Privacybeleid

• TMS Media · Prinsengracht 1, 1015 AA Amsterdam · Nederland
• KvK 12345678 · BTW NL001234567B01
• Contact privacy: info@tmsmedia.nl
• We hebben geen functionaris voor gegevensbescherming (FG) aangesteld — onze verwerkingen zijn niet omvangrijk genoeg volgens AVG art. 37.

Als je een account maakt op chatbot.tmsmedia.nl bewaren we:

• Naam en e-mailadres — voor authenticatie en communicatie over het account.
• Wachtwoord — gehasht opgeslagen; nooit leesbaar, ook niet voor ons.
• Inlog-activiteit — tijdstip en IP-adres, voor fraude- en misbruikdetectie (90 dagen bewaard).
• Bedrijfsgegevens (vereist voor betaalde abonnementen): bedrijfsnaam, adres, BTW-nummer — voor facturatie en BTW-validatie via VIES.
• Abonnementsstatus — plan, factuurhistorie, Stripe customer ID. We zien geen volledige creditcardnummers.
• Audit log — welke wijzigingen je in het dashboard doet (wie, wanneer, wat). Voor compliance.

Als een bezoeker met een chatbot praat die op de website van onze klant draait, verwerken wij de volgende gegevens in opdracht van onze klant:

• Berichten die de bezoeker typt + de antwoorden van de bot of agent.
• Sessie-ID — willekeurig gegenereerd, opgeslagen in localStorage van de bezoeker (max. 7 dagen inactiviteit). Geen cookies.
• IP-adres en user-agent — voor rate-limiting en fraude-detectie (30 dagen bewaard).
• Pagina-context — URL waar de chat werd geopend, referrer, tijd op site — alleen als de klant visitor-tracking heeft aangezet.
• Contactgegevens die de bezoeker zelf invult (callback-formulier of handover): naam, e-mail, telefoon.

De klant bepaalt de bewaartermijn voor gesprekken via het dashboard (standaard: onbeperkt, maar per tenant instelbaar via retention-policy).

Wij schakelen de volgende partijen in als subverwerker om de dienst te leveren:

Alleen de AI-provider zit buiten de EU. We vertrouwen op hun standaardcontractbepalingen (SCC's) en hun expliciete toezegging dat API-data niet voor training wordt gebruikt. Tenants die géén AI willen gebruiken kunnen de live-only-modus inschakelen; dan verlaat geen enkel bericht de EU.

• Account-gegevens: zolang het account bestaat, daarna 90 dagen voor restitutie/dispuut-afwikkeling.
• Inlog-logs: 90 dagen.
• Chat-logs en sessie-data: standaard onbeperkt; per tenant instelbaar via retention-policy.
• Facturen en fiscale stukken: 7 jaar (wettelijke bewaarplicht).
• Audit log: 12 maanden.

Onder de AVG heb je recht op:

• Inzage in welke gegevens we over je hebben.
• Correctie van onjuiste gegevens.
• Verwijdering ("recht op vergetelheid") — tenzij een wettelijke bewaarplicht dat in de weg staat.
• Beperking of bezwaar tegen de verwerking.
• Overdraagbaarheid — in een machine-leesbaar formaat.
• Intrekking van toestemming (waar van toepassing).
• Klacht indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).

Stuur je verzoek naar info@tmsmedia.nl. We reageren binnen 30 dagen.

• HTTPS/TLS op alle verbindingen.
• Wachtwoorden worden gehasht opgeslagen — nooit in leesbare vorm.
• Versleutelde, ondertekende sessiecookies.
• Optionele 2FA (TOTP) voor platform-accounts.
• Toegang tot productie-systemen: alleen via sleutelparen, gelogd.
• Dagelijkse back-ups met beperkte retentie.
• Incidenten worden binnen 72 uur gemeld aan de AP en aan getroffen klanten.

Voor klanten die onze dienst gebruiken om persoonsgegevens van hun eigen bezoekers te verwerken bieden we een Data Processing Agreement (DPA). Vraag 'm aan via info@tmsmedia.nl — standaard op basis van de EU-modelbepalingen.

Dit beleid kan worden aangepast. Materiële wijzigingen communiceren we minimaal 30 dagen vooraf per e-mail aan het bij ons bekende account-adres. De datum bovenaan is altijd actueel.