DeepScript
Terug naar het Trust Center
FAQ

Privacy-FAQ

Antwoorden op de meest gestelde vragen over AVG-naleving, AI-training, opslaglocatie, subverwerkers, rechten van betrokkenen en beveiliging. Staat je vraag hier niet bij? Neem dan gewoon contact met ons op.

AVG & Compliance

Is DeepScript AVG-conform?
Ja. DeepScript is vanaf het begin AVG-conform opgezet: verwerking in Duitsland, geen doorgifte van inhoudsgegevens naar derde landen, een DPA conform art. 28 beschikbaar, gedocumenteerde technische en organisatorische maatregelen conform art. 32, een transparante lijst van subverwerkers en volledige ondersteuning van alle rechten van betrokkenen.
Is DeepScript verwerkingsverantwoordelijke of verwerker?
Beide – afhankelijk van welke gegevens worden bedoeld. Voor inhoudsgegevens (audio, transcripties) zijn wij verwerker conform art. 28 AVG en handelen wij uitsluitend in opdracht van onze klant. Voor de verwerking van de account- en factureringsgegevens van onze klanten zelf zijn wij verwerkingsverantwoordelijke.
Worden klantgegevens gebruikt voor AI-training?
Nee. Nooit. Noch voor het trainen van onze eigen modellen, noch voor het trainen van modellen van derden. Deze toezegging is contractueel bindend en technisch geborgd door duidelijk gescheiden inferentiepijplijnen – trainingsprocessen hebben geen leestoegang tot productieklantgegevens.
Is er een verwerkersovereenkomst (DPA)?
Ja. Je kunt de DPA rechtstreeks online aanvragen op de Trust Center-pagina. Binnen enkele minuten ontvang je per e-mail een vooraf ingevuld, door ons ondertekend PDF-contract. Inclusief alle vier de bijlagen (technische en organisatorische maatregelen, register van verwerkingsactiviteiten, subverwerkers, AI-compliance).
Hebben jullie ISO 27001?
Ja. DeepScript is gecertificeerd volgens ISO/IEC 27001, ISO 9001 en ISO 14001. Ook onze infrastructuurpartner Hetzner is ISO/IEC 27001-gecertificeerd.

Hosting & Opslaglocatie

Waar worden mijn gegevens opgeslagen?
Uitsluitend in Duitsland – in de Hetzner-datacenters in Neurenberg en Falkenstein. Beide locaties zijn ISO/IEC 27001-gecertificeerd. De applicatie, database, transcriptie-engine, object storage en back-ups blijven binnen deze locaties.
Brengt DeepScript gegevens buiten de EU over?
Geen inhoudsgegevens. De enige doorgifte naar een derde land vindt plaats voor de betalingsverwerking via Stripe (EU → VS), beveiligd door de EU-modelcontractbepalingen (SCC's) en de DPF-certificering van Stripe. Er worden geen audio of transcripties doorgegeven, alleen factureringsmetadata (naam, adres, token, bedrag).
Gebruiken jullie AWS, Azure of Google Cloud?
Nee. We gebruiken geen Amerikaanse hyperscaler voor het verwerken of opslaan van klantgegevens. De volledige infrastructuur draait op Hetzner in Duitsland.
Welke externe AI-diensten gebruiken jullie?
Geen. Onze Whisper-compatibele spraak-naar-tekst-engine draait volledig op onze eigen infrastructuur. We sturen geen audio of transcripties naar OpenAI, Anthropic, Google of vergelijkbare aanbieders. AI-ondersteunde samenvattingen vinden uitsluitend aan de clientzijde plaats via het Model Context Protocol – de door de klant gekozen AI-client (bijv. Claude Desktop) brengt zijn eigen modelverbinding mee.

Beveiliging

Hoe zijn mijn gegevens versleuteld?
Tijdens verzending: TLS 1.3 (minimaal TLS 1.2) tussen alle componenten, HSTS op alle openbare endpoints. In rust: AES-256 voor back-ups; volledig versleutelde databasevolumes. Wachtwoorden worden opgeslagen met bcrypt; API-sleutels uitsluitend als hash.
Wie in jullie team heeft toegang tot mijn gegevens?
In normaal bedrijf niemand. Administratieve toegang tot productiesystemen vereist tweefactorauthenticatie en wordt volledig geauditeerd. Leestoegang tot inhoudsgegevens vindt alleen plaats wanneer dit strikt noodzakelijk is voor foutanalyse en uitdrukkelijk door de klant is aangevraagd.
Hoe snel worden wij geïnformeerd bij een datalek?
Binnen 24 uur na kennisname. De melding bevat de aard van de inbreuk, de betrokken categorieën, de genomen maatregelen en een contactpersoon. De meldplicht aan de toezichthoudende autoriteiten (art. 33 AVG, 72-uurstermijn) blijft bij de verwerkingsverantwoordelijke; wij leveren alle benodigde informatie.
Voert DeepScript penetratietests uit?
Ja. Elk jaar geven we een onafhankelijke externe beveiligingsdienstverlener de opdracht een penetratietest uit te voeren op de webapplicatie en de openbare REST-API. We stellen op verzoek een executive summary beschikbaar aan zakelijke klanten onder NDA.

Bewaartermijnen & Verwijdering

Hoe lang worden mijn gegevens bewaard?
Audio: direct na de transcriptie verwijderd. Transcripties: standaard automatische verwijdering na 30 dagen, instelbaar tussen 7 en 365 dagen – of permanent met het Pro-plan. Factureringsgegevens: 10 jaar (wettelijke bewaarplicht volgens § 147 AO / § 257 HGB). Audit-logs: 12 maanden na verwijdering van het account.
Kan ik verwijdering van mijn gegevens vragen?
Ja. Onder Instellingen → Gegevens & privacy vind je knoppen voor een volledige gegevensexport en accountverwijdering. De verwijdering wordt onmiddellijk van kracht. In back-ups verdwijnen de gegevens binnen 14 dagen met de back-uprotatie.
Wat gebeurt er na afloop van het contract?
Alle klantgegevens worden binnen 30 dagen verwijderd. Eindigt het contract met een actief Pro-plan, dan wordt de automatische verwijdering teruggezet naar 30 dagen. Op verzoek ontvang je een schriftelijke bevestiging van de verwijdering.

Betrokkenen

Hoe ondersteunt DeepScript verzoeken van betrokkenen?
Selfservice via de instellingen (export, verwijdering) – direct van kracht. E-mailverzoeken aan datenschutz@deepscript.com beantwoorden we binnen 5 werkdagen. Is de verwerkingsverantwoordelijke een zakelijke klant, dan coördineren we verzoeken via diens functionaris voor gegevensbescherming.
Hoe informeer ik gesprekspartners over de opname?
Dat is de verantwoordelijkheid van de verwerkingsverantwoordelijke (= jij of je werkgever). Informatieplichten vloeien voort uit art. 13/14 AVG en uit art. 50 EU AI Act voor AI-ondersteunde verwerking. Op verzoek stellen we voorbeeldteksten voor privacyverklaringen beschikbaar.
Wat met opnames waarin personen worden genoemd die niet zijn gevraagd?
De verwerkingsverantwoordelijke moet een rechtmatige grondslag (toestemming, gerechtvaardigd belang e.d.) voor de verwerking hebben – ook voor derden die alleen worden genoemd. DeepScript controleert dit inhoudelijk niet; wij verwerken uitsluitend in opdracht. Bij twijfel: gegevens anonimiseren of onleesbaar maken vóór het uploaden.

Subverwerkers & Documenten

Welke subverwerkers gebruikt DeepScript?
De actuele lijst vind je op /datenschutz/subprozessoren. Momenteel: Hetzner (hosting, Duitsland) en Stripe (betaling, EU + VS met SCC's).
Word ik geïnformeerd voordat de subverwerkerslijst wijzigt?
Ja. Zakelijke klanten met een actieve DPA worden ten minste 30 dagen voordat een nieuwe subverwerker met toegang tot persoonsgegevens wordt toegevoegd per e-mail geïnformeerd en kunnen binnen 14 dagen om gewichtige redenen bezwaar maken.
Welke privacydocumenten zijn beschikbaar?
DPA (met 4 bijlagen) op online aanvraag. Technische en organisatorische maatregelen als onderdeel van de DPA (bijlage 1). Subverwerkerslijst op deze website. Privacyverklaring op /datenschutzerklaerung. Penetratietest-samenvatting op verzoek onder NDA.
Wie is het aanspreekpunt voor gegevensbescherming?
Aliru GmbH, Julius-Hatry-Straße 1, 68163 Mannheim. E-mail: datenschutz@deepscript.com. Directeur: Julian Kissel.

Vragen?

Stuur ons een e-mail op datenschutz@deepscript.com – we reageren binnen één werkdag.

Privacy-FAQ – DeepScript Trust Center