Privacybeleid

Consuai — AI-Powered Reservation Management and Customer Communication

Laatst bijgewerkt: 4 juni 2026

Dit Privacybeleid is van toepassing op de Consuai-dienst ("Consuai", "wij", "ons"), een AI-gestuurd reserverings-, klantcommunicatie- en webdesignplatform voor restaurants en cafés, beschikbaar op https://app.consuai.com en https://www.consuai.com.

1. Wie wij zijn

Consuai wordt geëxploiteerd als eenmanszaak:

  • HandelsnaamConsuai
  • KVK-nummer95814051
  • Btw-nummerNL004984162B71
  • Contact e-mailcontact@consuai.com

Voor privacyvragen kun je ons bereiken op het bovenstaande e-mailadres. Wij zijn niet verplicht een Functionaris voor Gegevensbescherming (FG) aan te wijzen onder art. 37 AVG, maar de eigenaar behandelt alle gegevensbeschermingszaken persoonlijk.

2. Reikwijdte: twee soorten personen, twee rollen

Consuai is een B2B SaaS-product. Twee verschillende groepen personen worden geraakt door onze verwerking van persoonsgegevens, en onze rol onder de AVG verschilt per groep:

(a) Restaurant-eigenaren — de bedrijven (of hun personeel) die een Consuai-account aanmaken en een abonnement betalen. Voor hen treden wij op als verwerkingsverantwoordelijke. Dit omvat accountregistratie, authenticatie, facturering en klantondersteuning.

(b) Eindklanten van het restaurant — de personen die reserveren, berichten sturen of bellen naar een restaurant dat Consuai gebruikt. Voor hun gegevens is de Restaurant-eigenaar de verwerkingsverantwoordelijke en treden wij op als verwerker namens het restaurant, in overeenstemming met art. 28 AVG (zie sectie 10).

Ben je een eindklant van een restaurant en wil je je rechten uitoefenen (inzage, verwijdering, enz.), neem dan rechtstreeks contact op met het restaurant. Wij ondersteunen het restaurant bij het afhandelen van je verzoek.

3. Welke persoonsgegevens wij verwerken

3.1 Gegevens van Restaurant-eigenaren (wij zijn verwerkingsverantwoordelijke)

Identificatie
Naam eigenaar, bedrijfsnaam
Jij, bij aanmelding
Contact
E-mailadres, telefoonnummer
Jij
Authenticatie
Gehasht wachtwoord, MFA-codes, MFA-sessietokens
Jij, via Supabase Auth
Facturering
Abonnement, referentie betaalmethode, factuurhistorie
Stripe (wij bewaren geen kaartnummers)
Gebruik & diagnostiek
Inlogtijdstempels, IP-adressen, foutmeldingen, browsermetadata
Automatisch, via Sentry en serverlogs
Restaurantconfiguratie
Openingstijden, menu, AI-persoonlijkheid, aangepaste velden
Jij

3.2 Gegevens van eindklanten (restaurant is verantwoordelijke, wij verwerken namens hen)

Identificatie
Klantnaam
Contact
Telefoonnummer, e-mailadres
Reserveringsgegevens
Datum, tijd, aantal personen, aangepaste velden (bijv. allergieën, voorkeur tafel) die het restaurant heeft geconfigureerd
Communicatie
Berichten via chatwidget, AI-gegenereerde gesprekssamenvattingen, inkomende sms-antwoorden
Spraak & telefonie
Gespreksaudio (kortstondig tijdens het gesprek), Deepgram-transcripties, gespreksduur, beller-ID
Marketinginteractie
Of de klant een e-mail heeft ontvangen/geopend die het restaurant via de AI Insights-tool van Consuai heeft verstuurd

Wij verzamelen niet opzettelijk "bijzondere categorieën" persoonsgegevens (art. 9 AVG) zoals gezondheidsgegevens. Als een restaurant een aangepast veld configureert waarin gevoelige informatie wordt vastgelegd (bijv. allergieën), is het restaurant uitsluitend verantwoordelijk voor een rechtmatige grondslag en het informeren van de betrokkene.

4. Waarom wij deze gegevens verwerken en op welke rechtsgrondslag

4.1 Restaurant-eigenaren

Leveren van de SaaS-dienst waarop je een abonnement hebt
Uitvoering van een overeenkomst (art. 6 lid 1 sub b)
Authenticatie, beveiliging, fraudepreventie
Gerechtvaardigd belang (art. 6 lid 1 sub f) en wettelijke verplichting
Facturering, factuuradministratie, fiscale administratie
Uitvoering van overeenkomst; wettelijke verplichting (art. 6 lid 1 sub c)
Service-e-mails (bijv. gebruiksmeldingen, accountmededelingen)
Uitvoering van overeenkomst
Productverbeteringsanalyses en foutmonitoring
Gerechtvaardigd belang (art. 6 lid 1 sub f) — wij wegen dit af tegen je privacy en verzamelen alleen wat nodig is
Marketingmails over Consuai (indien van toepassing)
Gerechtvaardigd belang, met opt-out in elke e-mail

4.2 Eindklanten

Wij verwerken deze gegevens uitsluitend op gedocumenteerde instructies van de Restaurant-eigenaar (art. 28 AVG), namelijk om: reserveringen aan te nemen en te beheren, bevestigingen en herinneringen te versturen, vragen via chat of telefoon te beantwoorden, en (wanneer het restaurant dat initieert) marketingmails te versturen via de AI Insights-tool. De rechtsgrondslag wordt door het restaurant bepaald.

5. AI-verwerking

Consuai gebruikt AI-diensten van derden voor de chatwidget, telefoongesprekken en analyses:

  • OpenAImodel gpt-5.4-mini voor chat, telefonisch redeneren, samenvattingen en analyses
  • Deepgramomzetten van gespreksaudio naar tekst (STT)
  • ElevenLabsomzetten van AI-antwoorden naar spraak (TTS)

Deze leveranciers verwerken de relevante inhoud (berichten, transcripties, audio) namens ons onder hun eigen gegevensverwerkingsvoorwaarden. Wij hebben leveranciers geselecteerd die contractueel toezeggen om klantinhoud niet te gebruiken voor het trainen van hun algemene modellen (zero-retention of no-training waar beschikbaar). Audio wordt in real-time verwerkt en wordt na afloop van het gesprek niet als audio bewaard; alleen het tekstuele transcript wordt bewaard.

6. Subverwerkers en andere ontvangers

Wij delen persoonsgegevens uitsluitend met de hieronder vermelde subverwerkers en ontvangers, en alleen voor zover nodig voor de dienst:

Supabase (Supabase Inc.)
Database & authenticatie
EU (Frankfurt)
Railway (Railway Corp.)
Backendhosting
VS/EU
Vercel Inc.
Frontendhosting
Wereldwijde edge / VS
OpenAI, L.L.C.
Chat, telefoon-LLM, analyses, samenvattingen
VS
Deepgram, Inc.
Spraak-naar-tekst voor telefonie
VS
ElevenLabs, Inc.
Tekst-naar-spraak voor telefonie
VS
Twilio Ireland Limited
Telefoongesprekken, sms
EU/VS
Resend, Inc.
Transactionele en marketing-e-mailbezorging
VS/EU
Stripe Payments Europe Ltd.
Abonnementsfacturering en betalingen
Ierland (EER)
Functional Software, Inc. (Sentry)
Foutmonitoring
VS

Wij kunnen daarnaast persoonsgegevens verstrekken aan: (i) bevoegde overheidsinstanties wanneer wij daartoe wettelijk verplicht zijn; (ii) professionele adviseurs (accountants, advocaten) onder geheimhouding; en (iii) een rechtsopvolger in geval van fusie, overname of activaverkoop, met gelijkwaardige bescherming.

Wij verkopen geen persoonsgegevens en gebruiken ze niet voor advertentieprofilering.

7. Internationale doorgifte

Verschillende subverwerkers zijn gevestigd in de Verenigde Staten. Voor die doorgiften baseren wij ons op één of meer van de volgende waarborgen onder Hoofdstuk V AVG:

  • Het EU-VS Data Privacy Framework, waar de ontvanger daaronder gecertificeerd is;
  • Door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC's), waar nodig aangevuld met technische en organisatorische maatregelen.

Een kopie van de relevante waarborgen is op verzoek beschikbaar.

8. Bewaartermijnen

Account Restaurant-eigenaar (auth, profiel, configuratie)
Voor de looptijd van het account, plus tot 90 dagen na sluiting voor back-uprotatie
Reserveringen
Onbeperkt bewaard zolang het restaurant Consuai gebruikt (reserveringen worden niet door het systeem verwijderd); verwijderd op verzoek van het restaurant via het AVG-endpoint
Gesprekssamenvattingen (contact_messages)
6 maanden, daarna automatisch verwijderd
Gespreksopnames (audio)
Niet bewaard — direct na het gesprek vernietigd
Gesprekstranscripten en metadata (call_logs)
Bewaard voor de looptijd van het account, onder voorbehoud van verwijdering op verzoek
Sms-metadata (sms_logs)
Bewaard voor de looptijd van het account, onder voorbehoud van verwijdering op verzoek
Authenticatiecodes (mfa_codes)
Maximaal 30 minuten; verbruikt bij gebruik
MFA-sessietokens (mfa_sessions)
Tot de gebruiker uitlogt
Facturatie- en fiscale administratie
7 jaar vanaf einde boekjaar, zoals vereist door de Nederlandse belastingwetgeving (art. 52 AWR)
Serverlogs en foutrapporten
Maximaal 90 dagen

Wanneer een Restaurant-eigenaar zijn account opzegt, worden persoonsgegevens van eindklanten binnen 90 dagen verwijderd, behoudens wettelijke bewaarplichten (bijv. facturatie).

9. Jouw rechten

Onder de AVG heb je het recht om:

  • De persoonsgegevens in te zien die wij over jou bewaren (art. 15);
  • Onjuiste of onvolledige gegevens te corrigeren (art. 16);
  • Je gegevens te laten verwijderen ("recht op vergetelheid") (art. 17);
  • De verwerking te beperken (art. 18);
  • Je gegevens te ontvangen in een overdraagbaar, machineleesbaar formaat (art. 20);
  • Bezwaar te maken tegen verwerking op basis van gerechtvaardigd belang (art. 21);
  • Toestemming op elk moment in te trekken, waar de verwerking op toestemming is gebaseerd;
  • Een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) of de toezichthouder in jouw woonland.

Om een van deze rechten uit te oefenen, e-mail contact@consuai.com. Ben je een eindklant van een restaurant, neem dan eerst contact op met dat restaurant; wij ondersteunen hen bij de afhandeling.

Wij reageren binnen één maand (art. 12 lid 3 AVG), met een mogelijke verlenging van twee maanden bij complexe verzoeken.

10. Onze rol als verwerker voor restaurants

Wanneer wij gegevens van eindklanten verwerken namens een Restaurant-eigenaar, treden wij op als verwerker onder art. 28 AVG. De Restaurant-eigenaar is de verantwoordelijke en is verplicht: (i) een rechtmatige grondslag voor de verwerking te hebben; (ii) zijn klanten te informeren; en (iii) verzoeken van betrokkenen te honoreren. Door zich op Consuai te abonneren en de Algemene Voorwaarden te aanvaarden, gaat de Restaurant-eigenaar akkoord met de in die Voorwaarden opgenomen gegevensverwerkingsbepalingen (sectie 10 van de Voorwaarden), die de verwerkersovereenkomst tussen ons vormen.

11. Beveiliging

Wij passen technische en organisatorische maatregelen toe conform de industrienorm, waaronder:

  • TLS 1.2+ voor alle gegevens tijdens overdracht;
  • Versleuteling in rust voor de Supabase-database;
  • Verplichte multi-factor authenticatie bij elke dashboard-login;
  • Tenant-isolatie afgedwongen op applicatieniveau, met een geautomatiseerde audit (Backend/scripts/audit_tenant_isolation.py) bij elke codewijziging;
  • Toegang tot productiesystemen beperkt op need-to-know-basis;
  • Continue fout- en intrusiemonitoring via Sentry.

Geen enkel systeem is volledig veilig. Als je een kwetsbaarheid of incident opmerkt, neem dan contact op via contact@consuai.com.

12. Kinderen

Consuai is een B2B-product voor bedrijven. Het is niet gericht op kinderen. Wij verzamelen niet bewust persoonsgegevens van personen onder 16 jaar. Als een Restaurant-eigenaar een reservering vastlegt met een minderjarige, is het restaurant verantwoordelijk voor de eventueel benodigde toestemming van een ouder onder art. 8 AVG.

13. Cookies en vergelijkbare technologieën

Het Consuai-dashboard gebruikt uitsluitend strikt noodzakelijke cookies en localStorage-items om je ingelogd te houden (Supabase-sessietoken, MFA-token). Wij gebruiken geen advertentiecookies of analytische cookies van derden in het dashboard. Mochten wij in de toekomst analytics toevoegen, dan vragen wij eerst toestemming zoals vereist door de Telecommunicatiewet (art. 11.7a).

14. Wijzigingen in dit beleid

Wij kunnen dit beleid van tijd tot tijd bijwerken. Materiële wijzigingen worden minimaal 30 dagen voor inwerkingtreding per e-mail aan Restaurant-eigenaren aangekondigd. De datum "Laatst bijgewerkt" bovenaan weerspiegelt de meest recente versie.

15. Contact

Voor privacygerelateerde vragen kun je schrijven naar contact@consuai.com.