Privacybeleid
Consuai — AI-Powered Reservation Management and Customer Communication
Laatst bijgewerkt: 4 juni 2026
Dit Privacybeleid is van toepassing op de Consuai-dienst ("Consuai", "wij", "ons"), een AI-gestuurd reserverings-, klantcommunicatie- en webdesignplatform voor restaurants en cafés, beschikbaar op https://app.consuai.com en https://www.consuai.com.
1. Wie wij zijn
Consuai wordt geëxploiteerd als eenmanszaak:
- Handelsnaam —Consuai
- KVK-nummer —95814051
- Btw-nummer —NL004984162B71
- Contact e-mail —contact@consuai.com
Voor privacyvragen kun je ons bereiken op het bovenstaande e-mailadres. Wij zijn niet verplicht een Functionaris voor Gegevensbescherming (FG) aan te wijzen onder art. 37 AVG, maar de eigenaar behandelt alle gegevensbeschermingszaken persoonlijk.
2. Reikwijdte: twee soorten personen, twee rollen
Consuai is een B2B SaaS-product. Twee verschillende groepen personen worden geraakt door onze verwerking van persoonsgegevens, en onze rol onder de AVG verschilt per groep:
(a) Restaurant-eigenaren — de bedrijven (of hun personeel) die een Consuai-account aanmaken en een abonnement betalen. Voor hen treden wij op als verwerkingsverantwoordelijke. Dit omvat accountregistratie, authenticatie, facturering en klantondersteuning.
(b) Eindklanten van het restaurant — de personen die reserveren, berichten sturen of bellen naar een restaurant dat Consuai gebruikt. Voor hun gegevens is de Restaurant-eigenaar de verwerkingsverantwoordelijke en treden wij op als verwerker namens het restaurant, in overeenstemming met art. 28 AVG (zie sectie 10).
Ben je een eindklant van een restaurant en wil je je rechten uitoefenen (inzage, verwijdering, enz.), neem dan rechtstreeks contact op met het restaurant. Wij ondersteunen het restaurant bij het afhandelen van je verzoek.
3. Welke persoonsgegevens wij verwerken
3.1 Gegevens van Restaurant-eigenaren (wij zijn verwerkingsverantwoordelijke)
3.2 Gegevens van eindklanten (restaurant is verantwoordelijke, wij verwerken namens hen)
Wij verzamelen niet opzettelijk "bijzondere categorieën" persoonsgegevens (art. 9 AVG) zoals gezondheidsgegevens. Als een restaurant een aangepast veld configureert waarin gevoelige informatie wordt vastgelegd (bijv. allergieën), is het restaurant uitsluitend verantwoordelijk voor een rechtmatige grondslag en het informeren van de betrokkene.
4. Waarom wij deze gegevens verwerken en op welke rechtsgrondslag
4.1 Restaurant-eigenaren
4.2 Eindklanten
Wij verwerken deze gegevens uitsluitend op gedocumenteerde instructies van de Restaurant-eigenaar (art. 28 AVG), namelijk om: reserveringen aan te nemen en te beheren, bevestigingen en herinneringen te versturen, vragen via chat of telefoon te beantwoorden, en (wanneer het restaurant dat initieert) marketingmails te versturen via de AI Insights-tool. De rechtsgrondslag wordt door het restaurant bepaald.
5. AI-verwerking
Consuai gebruikt AI-diensten van derden voor de chatwidget, telefoongesprekken en analyses:
- OpenAI —model gpt-5.4-mini voor chat, telefonisch redeneren, samenvattingen en analyses
- Deepgram —omzetten van gespreksaudio naar tekst (STT)
- ElevenLabs —omzetten van AI-antwoorden naar spraak (TTS)
Deze leveranciers verwerken de relevante inhoud (berichten, transcripties, audio) namens ons onder hun eigen gegevensverwerkingsvoorwaarden. Wij hebben leveranciers geselecteerd die contractueel toezeggen om klantinhoud niet te gebruiken voor het trainen van hun algemene modellen (zero-retention of no-training waar beschikbaar). Audio wordt in real-time verwerkt en wordt na afloop van het gesprek niet als audio bewaard; alleen het tekstuele transcript wordt bewaard.
6. Subverwerkers en andere ontvangers
Wij delen persoonsgegevens uitsluitend met de hieronder vermelde subverwerkers en ontvangers, en alleen voor zover nodig voor de dienst:
Wij kunnen daarnaast persoonsgegevens verstrekken aan: (i) bevoegde overheidsinstanties wanneer wij daartoe wettelijk verplicht zijn; (ii) professionele adviseurs (accountants, advocaten) onder geheimhouding; en (iii) een rechtsopvolger in geval van fusie, overname of activaverkoop, met gelijkwaardige bescherming.
Wij verkopen geen persoonsgegevens en gebruiken ze niet voor advertentieprofilering.
7. Internationale doorgifte
Verschillende subverwerkers zijn gevestigd in de Verenigde Staten. Voor die doorgiften baseren wij ons op één of meer van de volgende waarborgen onder Hoofdstuk V AVG:
- Het EU-VS Data Privacy Framework, waar de ontvanger daaronder gecertificeerd is;
- Door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC's), waar nodig aangevuld met technische en organisatorische maatregelen.
Een kopie van de relevante waarborgen is op verzoek beschikbaar.
8. Bewaartermijnen
Wanneer een Restaurant-eigenaar zijn account opzegt, worden persoonsgegevens van eindklanten binnen 90 dagen verwijderd, behoudens wettelijke bewaarplichten (bijv. facturatie).
9. Jouw rechten
Onder de AVG heb je het recht om:
- De persoonsgegevens in te zien die wij over jou bewaren (art. 15);
- Onjuiste of onvolledige gegevens te corrigeren (art. 16);
- Je gegevens te laten verwijderen ("recht op vergetelheid") (art. 17);
- De verwerking te beperken (art. 18);
- Je gegevens te ontvangen in een overdraagbaar, machineleesbaar formaat (art. 20);
- Bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang (art. 21);
- Toestemming op elk moment in te trekken, waar de verwerking op toestemming is gebaseerd;
- Een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) of de toezichthouder in jouw woonland.
Om een van deze rechten uit te oefenen, e-mail contact@consuai.com. Ben je een eindklant van een restaurant, neem dan eerst contact op met dat restaurant; wij ondersteunen hen bij de afhandeling.
Wij reageren binnen één maand (art. 12 lid 3 AVG), met een mogelijke verlenging van twee maanden bij complexe verzoeken.
10. Onze rol als verwerker voor restaurants
Wanneer wij gegevens van eindklanten verwerken namens een Restaurant-eigenaar, treden wij op als verwerker onder art. 28 AVG. De Restaurant-eigenaar is de verantwoordelijke en is verplicht: (i) een rechtmatige grondslag voor de verwerking te hebben; (ii) zijn klanten te informeren; en (iii) verzoeken van betrokkenen te honoreren. Door zich op Consuai te abonneren en de Algemene Voorwaarden te aanvaarden, gaat de Restaurant-eigenaar akkoord met de in die Voorwaarden opgenomen gegevensverwerkingsbepalingen (sectie 10 van de Voorwaarden), die de verwerkersovereenkomst tussen ons vormen.
11. Beveiliging
Wij passen technische en organisatorische maatregelen toe conform de industrienorm, waaronder:
- TLS 1.2+ voor alle gegevens tijdens overdracht;
- Versleuteling in rust voor de Supabase-database;
- Verplichte multi-factor authenticatie bij elke dashboard-login;
- Tenant-isolatie afgedwongen op applicatieniveau, met een geautomatiseerde audit (Backend/scripts/audit_tenant_isolation.py) bij elke codewijziging;
- Toegang tot productiesystemen beperkt op need-to-know-basis;
- Continue fout- en intrusiemonitoring via Sentry.
Geen enkel systeem is volledig veilig. Als je een kwetsbaarheid of incident opmerkt, neem dan contact op via contact@consuai.com.
12. Kinderen
Consuai is een B2B-product voor bedrijven. Het is niet gericht op kinderen. Wij verzamelen niet bewust persoonsgegevens van personen onder 16 jaar. Als een Restaurant-eigenaar een reservering vastlegt met een minderjarige, is het restaurant verantwoordelijk voor de eventueel benodigde toestemming van een ouder onder art. 8 AVG.
14. Wijzigingen in dit beleid
Wij kunnen dit beleid van tijd tot tijd bijwerken. Materiële wijzigingen worden minimaal 30 dagen voor inwerkingtreding per e-mail aan Restaurant-eigenaren aangekondigd. De datum "Laatst bijgewerkt" bovenaan weerspiegelt de meest recente versie.
15. Contact
Voor privacygerelateerde vragen kun je schrijven naar contact@consuai.com.