Privacyverklaring
Versie 2.0 — Laatst bijgewerkt: 21 mei 2026 — JBSync B.V., Nicolaas Tulplaan 140G, 1186 DT Amstelveen — KvK 99705907
1. Verantwoordelijke
JBSync B.V., ingeschreven bij de Nederlandse Kamer van Koophandel onder nummer 99705907, gevestigd te Nicolaas Tulplaan 140G, 1186 DT Amstelveen. Contact voor privacyvragen: info@jbsync.com of WhatsApp +31 97 010 208 583.
JBSync heeft géén Functionaris voor Gegevensbescherming (FG) aangesteld omdat de criteria van artikel 37 AVG niet worden vervuld (geen kernactiviteit gericht op grootschalige verwerking van bijzondere persoonsgegevens of stelselmatige monitoring). Voor privacyvragen kun je rechtstreeks contact opnemen via bovenstaand adres; wij beantwoorden je verzoek binnen één maand (artikel 12 lid 3 AVG).
2. Onze dubbele rol onder de AVG
JBSync vervult twee verschillende rollen, met elk een eigen juridisch regime:
A. Verwerkingsverantwoordelijke
Voor persoonsgegevens van onze klanten (contactpersonen bij MKB-bedrijven), prospects, websitebezoekers, sollicitanten en eigen administratie. Deze verwerkingen vallen onder deze privacyverklaring.
B. Verwerker
Voor persoonsgegevens die wij verwerken namens onze klant (de inhoud van mails, WhatsApp-berichten, telefoongesprekken en agendagegevens van de eindklanten van onze klant). Hierop is primair de met onze klant gesloten Verwerkersovereenkomst (DPA) van toepassing. Deze privacyverklaring beschrijft secundair welke sub-processors wij inschakelen en hoe wij beveiligen, omdat dat ook deze verwerkingen raakt.
3. Welke gegevens verwerken wij als verantwoordelijke
| Categorie | Voorbeelden | Bewaartermijn |
|---|---|---|
| Account-data | Naam, e-mailadres, telefoonnummer, bedrijfsnaam, KvK-nummer, functie | Duur abonnement + 7 jaar (fiscale bewaarplicht) |
| Factuur- en betalingsdata | Bedrag, IBAN-suffix, betalingsstatus | 7 jaar (artikel 52 AWR) |
| Inloggegevens | Gehashte wachtwoorden, OAuth-tokens (Fernet-versleuteld) | Tot verwijdering account |
| Gebruikslogs | API-calls, agent-activiteit, audit-trail van approvals | 12 maanden rolling |
| Communicatie met support | E-mailcorrespondentie, WhatsApp-supportberichten | 24 maanden |
| Prospect-gegevens | Bedrijfsnaam, generieke e-mail, LinkedIn-profielen | 24 maanden of tot opt-out |
| Cookies | Sessie-ID, voorkeuren (functioneel + analytisch) | 14 maanden |
Bron van prospect-gegevens (artikel 14 AVG): Handelsregister KvK, Kruispuntbank van Ondernemingen (KBO), publieke LinkedIn-profielen, eigen websiteformulieren en doorverwijzingen.
4. Welke gegevens verwerken wij namens onze klant
| Categorie | Voorbeelden | Bewaartermijn |
|---|---|---|
| Mail-metadata | Thread-ID, afzender, onderwerp, snippet ≤500 tekens | Max 7 dagen rolling (dagelijkse TTL-purge) |
| Mail-bodies | Volledige inhoud van e-mails | Nooit permanent opgeslagen — lazy-fetch uit Gmail/Outlook API, alleen in-memory tijdens één request |
| AI-conceptantwoorden | Gegenereerde reply, classifier-score | 30 dagen na approve/skip, daarna purge |
| Schrijfstijl-profiel (opt-in) | Geaggregeerde features (toon, gemiddelde lengte) — nooit raw mailcontent | Tot opt-out of koppeling verwijdert |
| WhatsApp-berichten | Inhoud van inkomende en uitgaande berichten | Configureerbaar per klant, default 90 dagen |
| Telefoongesprek-transcripten | Tekst van conversaties (na speech-to-text) | Configureerbaar per klant, default 30 dagen |
| Agenda-events | Titel, start/eind, deelnemers, locatie | Tot koppeling verwijdert; afgelaste afspraken 90 dagen voor audit |
| OAuth-tokens | Access- en refresh-tokens, Fernet-versleuteld | Tot verwijdering koppeling |
Stemopnames: ruwe audio-opnames worden direct na transcriptie verwijderd, tenzij de klant expliciet langere bewaring instelt voor kwaliteitsdoeleinden (default: niet bewaren). De spraakverwerking is uitsluitend gericht op transcriptie en spraaksynthese — niet op biometrische identificatie. Stemopnames vormen daarom geen bijzondere persoonsgegevens in de zin van artikel 9 AVG.
5. Doeleinden en rechtsgrondslagen
| Doel | Grondslag |
|---|---|
| Levering van de Dienst (mail/WhatsApp/voice) | Uitvoering overeenkomst — art. 6(1)(b) AVG |
| Auto-draft generatie (opt-in per koppeling) | Uitvoering overeenkomst + uitdrukkelijke toggle-instemming |
| Schrijfstijl-leren (opt-in) | Toestemming — art. 6(1)(a) AVG; intrekbaar |
| Facturatie en boekhouding | Wettelijke verplichting — art. 6(1)(c) AVG |
| Beveiliging, fraudepreventie, audit-logs | Gerechtvaardigd belang — art. 6(1)(f) AVG |
| E-mailcontact bestaande klanten over Dienst | Gerechtvaardigd belang + soft opt-in (art. 11.7 lid 3 Tw) |
| Cold outreach (zakelijke prospects) | Gerechtvaardigd belang — art. 6(1)(f); altijd opt-out |
| Klant-supporttickets | Uitvoering overeenkomst |
6. Google API Services User Data Policy — Limited Use
JBSync gebruikt Google Workspace API's (Gmail, Calendar) voor de functionaliteit van de Mail-Assistent en agendakoppeling. Wij houden ons aan de Google API Services User Data Policy, inclusief de Limited Use-vereisten:
Concreet betekent dit dat wij Gmail- en Calendar-data uitsluitend gebruiken om de zichtbare functies van het JBSync-dashboard te leveren (categorisering, conceptantwoorden, agenda-integratie). Wij gebruiken deze data niet voor: (a) het trainen van gegeneraliseerde AI/ML-modellen, (b) advertenties, (c) verkoop of doorverkoop aan derden, of (d) toegang door medewerkers, behalve met uitdrukkelijke toestemming van jou, voor beveiligingsdoeleinden, of zoals vereist door de wet.
7. Sub-processors
Voor het leveren van onze Dienst maken wij gebruik van de volgende sub-processors. Met al deze partijen hebben wij een verwerkersovereenkomst (DPA) gesloten:
| Sub-processor | Doel | Locatie | Doorgiftemechanisme |
|---|---|---|---|
| Anthropic Ireland Ltd. (Claude API) | LLM voor tekstgeneratie en classificatie | EU (contract) / VS (verwerking) | DPA + SCCs; data wordt niet gebruikt voor training |
| Deepgram Inc. | Spraaktranscriptie (speech-to-text) voor voice-assistent | VS / EU-endpoint | Privacy + SCCs; JBSync gebruikt EU-endpoint (api.eu.deepgram.com) en heeft via DPA opt-out van Model Improvement Partnership Program |
| OpenAI Ireland Ltd. | Beeldgeneratie (DALL-E) | EU / VS | DPF + SCCs |
| ElevenLabs Inc. | Tekst-naar-spraak (TTS) voor voice-assistent | VS / EU | DPA + SCCs |
| Supabase Inc. | Database (PostgreSQL) en authenticatie | EU (Frankfurt) | Geen doorgifte buiten EU |
| VPS-provider | Hosting + self-hosted LiveKit voice-routing | EU (Frankfurt) | Geen doorgifte buiten EU |
| Twilio Inc. | Telefonie en SMS | VS | DPF + SCCs |
| Meta Platforms Ireland Ltd. | WhatsApp Business Cloud API | EU / VS | EU-contractant; SCCs |
| Google Ireland Ltd. | Gmail- en Calendar-integratie (OAuth) | EU / VS | EU-contractant; DPF |
| Microsoft Ireland Ops Ltd. | Outlook-integratie (Graph API, OAuth) | EU / VS | EU-contractant; DPF |
| Twilio SendGrid | Transactionele e-mail | VS | DPF + SCCs |
| Stripe Payments Europe Ltd. | Betalingsverwerking (PCI-DSS Level 1) | EU / VS | EU-contractant; DPF |
| Sentry | Foutmonitoring (optioneel, met PII-scrubbing) | VS | DPF + SCCs |
| Redis (self-hosted) | Caching | EU (Frankfurt) | Geen doorgifte |
LiveKit is open-source software die wij zelf hosten op onze EU-VPS in Frankfurt. Audio-streams verlaten daardoor de EU niet voor real-time transport. LiveKit is geen sub-processor.
Een actueel overzicht is op verzoek beschikbaar via info@jbsync.com. Wij informeren je minstens 30 dagen vooraf bij vervanging of toevoeging van een sub-processor die persoonsgegevens van eindklanten verwerkt.
8. Internationale doorgifte
Sommige sub-processors verwerken gegevens in de Verenigde Staten. Wij dragen persoonsgegevens uitsluitend over op basis van:
- EU-US Data Privacy Framework (DPF) voor ontvangers die DPF-gecertificeerd zijn (verifieerbaar via dataprivacyframework.gov), of
- EU-Standaardcontractbepalingen 2021/914 (SCCs) voor overige ontvangers, met aanvullende waarborgen (versleuteling in rust en transport via TLS 1.3, tenant-isolation op database-niveau, gepseudonimiseerde verwerking waar mogelijk).
Voor elke niet-DPF-gecertificeerde Amerikaanse sub-processor hebben wij een Transfer Impact Assessment (TIA) uitgevoerd. Een geanonimiseerde samenvatting is op verzoek beschikbaar.
9. AI-verwerking — wat gebeurt er met jouw data?
Anthropic (Claude)
Voor tekstanalyse en draft-generatie. Anthropic gebruikt onder de Commercial Terms standaard geen klantdata om modellen te trainen. Officiële verklaring: "By default, we will not use your inputs or outputs from our commercial products to train our models". Zie ook de Anthropic Privacy Policy en het Trust Center.
Deepgram (spraaktranscriptie)
Voor het omzetten van spraak naar tekst bij telefoongesprekken. Deepgram is SOC 2 Type II-gecertificeerd en GDPR-ready. JBSync gebruikt de EU-endpoint (api.eu.deepgram.com) zodat audio binnen de EU wordt verwerkt, en heeft via een DPA expliciet opt-out van het Model Improvement Partnership Program. Daardoor gebruikt Deepgram onze klantdata niet voor het verbeteren of trainen van hun modellen. Zie deepgram.com/privacy.
OpenAI (DALL-E beeldgeneratie)
Voor optionele beeldgeneratie binnen het platform. OpenAI gebruikt onder de API Data Usage Policies geen API-data voor training. Bewaartermijn van API-data is maximaal 30 dagen voor misbruikdetectie, daarna verwijderd. Zie openai.com/policies/privacy-policy.
ElevenLabs
Voor spraaksynthese. Onder hun DPA en Privacy Policy worden API-inputs niet gebruikt voor training tenzij de klant daar expliciet voor opt-in geeft. JBSync heeft niet ingestemd met training-gebruik. Zie elevenlabs.io/privacy.
10. Geautomatiseerde besluitvorming
Het JBSync-platform neemt geen geautomatiseerde besluiten in de zin van artikel 22 AVG. Concreet:
- Elke AI-draft (mail of bericht) vereist handmatige goedkeuring door een geautoriseerd persoon vóór verzending — er is een verplichte approval-stap met audit-log.
- Telefoongesprekken via de voice-assistent zijn een geautomatiseerde conversatie maar resulteren niet in een juridisch bindend besluit zonder menselijke tussenkomst.
- Er vindt geen profilering plaats voor kredietbeoordeling, werving, of soortgelijke ingrijpende beslissingen.
11. Beveiliging
- OAuth-tokens versleuteld met Fernet, aparte sleutels per agent-categorie (mail / agenda / voice) om blast-radius te beperken.
- HTTPS-only met HSTS (1 jaar).
- Tenant-isolatie hard op database-niveau: alle queries filteren op
bedrijf_id. - Geen mail-body's permanent op disk.
- Audit-log van alle approvals en verzendingen.
- Jaarlijkse penetratietest door externe partij.
- Datalekprotocol: melding bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking; getroffen klanten worden onverwijld ingelicht.
12. Jouw rechten (AVG)
Je hebt het recht om:
- Inzage te vragen in je persoonsgegevens (art. 15)
- Correctie te vragen bij onjuistheid (art. 16)
- Verwijdering te vragen — "recht op vergetelheid" (art. 17)
- Beperking van de verwerking te vragen (art. 18)
- Dataportabiliteit te vragen — export in JSON/CSV (art. 20)
- Bezwaar te maken tegen verwerking op grondslag gerechtvaardigd belang (art. 21)
- Toestemming in te trekken voor opt-in-features (art. 7 lid 3)
Verzoek indienen: stuur een mail naar info@jbsync.com. Wij reageren binnen één maand (verlengbaar met twee maanden bij complexe verzoeken).
Klachtrecht: bij de Autoriteit Persoonsgegevens (Nederland) of de Gegevensbeschermingsautoriteit (België).
13. Cookies
JBSync gebruikt uitsluitend functionele en analytische cookies (sessie en voorkeuren). Géén marketing-cookies en géén third-party analytics. Analytische statistieken blijven binnen onze eigen infrastructuur. Voor de eerste categorie is geen toestemming vereist (art. 11.7a lid 3 Telecommunicatiewet).
14. Wijzigingen
Bij materiële wijzigingen sturen wij een e-mail naar het account-adres van bestaande klanten minstens 30 dagen vóór inwerkingtreding. De versiehistorie is opvraagbaar.
Contact
JBSync B.V. · Nicolaas Tulplaan 140G, 1186 DT Amstelveen · KvK 99705907
E-mail: info@jbsync.com · WhatsApp: +31 97 010 208 583
Privacy Statement
Version 2.0 — Last updated: 21 May 2026 — JBSync B.V., Nicolaas Tulplaan 140G, 1186 DT Amstelveen, Netherlands — Chamber of Commerce (KvK) 99705907
1. Controller
JBSync B.V., registered with the Dutch Chamber of Commerce under number 99705907, located at Nicolaas Tulplaan 140G, 1186 DT Amstelveen. Contact for privacy questions: info@jbsync.com or WhatsApp +31 97 010 208 583.
JBSync has not appointed a Data Protection Officer (DPO) because the criteria of Article 37 GDPR are not met (no core activity involving large-scale processing of special categories of personal data or systematic monitoring). For privacy questions you can contact us directly at the address above; we will respond to your request within one month (Article 12(3) GDPR).
2. Our dual role under the GDPR
JBSync fulfils two distinct roles, each with its own legal regime:
A. Controller
For personal data of our customers (contacts at SMBs), prospects, website visitors, job applicants and our own administration. These processing activities fall under this privacy statement.
B. Processor
For personal data we process on behalf of our customer (the content of emails, WhatsApp messages, phone calls and calendar data of the end-clients of our customer). This is primarily governed by the Data Processing Agreement (DPA) concluded with our customer. This privacy statement secondarily describes which sub-processors we engage and how we secure data, as that also affects this processing.
3. Data we process as a controller
| Category | Examples | Retention |
|---|---|---|
| Account data | Name, email address, phone number, company name, Chamber of Commerce number, role | Subscription term + 7 years (tax retention) |
| Invoice and payment data | Amount, IBAN suffix, payment status | 7 years (Article 52 AWR) |
| Login credentials | Hashed passwords, OAuth tokens (Fernet-encrypted) | Until account deletion |
| Usage logs | API calls, agent activity, audit trail of approvals | 12 months rolling |
| Support communication | Email correspondence, WhatsApp support messages | 24 months |
| Prospect data | Company name, generic email, LinkedIn profiles | 24 months or until opt-out |
| Cookies | Session ID, preferences (functional + analytical) | 14 months |
Source of prospect data (Article 14 GDPR): Dutch Trade Register (KvK), Belgian Crossroads Bank for Enterprises (KBO), public LinkedIn profiles, our own website forms and referrals.
4. Data we process on behalf of our customer
| Category | Examples | Retention |
|---|---|---|
| Mail metadata | Thread ID, sender, subject, snippet ≤500 characters | Max 7 days rolling (daily TTL purge) |
| Mail bodies | Full content of emails | Never permanently stored — lazy-fetched from the Gmail/Outlook API, in-memory only during a single request |
| AI draft replies | Generated reply, classifier score | 30 days after approve/skip, then purged |
| Writing-style profile (opt-in) | Aggregated features (tone, average length) — never raw mail content | Until opt-out or integration removed |
| WhatsApp messages | Content of incoming and outgoing messages | Configurable per customer, default 90 days |
| Phone-call transcripts | Text of conversations (after speech-to-text) | Configurable per customer, default 30 days |
| Calendar events | Title, start/end, attendees, location | Until integration removed; cancelled events 90 days for audit |
| OAuth tokens | Access and refresh tokens, Fernet-encrypted | Until integration removed |
Voice recordings: raw audio recordings are deleted immediately after transcription, unless the customer explicitly enables longer retention for quality purposes (default: not retained). Speech processing is solely aimed at transcription and speech synthesis — not biometric identification. Voice recordings therefore do not constitute special categories of personal data within the meaning of Article 9 GDPR.
5. Purposes and legal bases
| Purpose | Legal basis |
|---|---|
| Delivery of the Service (mail/WhatsApp/voice) | Performance of contract — Art. 6(1)(b) GDPR |
| Auto-draft generation (opt-in per integration) | Performance of contract + explicit toggle consent |
| Writing-style learning (opt-in) | Consent — Art. 6(1)(a) GDPR; revocable |
| Invoicing and accounting | Legal obligation — Art. 6(1)(c) GDPR |
| Security, fraud prevention, audit logs | Legitimate interest — Art. 6(1)(f) GDPR |
| Email contact with existing customers about the Service | Legitimate interest + soft opt-in (Art. 11.7(3) Dutch Telecom Act) |
| Cold outreach (business prospects) | Legitimate interest — Art. 6(1)(f); always opt-out |
| Customer support tickets | Performance of contract |
6. Google API Services User Data Policy — Limited Use
JBSync uses Google Workspace APIs (Gmail, Calendar) for the functionality of the Mail Assistant and calendar integration. We adhere to the Google API Services User Data Policy, including the Limited Use requirements:
Concretely, this means we use Gmail and Calendar data solely to provide the visible features of the JBSync dashboard (categorisation, draft replies, calendar integration). We do not use this data for: (a) training generalised AI/ML models, (b) advertising, (c) selling or reselling to third parties, or (d) human access, except with your explicit consent, for security purposes, or as required by law.
7. Sub-processors
To deliver our Service we use the following sub-processors. We have concluded a data processing agreement (DPA) with all of these parties:
| Sub-processor | Purpose | Location | Transfer mechanism |
|---|---|---|---|
| Anthropic Ireland Ltd. (Claude API) | LLM for text generation and classification | EU (contract) / US (processing) | DPA + SCCs; data is not used for training |
| Deepgram Inc. | Speech-to-text transcription for the voice assistant | US / EU endpoint | Privacy + SCCs; JBSync uses the EU endpoint (api.eu.deepgram.com) and has opted out of the Model Improvement Partnership Program via DPA |
| OpenAI Ireland Ltd. | Image generation (DALL-E) | EU / US | DPF + SCCs |
| ElevenLabs Inc. | Text-to-speech (TTS) for the voice assistant | US / EU | DPA + SCCs |
| Supabase Inc. | Database (PostgreSQL) and authentication | EU (Frankfurt) | No transfer outside the EU |
| VPS provider | Hosting + self-hosted LiveKit voice routing | EU (Frankfurt) | No transfer outside the EU |
| Twilio Inc. | Telephony and SMS | US | DPF + SCCs |
| Meta Platforms Ireland Ltd. | WhatsApp Business Cloud API | EU / US | EU contracting entity; SCCs |
| Google Ireland Ltd. | Gmail and Calendar integration (OAuth) | EU / US | EU contracting entity; DPF |
| Microsoft Ireland Ops Ltd. | Outlook integration (Graph API, OAuth) | EU / US | EU contracting entity; DPF |
| Twilio SendGrid | Transactional email | US | DPF + SCCs |
| Stripe Payments Europe Ltd. | Payment processing (PCI-DSS Level 1) | EU / US | EU contracting entity; DPF |
| Sentry | Error monitoring (optional, with PII scrubbing) | US | DPF + SCCs |
| Redis (self-hosted) | Caching | EU (Frankfurt) | No transfer |
LiveKit is open-source software that we self-host on our EU VPS in Frankfurt. Audio streams therefore do not leave the EU for real-time transport. LiveKit is not a sub-processor.
An up-to-date overview is available on request via info@jbsync.com. We will notify you at least 30 days in advance of any replacement or addition of a sub-processor that processes end-client personal data.
8. International transfers
Some sub-processors process data in the United States. We only transfer personal data on the basis of:
- EU-US Data Privacy Framework (DPF) for recipients that are DPF-certified (verifiable via dataprivacyframework.gov), or
- EU Standard Contractual Clauses 2021/914 (SCCs) for other recipients, with supplementary measures (encryption at rest and in transit via TLS 1.3, tenant isolation at the database level, pseudonymised processing where possible).
For each non-DPF-certified US sub-processor we have carried out a Transfer Impact Assessment (TIA). An anonymised summary is available on request.
9. AI processing — what happens to your data?
Anthropic (Claude)
For text analysis and draft generation. Under the Commercial Terms, Anthropic does not use customer data to train models by default. Official statement: "By default, we will not use your inputs or outputs from our commercial products to train our models". See also the Anthropic Privacy Policy and the Trust Center.
Deepgram (speech transcription)
For converting speech to text in phone calls. Deepgram is SOC 2 Type II-certified and GDPR-ready. JBSync uses the EU endpoint (api.eu.deepgram.com) so audio is processed within the EU, and has explicitly opted out of the Model Improvement Partnership Program via a DPA. As a result, Deepgram does not use our customer data to improve or train their models. See deepgram.com/privacy.
OpenAI (DALL-E image generation)
For optional image generation within the platform. Under the API Data Usage Policies, OpenAI does not use API data for training. API data is retained for a maximum of 30 days for abuse detection, then deleted. See openai.com/policies/privacy-policy.
ElevenLabs
For speech synthesis. Under their DPA and Privacy Policy, API inputs are not used for training unless the customer explicitly opts in. JBSync has not consented to training use. See elevenlabs.io/privacy.
10. Automated decision-making
The JBSync platform makes no automated decisions within the meaning of Article 22 GDPR. Concretely:
- Every AI draft (mail or message) requires manual approval by an authorised person before sending — there is a mandatory approval step with an audit log.
- Phone calls via the voice assistant are an automated conversation but do not result in a legally binding decision without human intervention.
- No profiling takes place for credit assessment, recruitment, or similar significant decisions.
11. Security
- OAuth tokens encrypted with Fernet, separate keys per agent category (mail / calendar / voice) to limit blast radius.
- HTTPS-only with HSTS (1 year).
- Hard tenant isolation at the database level: all queries filter on
bedrijf_id. - No mail bodies stored permanently on disk.
- Audit log of all approvals and sends.
- Annual penetration test by an external party.
- Data breach protocol: notification to the Dutch Data Protection Authority within 72 hours of discovery; affected customers are informed without delay.
12. Your rights (GDPR)
You have the right to:
- Access your personal data (Art. 15)
- Rectification of inaccurate data (Art. 16)
- Erasure — "right to be forgotten" (Art. 17)
- Restriction of processing (Art. 18)
- Data portability — export in JSON/CSV (Art. 20)
- Object to processing based on legitimate interest (Art. 21)
- Withdraw consent for opt-in features (Art. 7(3))
To file a request: send an email to info@jbsync.com. We respond within one month (extendable by two months for complex requests).
Right to complain: with the Dutch Data Protection Authority (Netherlands) or the Data Protection Authority (Belgium).
13. Cookies
JBSync uses only functional and analytical cookies (session and preferences). No marketing cookies and no third-party analytics. Analytical statistics remain within our own infrastructure. No consent is required for the first category (Art. 11.7a(3) Dutch Telecommunications Act).
14. Changes
For material changes we send an email to the account address of existing customers at least 30 days before they take effect. The version history is available on request.
Contact
JBSync B.V. · Nicolaas Tulplaan 140G, 1186 DT Amstelveen · Chamber of Commerce 99705907
Email: info@jbsync.com · WhatsApp: +31 97 010 208 583