacy Framework en hanteert EU Standard Contractual Clauses voor eventuele intra-Group transfers.

Verwerkersovereenkomst: https://cloud.google.com/terms/data-processing-addendum Privacy: https://firebase.google.com/support/privacy

Wij gebruiken Mollie voor het verwerken van betalingen. Wanneer je credits koopt, worden je betalingsgegevens rechtstreeks door Mollie verwerkt. Wij ontvangen alleen een bevestiging van de betaling, niet je volledige betaalgegevens.

Mollie is gevestigd in Nederland en verwerkt data conform de AVG.

Meer informatie: https://www.mollie.com/nl/privacy

Voor het genereren van CV-content worden AI-modellen op twee manieren ingezet:

1. Platform AI (onze ingebouwde AI): Wij bieden Claude van Anthropic (momenteel Claude Opus 4.7) aan. Bij Platform AI is GroeimetAI de verwerkingsverantwoordelijke en Anthropic de verwerker. Wij hebben een DPA met Anthropic, inclusief EU Standard Contractual Clauses (module 2). Je profielsamenvatting en de vacaturetekst worden naar Anthropic verstuurd. Anthropic gebruikt deze data niet voor het trainen van AI-modellen (Anthropic Commercial Terms of Service).

2. Eigen API-sleutel (BYOK): Je kunt je eigen API-sleutel meenemen van een ondersteunde provider (OpenAI, Anthropic, Google Gemini, Mistral, Groq, DeepSeek, Together, Fireworks, Azure, Cohere e.a.). In dat geval ben jij zelf verwerkingsverantwoordelijke richting de provider en bewaart CVeetje alleen je versleutelde sleutel (AES-256) plus je modelkeuze.

De volledige actuele lijst van AI- en infrastructuur-subverwerkers vind je op /sub-processors. Meer over hoe wij AI inzetten staat op /ai-transparency.

CVeetje maakt beperkt gebruik van cookies en lokale opslag:

• Essentiële cookies: Voor het functioneren van de website (inlog, taalkeuze, cookie-consent). Deze zijn strikt noodzakelijk en vereisen geen toestemming (Telecommunicatiewet art. 11.7a lid 3 sub a/b).

• Analytics cookies (optioneel): Voor anonieme gebruiksstatistieken via Google Analytics 4. Alleen geladen na expliciete toestemming, met IP-anonimisering en zonder advertising-features.

Je kunt je toestemming op elk moment intrekken via de knop "Cookie-instellingen" in de footer of via onze cookies-pagina (/cookies). Onder AVG art. 7 lid 3 is intrekken net zo makkelijk als geven.

Het volledige overzicht van alle cookies en bewaartermijnen staat op /cookies.

Wij bewaren je gegevens niet langer dan noodzakelijk:

• Accountgegevens: Worden bewaard zolang je account actief is. Bij verwijdering van je account worden je gegevens binnen 30 dagen definitief verwijderd.

• Profielgegevens: Worden bewaard zolang je ze opslaat in je account. Je kunt profielen op elk moment zelf verwijderen.

• Gegenereerde CV's: Worden bewaard in je account totdat je ze verwijdert of je account beëindigt.

• Transactiegegevens: Worden conform wettelijke vereisten (belastingwetgeving) 7 jaar bewaard.

• Loggegevens: Worden na 90 dagen geanonimiseerd of verwijderd.

Onder de AVG (GDPR) heb je de volgende rechten met betrekking tot je persoonsgegevens:

• Recht op inzage: Je kunt opvragen welke gegevens wij van je verwerken. • Recht op rectificatie: Je kunt onjuiste gegevens laten corrigeren. • Recht op verwijdering: Je kunt verzoeken om verwijdering van je gegevens ("recht om vergeten te worden"). Zelf­service via Instellingen → Account → Account verwijderen. • Recht op beperking: Je kunt verzoeken de verwerking van je gegevens te beperken. • Recht op overdraagbaarheid: Je kunt je gegevens als gestructureerd JSON-bestand downloaden via Instellingen → Account → Mijn gegevens exporteren (AVG art. 20). • Recht van bezwaar: Je kunt bezwaar maken tegen verwerking op basis van gerechtvaardigd belang. • Recht om toestemming in te trekken: Je kunt eerder gegeven toestemming op elk moment intrekken (bijv. cookie-toestemming via je browser). • Recht op informatie over geautomatiseerde besluitvorming: CVeetje neemt géén geautomatiseerde beslissingen met rechtsgevolgen voor jou.

Voor het uitoefenen van deze rechten kun je contact met ons opnemen via info@groeimetai.io. Wij reageren binnen 30 dagen op je verzoek (kosteloos bij eerste verzoek per kalenderjaar).

Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl).

Je gegevens kunnen worden verwerkt buiten de Europese Economische Ruimte (EER), namelijk:

• Door Anthropic (VS) voor Platform AI: onder EU Standard Contractual Clauses (module 2) en een uitgevoerde Transfer Impact Assessment. Inputs/outputs worden niet gebruikt voor modeltraining.

• Door Google (VS/intra-Group): EU-US Data Privacy Framework + Standard Contractual Clauses. Primaire opslag staat in europe-west4 (Nederland) — alleen supportgegevens kunnen in de VS worden bekeken.

• Door GitHub (VS) voor feedback-issues: EU-US Data Privacy Framework + Microsoft DPA.

• Door Firebase Trigger Email extension (us-central1): voor het versturen van transactionele e-mails. Bron-data staat in EU Firestore; alleen de tijdelijke verzendwachtrij draait in de VS.

Wij hebben voor elke doorgifte beoordeeld dat het beschermingsniveau van de AVG gewaarborgd blijft door middel van adequaatheidsbesluiten (EU-US DPF, UK), contractuele waarborgen (SCC's), technische maatregelen (encryptie) en organisatorische maatregelen (toegangsbeperking, audit logging).

Wij nemen de beveiliging van je gegevens serieus en hebben passende technische en organisatorische maatregelen getroffen:

• Versleuteling in transit: alle verkeer via HTTPS/TLS 1.2+. • Versleuteling at rest: alle Firestore- en Storage-data worden door Google encrypted-at-rest opgeslagen (AES-256, Google-managed keys). • API-sleutels: opgeslagen API-sleutels van gebruikers worden separately versleuteld met AES-256-GCM (env-key ENCRYPTION_KEY). • Authenticatie: Firebase Authentication met optionele OAuth providers (Google, Apple); wachtwoorden worden door Firebase gehashed opgeslagen — wij zien je wachtwoord nooit. • Toegangsbeperking: server-side admin-routes controleren expliciet rechten via verifyAdminRequest(); Firestore Security Rules op user-level scoping. • Misbruikdetectie: reCAPTCHA v3 bij registratie en login; rate limiting op kritieke endpoints. • Admin audit log: elke admin-actie die persoonsgegevens raakt (impersonation, credit-mutatie, rol-wijziging, account-verwijdering) wordt onveranderlijk gelogd in een aparte Firestore-collectie met admin-UID, target-UID, IP en timestamp (AVG art. 32 lid 1). • Verantwoorde disclosure: zie /.well-known/security.txt voor responsible-disclosure procedure. • Datalek-procedure: meldplicht binnen 72 uur aan de Autoriteit Persoonsgegevens conform AVG art. 33; melding aan betrokkenen indien hoog risico (art. 34).

Ondanks deze maatregelen kunnen wij geen 100% veiligheid garanderen. Bij een (vermoeden van) datalek of beveiligingsincident kun je ons direct bereiken via info@groeimetai.io.

CVeetje is niet bedoeld voor kinderen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen onder deze leeftijd.

Bij registratie met e-mail/wachtwoord moet je expliciet bevestigen dat je 16 jaar of ouder bent (AVG art. 8). Deze bevestiging wordt opgeslagen in je account-document als bewijslast.

Voor registratie via Google of Apple geldt dat deze providers eigen leeftijdsverificatie uitvoeren conform hun eigen voorwaarden.

Als je ouder of voogd bent en ontdekt dat je kind gegevens aan ons heeft verstrekt, neem dan contact op via info@groeimetai.io zodat wij het account kunnen verwijderen.

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze praktijken of om juridische redenen weer te geven.

Bij significante wijzigingen zullen wij:

• De "laatst bijgewerkt" datum bovenaan dit beleid aanpassen • Je per e-mail informeren als je een account hebt • Een melding tonen in de applicatie

Wij raden aan dit privacybeleid regelmatig te raadplegen. Voortgezet gebruik van de dienst na wijzigingen houdt acceptatie van het bijgewerkte beleid in.

Voor vragen, opmerkingen of verzoeken met betrekking tot dit privacybeleid of de verwerking van je persoonsgegevens kun je contact met ons opnemen:

GroeimetAI Fabriekstraat 20 7311GP Apeldoorn Nederland

KvK-nummer: 90102304 BTW-nummer: NL004787305B79 E-mail: info@groeimetai.io

Wij streven ernaar binnen 5 werkdagen te reageren op algemene vragen en binnen 30 dagen op verzoeken met betrekking tot je rechten onder de AVG.