Privacyverklaring

Deze privacyverklaring legt uit hoe wij omgaan met persoonsgegevens binnen het Silk Studio-platform en de bijbehorende website. Wij hechten grote waarde aan zorgvuldige en transparante verwerking van persoonsgegevens en handelen daarbij conform de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de Nederlandse Uitvoeringswet AVG (UAVG). Wij raden je aan deze verklaring volledig door te lezen, zodat je weet welke gegevens wij verwerken, waarom, op welke grondslag en welke rechten je hebt.

1. Wie wij zijn

Het Silk Studio-platform wordt aangeboden door 369 AI Agency, handelend onder de naam Silk Studio × 369 AI Agency. Wij zijn de verwerkingsverantwoordelijke voor de persoonsgegevens van onze salon-accounthouders en van bezoekers van onze website (zie sectie 2 voor de uitzondering op deze rol).

Wij hebben geen wettelijke verplichting om een Functionaris voor de Gegevensbescherming (FG) aan te stellen en hebben deze niet aangesteld. Voor alle vragen over privacy en gegevensbescherming kun je rechtstreeks terecht bij ons centrale contactpunt privacy via info@silkstudio.nl of telefonisch/WhatsApp op +31 6 41 19 48 25. Wij behandelen je vraag zo spoedig mogelijk.

2. Onze dubbele rol: verwerkingsverantwoordelijke én verwerker

Het is belangrijk om te begrijpen dat wij twee verschillende rollen vervullen onder de AVG, afhankelijk van wíens gegevens het betreft. Welke rol wij hebben, bepaalt wie er verantwoordelijk is voor de gegevens en bij wie je terecht kunt voor je rechten.

3. Welke persoonsgegevens wij verwerken

Wij verwerken uitsluitend gegevens die noodzakelijk zijn voor het leveren en verbeteren van onze dienst. Hieronder per categorie betrokkene welke gegevens dat zijn:

• (i) Salon / accounthouder: voor- en achternaam, bedrijfs-/salonnaam, e-mailadres, telefoonnummer, vestigingsadres, inloggegevens (versleuteld wachtwoord), KvK-nummer en btw-nummer, factuur- en abonnementsgegevens, en de salon-instellingen die je invoert (medewerkers, openingstijden, behandelingen, prijzen, foto's en knowledge-base-content).
• (ii) Websitebezoekers: gegevens die je achterlaat via contact- of aanmeldformulieren (naam, e-mailadres, bericht), en gegevens die via cookies en analytics worden vastgelegd, zoals globale locatie en gebruiksgedrag op de website (zie sectie 11 en het Cookiebeleid).
• (iii) Eindklanten van de salon (waarvoor wij verwerker zijn): naam, contactgegevens (e-mail, telefoonnummer), afspraakhistorie en -voorkeuren, en intakeformulier-gegevens. Dit kan bijzondere/gevoelige informatie omvatten zoals allergieën, huid- of haartype of gezondheidsgerelateerde voorkeuren, voor zover de salon ervoor kiest deze vast te leggen. De salon is hiervoor verwerkingsverantwoordelijke.
• (iv) Betaalgegevens: gegevens die nodig zijn om betalingen en abonnementen te verwerken. De daadwerkelijke betaalhandeling verloopt via onze betaalproviders (Mollie en Stripe); wij ontvangen geen volledige IBAN- of creditcardnummers, maar wel transactiestatus, bedrag en een betaalreferentie.
• (v) Communicatie en support: de inhoud van e-mails, WhatsApp- en supportberichten die je met ons uitwisselt, inclusief eventuele bijlagen, om je vraag te kunnen behandelen.
• (vi) Technische en loggegevens: IP-adres, browser- en apparaatinformatie, taalinstelling, tijdstippen van inloggen en gebruik, foutmeldingen en sessie-informatie, vastgelegd voor beveiliging, foutopsporing en het verbeteren van het platform.

4. Doeleinden en rechtsgronden

Wij verwerken persoonsgegevens alleen voor specifieke doeleinden en steeds op basis van een van de grondslagen uit artikel 6 AVG. Per doel benoemen wij de bijbehorende grondslag:

• Het aanmaken en beheren van je account en het leveren van het platform — grondslag: uitvoering van de overeenkomst (art. 6 lid 1 sub b).
• Het mogelijk maken van afspraakbeheer en klantcommunicatie van de salon (bevestigingen, herinneringen en berichten via e-mail, SMS en WhatsApp) — grondslag: uitvoering van de overeenkomst met de salon; voor de eindklant berust dit op de grondslag die de salon als verwerkingsverantwoordelijke hanteert.
• Het verwerken van betalingen en het uitsturen van facturen — grondslag: uitvoering van de overeenkomst en wettelijke verplichting (art. 6 lid 1 sub c, fiscale administratieplicht).
• Het voeren van onze (financiële) administratie en het voldoen aan wettelijke verplichtingen — grondslag: wettelijke verplichting.
• Klantondersteuning en het beantwoorden van vragen — grondslag: uitvoering van de overeenkomst en/of gerechtvaardigd belang (art. 6 lid 1 sub f) bij het bieden van goede service.
• Productverbetering, foutopsporing, beveiliging en fraudepreventie — grondslag: gerechtvaardigd belang bij een veilig, stabiel en goed werkend platform, waarbij wij gegevens zoveel mogelijk geaggregeerd of geanonimiseerd verwerken.
• Het inzetten van AI-functies (AI Sofie) ter ondersteuning van communicatie en planning — grondslag: uitvoering van de overeenkomst en gerechtvaardigd belang; zie sectie 13.
• Het versturen van nieuwsbrieven en aanbiedingen aan bestaande klanten over onze eigen, vergelijkbare diensten — grondslag: gerechtvaardigd belang (art. 6 lid 1 sub f, "soft opt-in"), waarbij je je bij elk bericht eenvoudig kunt afmelden.
• Marketing aan prospects (niet-klanten) en het plaatsen van niet-noodzakelijke cookies — grondslag: toestemming (art. 6 lid 1 sub a), die je te allen tijde kunt intrekken.

5. Hoe lang wij gegevens bewaren

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld, of zolang een wettelijke bewaarplicht dat vereist. Wij hanteren de volgende termijnen:

• Account- en salongegevens: zolang je account actief is. Na opzegging of beëindiging verwijderen of anonimiseren wij de accountgegevens binnen 30 dagen, tenzij een langere termijn wettelijk vereist is.
• Klantgegevens van de salon (waarvoor wij verwerker zijn): zolang het account van de salon actief is en conform de instructies in de verwerkersovereenkomst. Bij beëindiging stellen wij de salon in staat de data te exporteren, waarna wij deze binnen 30 dagen verwijderen, behoudens andersluidende wettelijke verplichtingen.
• Facturen, betaalgegevens en boekhoudkundige administratie: 7 jaar, vanwege de fiscale bewaarplicht (artikel 52 Algemene wet inzake rijksbelastingen).
• Support- en communicatiegegevens: tot 24 maanden na het laatste contact, voor opvolging en kwaliteitsdoeleinden.
• Technische logbestanden en beveiligingslogs: maximaal 90 dagen, tenzij langer nodig voor onderzoek naar incidenten.
• Gegevens op basis van toestemming (zoals nieuwsbrief-inschrijvingen): totdat je je toestemming intrekt of je uitschrijft.

6. Verstrekking aan derden en sub-verwerkers

Wij verkopen je persoonsgegevens nooit aan derden. Voor het leveren van onze dienst schakelen wij wel een aantal zorgvuldig geselecteerde sub-verwerkers in. Met elke sub-verwerker sluiten wij een verwerkersovereenkomst conform artikel 28 AVG, waarin afspraken over beveiliging, vertrouwelijkheid en doelbinding zijn vastgelegd. De volgende sub-verwerkers verwerken (mogelijk) persoonsgegevens namens ons:

• Supabase — database en authenticatie · regio EU
• Vercel — webhosting en edge-levering · regio EU
• Mollie — betaalverwerking (iDEAL en overige betaalmethoden) · Nederland
• Stripe — abonnementsbetalingen en facturatie · EU/VS (met Standaardcontractbepalingen)
• Resend — verzending van transactionele e-mail · EU-region
• Meta Platforms Ireland — WhatsApp Business-berichten · EU
• Anthropic / Claude — AI-functies (AI Sofie) · VS (met Standaardcontractbepalingen/SCC)
• Google — Calendar, Places en Reserve with Google · alleen wanneer je deze koppelingen activeert
• Sentry — foutmonitoring en stabiliteit · EU-region
• PostHog — productanalytics · EU-region

Daarnaast kunnen wij gegevens verstrekken aan derden wanneer wij daartoe wettelijk verplicht zijn (bijvoorbeeld aan de Belastingdienst of in het kader van een gerechtelijk bevel). Voor een actuele lijst van sub-verwerkers of een kopie van een verwerkersovereenkomst kun je mailen naar info@silkstudio.nl.

7. Doorgifte buiten de EER

Wij streven ernaar persoonsgegevens zoveel mogelijk binnen de Europese Economische Ruimte (EER) te verwerken. Het overgrote deel van onze sub-verwerkers host in de EU. In een beperkt aantal gevallen vindt verwerking (deels) plaats buiten de EER, met name in de Verenigde Staten:

• Anthropic / Claude (AI-functies) — Verenigde Staten
• Stripe (abonnementsbetalingen) — kan gegevens (deels) in de Verenigde Staten verwerken

Voor deze doorgiften zorgen wij voor passende waarborgen zoals vereist door hoofdstuk V van de AVG. Concreet maken wij gebruik van de door de Europese Commissie vastgestelde Standaardcontractbepalingen (Standard Contractual Clauses / SCC), eventueel aangevuld met aanvullende technische en organisatorische maatregelen. Waar een leverancier is gecertificeerd onder een geldend adequaatheidsbesluit (zoals het EU-VS Data Privacy Framework), baseren wij de doorgifte mede daarop. Een kopie van de relevante waarborgen is op verzoek beschikbaar via info@silkstudio.nl.

8. Beveiliging

Wij nemen de bescherming van persoonsgegevens serieus en treffen passende technische en organisatorische maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Onze maatregelen omvatten onder andere:

• Versleuteling tijdens verzending (TLS/HTTPS) en versleuteling in rust (at rest) van gegevens in onze database;
• Strikt toegangsbeheer: gegevens zijn alleen toegankelijk voor geautoriseerde personen op basis van het need-to-know-principe, met sterke authenticatie;
• Hosting binnen de EU bij gerenommeerde providers met passende certificeringen;
• Dagelijkse back-ups om gegevensverlies te voorkomen en herstel mogelijk te maken;
• Continue monitoring en logging om afwijkend gedrag en incidenten tijdig te signaleren;
• Versleutelde opslag van wachtwoorden (hashing) en periodieke evaluatie van onze beveiligingsmaatregelen.

9. Datalekken

Ondanks alle voorzorgsmaatregelen kan een datalek nooit volledig worden uitgesloten. Wij hanteren een interne procedure voor het detecteren, beoordelen en afhandelen van beveiligingsincidenten en datalekken. Indien zich een inbreuk in verband met persoonsgegevens voordoet, beoordelen wij direct de aard, omvang en mogelijke gevolgen.

Wanneer een datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, melden wij dit binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens, zoals vereist door artikel 33 AVG. Bij een hoog risico informeren wij ook de betrokkenen zelf zonder onredelijke vertraging (artikel 34 AVG). Treden wij in een specifiek geval op als verwerker namens een salon, dan informeren wij de betreffende salon (de verwerkingsverantwoordelijke) onverwijld, zodat deze haar eigen meldingsplicht kan nakomen. Wij houden van elk datalek een interne registratie bij.

10. Jouw rechten

Op grond van de AVG heb je een aantal rechten met betrekking tot je persoonsgegevens. Je hebt het recht op:

• Inzage — opvragen welke persoonsgegevens wij van je verwerken;
• Rectificatie — onjuiste of onvolledige gegevens laten corrigeren of aanvullen;
• Verwijdering ("recht op vergetelheid") — je gegevens laten wissen, voor zover er geen wettelijke bewaarplicht of ander zwaarwegend belang aan in de weg staat;
• Beperking van de verwerking — de verwerking van je gegevens tijdelijk laten stilleggen;
• Bezwaar — bezwaar maken tegen verwerking op grond van gerechtvaardigd belang of tegen direct marketing;
• Dataportabiliteit — je gegevens in een gestructureerd, gangbaar en machineleesbaar formaat ontvangen of laten overdragen aan een andere partij;
• Intrekken van toestemming — eerder gegeven toestemming op elk moment intrekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking vóór de intrekking.

Je kunt je rechten uitoefenen door een verzoek te sturen naar info@silkstudio.nl. Wij kunnen je vragen je identiteit te bevestigen voordat wij het verzoek in behandeling nemen. Wij reageren in beginsel binnen één maand na ontvangst van je verzoek; bij complexe of talrijke verzoeken kan deze termijn met maximaal twee maanden worden verlengd, waarover wij je dan tijdig informeren. Betreft je verzoek gegevens waarvoor wij verwerker zijn (de eindklanten van een salon), dan verwijzen wij je naar de betreffende salon als verwerkingsverantwoordelijke, of leiden wij je verzoek conform onze verwerkersovereenkomst door.

11. Cookies

Onze website en ons platform maken gebruik van cookies en vergelijkbare technieken. Wij plaatsen functionele en noodzakelijke cookies die nodig zijn om de website en het platform goed te laten werken, en — alleen met jouw toestemming — analytische en eventuele marketing-cookies om het gebruik te meten en onze dienst te verbeteren. Onze analytics (PostHog) draait in de EU-region en is privacyvriendelijk ingericht.

Een volledig overzicht van de cookies die wij gebruiken, hun doel en bewaartermijn, en hoe je je voorkeuren kunt beheren of intrekken, vind je in ons Cookiebeleid.

12. Minderjarigen

Onze dienst is gericht op zakelijke gebruikers (salons) en is niet bedoeld voor personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van minderjarigen zonder toestemming van een ouder of wettelijk vertegenwoordiger. Verwerkt een salon in haar klantadministratie gegevens van minderjarige eindklanten, dan is de salon als verwerkingsverantwoordelijke verantwoordelijk voor de daarvoor benodigde (ouderlijke) toestemming. Vermoed je dat wij ten onrechte gegevens van een minderjarige hebben verwerkt, neem dan contact met ons op via info@silkstudio.nl; wij verwijderen deze gegevens dan zo snel mogelijk.

13. Geautomatiseerde besluitvorming en profilering (AI Sofie)

Ons platform bevat AI-ondersteunde functionaliteit, waaronder AI Sofie, die helpt bij het opstellen van communicatie, het beantwoorden van veelgestelde vragen en het ondersteunen van planning. Deze AI-functies dienen ter ondersteuning van jou en je salon en nemen geen zelfstandige besluiten met rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen voor personen.

Wij maken geen gebruik van uitsluitend geautomatiseerde besluitvorming in de zin van artikel 22 AVG. Voorstellen of teksten die door AI Sofie worden gegenereerd, kunnen altijd door een mens worden beoordeeld, aangepast of genegeerd voordat er actie op wordt ondernomen. Wij zetten AI-functies niet in om individuen te beoordelen, te selecteren of te profileren op een manier die juridische of vergelijkbaar ingrijpende gevolgen heeft.

14. Wijzigingen van deze verklaring

Wij kunnen deze privacyverklaring van tijd tot tijd aanpassen, bijvoorbeeld vanwege gewijzigde wet- en regelgeving, nieuwe functionaliteiten of veranderingen in onze werkwijze. De meest actuele versie is altijd op deze pagina te raadplegen, met vermelding van de datum van laatste wijziging en het versienummer bovenaan. Bij ingrijpende wijzigingen informeren wij je daarnaast actief, bijvoorbeeld per e-mail of via een melding in het platform. Wij raden je aan deze verklaring periodiek te bekijken.

15. Klacht indienen en contact

Heb je een vraag of klacht over de manier waarop wij met je persoonsgegevens omgaan? Neem dan eerst contact met ons op via info@silkstudio.nl of +31 6 41 19 48 25 — wij lossen het graag samen met je op.

Kom je er met ons niet uit, dan heb je het recht een klacht in te dienen bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, via autoriteitpersoonsgegevens.nl. Indien je in een andere lidstaat van de EU woont of werkt, kun je je klacht ook indienen bij de toezichthouder van die lidstaat.