Privacybeleid
Laatst bijgewerkt: 16 juni 2025
1. Inleiding
Flireo B.V., gevestigd te Deventer ("Flireo", "wij", "ons" of "onze"), biedt een spraak‑ en AI‑platform waarmee organisaties geautomatiseerde telefoongesprekken kunnen voeren. Wij vinden uw privacy belangrijk en verwerken uw persoonsgegevens met inachtneming van de Algemene Verordening Gegevensbescherming (AVG) en aanverwante wet‑ en regelgeving. In dit privacybeleid beschrijven wij welke persoonsgegevens wij verwerken, waarom wij dat doen, op basis van welke rechtsgrond, hoe lang wij de gegevens bewaren en hoe wij deze beveiligen.
2. Contactgegevens
Flireo B.V.
Leeuwenbrug 89a
7411 TH Deventer
KvK 91513638
E‑mail algemeen: info@flireo.com
Privacy Officer: privacy@flireo.com
Meldpunt datalekken (24/7): security@flireo.com
Telefoon: +31 570 238 200
3. Persoonsgegevens die wij verwerken
| Categorie | Voorbeelden |
|---|---|
| Platformgebruikers | Volledige naam, zakelijk e‑mailadres, optioneel telefoonnummer, gebruikersnaam, gehashte wachtwoord, rol, organisatie‑ID, MFA‑tokens, sessie‑informatie, platform‑activiteitelogging |
| Contactpersonen | Telefoonnummer (verplicht), naam en e‑mail (indien verstrekt), adres (optioneel), gespreks‑ en interactiegegevens |
| Gespreksgegevens | Call‑ID, datum/tijd, duur, status, kosten, gebruikte AI‑modellen, gespreksopnames (audio, indien geactiveerd), transcripties, AI‑samenvattingen, sentiment‑ en kwaliteitsmetrieken |
| Betalings‑ en facturatiegegevens | Klantnaam, e‑mail, abonnementsdetails, Stripe Customer ID (betaalkaartgegevens worden uitsluitend door Stripe verwerkt) |
| Website‑ en loggegevens | IP‑adres, browser‑ en apparaattype, cookie‑ID, activiteiten op onze website en in het platform, server‑ en applicatielogs |
| Back‑ups | Versleutelde kopieën van bovenstaande gegevens voor business‑continuity |
Onze diensten zijn niet gericht op kinderen jonger dan 16 jaar.
4. Doeleinden en rechtsgronden
Wij verwerken persoonsgegevens voor de volgende doeleinden en op basis van de daarbij behorende rechtsgronden:
| Doel | Rechtsgrond |
|---|---|
| Uitvoering van onze overeenkomst en het leveren van het platform | Overeenkomst (art. 6 lid 1 b AVG) |
| Klantenservice en technische support | Gerechtvaardigd belang (art. 6 lid 1 f) |
| Facturering en administratieve verplichtingen | Wettelijke plicht (art. 6 lid 1 c) |
| Versturen van nieuwsbrieven en product‑updates | Toestemming of gerechtvaardigd belang |
| Verbeteren van services, beveiliging en fraudepreventie | Gerechtvaardigd belang |
| Optionele gespreksopnames en transcripties | Toestemming van de klant / contactpersoon |
5. Bijzondere en/of gevoelige persoonsgegevens
Wij vragen niet actief om bijzondere categorieën persoonsgegevens. Indien dergelijke gegevens tijdens gesprekken worden gedeeld, gebeurt dit op instructie van de klant (de verwerkingsverantwoordelijke). Klanten zijn verantwoordelijk voor het beoordelen of aanvullende rechtsgronden nodig zijn.
6. Geautomatiseerde besluitvorming
Flireo neemt geen besluiten die rechtsgevolgen of vergelijkbare significante gevolgen hebben voor personen op basis van uitsluitend geautomatiseerde verwerking. AI‑gegenereerde antwoorden hebben uitsluitend informatief karakter; eindbeslissingen liggen bij de klant.
7. Bewaartermijnen
| Gegevenstype | Bewaartermijn |
|---|---|
| Logbestanden | 90 dagen (rollend) |
| Back‑ups | 30 dagen (rollend) |
| Platformaccounts & configuraties | Zolang het account actief is of wettelijk vereist |
| Gespreksopnames / transcripties | Door de klant configureerbaar in het platform; standaard 30 dagen als er geen instelling is gekozen |
| Contactgegevens | Tot verwijdering door de klant of einde overeenkomst |
| Data na beëindiging overeenkomst | Verwijdering: toegang direct geblokkeerd, export mogelijk tot dag 30, verwijdering uit productie binnen 90 dagen en uit back‑ups binnen 120 dagen, gevolgd door verwijdercertificaat |
8. Delen van persoonsgegevens met derden (subverwerkers)
Wij verkopen uw gegevens niet. Wij schakelen zorgvuldig geselecteerde subverwerkers in voor hosting, AI‑verwerking, betalingen en telefonie. Met elke subverwerker is een Data Processing Agreement (DPA) met (indien nodig) Standard Contractual Clauses (SCC's) gesloten. Belangrijkste subverwerkers zijn:
- Supabase Inc. (database & storage – Frankfurt, DE)
- Vercel Inc. (frontend hosting & CDN – Frankfurt, DE / wereldwijd CDN)
- DigitalOcean LLC (workflow automation – Amsterdam, NL)
- OpenAI OpCo LLC, ElevenLabs Inc., Deepgram Inc. (AI‑diensten – VS)
- Stripe Technology Europe Ltd. (betalingsverwerking – IE/VS)
- Telnyx LLC (telefonie‑infrastructuur – wereldwijd)
Wij informeren klanten minimaal 30 dagen vooraf over nieuwe subverwerkers; zij kunnen binnen 14 dagen bezwaar maken.
9. Internationale gegevensoverdrachten
Primaire opslag vindt plaats binnen de EER (Frankfurt & Amsterdam). Voor noodzakelijke overdrachten naar de VS (bijv. AI‑API's, betalingen) steunen wij op SCC's en aanvullende maatregelen zoals end‑to‑end‑encryptie, pseudonimisering, no‑training‑policies en transparantierapportage. Wij monitoren de bescherming continu en voeren Transfer Impact Assessments uit.
10. Cookies en vergelijkbare technieken
Wij gebruiken functionele, analytische en tracking‑cookies. Bij uw eerste bezoek vragen wij toestemming voor tracking‑cookies. U kunt cookies verwijderen via uw browserinstellingen.
11. Uw rechten
U hebt recht op inzage, rectificatie, verwijdering, beperking, bezwaar, overdraagbaarheid en het intrekken van toestemming. Stuur uw verzoek naar info@flireo.com of privacy@flireo.com. Voeg een veilige kopie van uw identiteitsbewijs toe (maak foto, MRZ, documentnummer en BSN zwart). Wij reageren uiterlijk binnen vier weken.
U kunt een klacht indienen bij de Autoriteit Persoonsgegevens.
12. Beveiliging van persoonsgegevens
Wij treffen passende technische en organisatorische maatregelen, waaronder:
- Versleuteling: TLS 1.3 in transit, AES‑256 at rest; sleutelbeheer via AWS KMS
- Toegangscontrole: MFA, RBAC, principle of least privilege, sessie‑timeout
- Monitoring & logging: gecentraliseerde logging, real‑time security alerting, audittrails
- Back‑ups & herstel: dagelijkse versleutelde back‑ups, RTO 4 uur, RPO 24 uur
- Incidentrespons: 24/7 incident team, eerste melding binnen 12 uur, volledig rapport binnen 48 uur
- Personeel & ontwikkeling: gescreend personeel, NDA's, jaarlijkse security‑training, secure SDLC, automatische security‑tests
- AI‑specifiek: strikte klantdata‑scheiding, no‑training bij AI‑providers, output‑filtering, bias‑monitoring
Als u denkt dat uw gegevens niet goed beveiligd zijn, neem contact op via security@flireo.com.
13. Wijzigingen in dit privacybeleid
Wij kunnen dit privacybeleid wijzigen om technische of wettelijke redenen. De actuele versie is altijd beschikbaar op www.flireo.com/privacybeleid. Bij substantiële wijzigingen informeren wij u via het platform of per e‑mail.