← Terug naar home

Privacybeleid

Laatst bijgewerkt: 7 april 2026

1. Wie zijn wij

Dictto is een product van Ruberio, gevestigd te Moergestel, Nederland (KVK: [invullen]). Wij zijn de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit privacybeleid.

Vanwege de omvang van onze organisatie zijn wij niet verplicht een Functionaris Gegevensbescherming (FG/DPO) aan te stellen. Voor vragen over privacy kunt u contact opnemen via [email protected].

2. Welke gegevens verwerken wij

Wij verwerken de volgende categorieën persoonsgegevens:

2.1 Accountgegevens

  • Voornaam, achternaam, e-mailadres, wachtwoord (versleuteld)
  • Bedrijfsnaam, adres, postcode, plaats, land
  • KVK-nummer (of buitenlands equivalent), BTW-nummer
  • Telefoonnummer, website, e-mailadres organisatie
  • IBAN, BIC en naam rekeninghouder (voor weergave op facturen)

2.2 Klantgegevens

U voert zelf klantgegevens in voor het maken van offertes en facturen:

  • Naam, bedrijfsnaam, e-mailadres, telefoonnummer
  • Adres, postcode, plaats, land
  • KVK-nummer, BTW-nummer
  • E-facturatie-adres (Peppol ID of e-mailadres, optioneel)
  • Notities

2.3 Documentgegevens

  • Offertes, facturen en creditnota's met regelitems (omschrijving, aantallen, prijzen, BTW-tarieven)
  • Documentnummers, data, betalingstermijnen, totaalbedragen
  • Documentstatus en statusgeschiedenis

2.4 Spraakdata

  • Audio-opnamen die u maakt via de spraak-naar-offerte functie
  • Transcripties van deze opnamen

2.5 Betalingsgegevens

  • Betalingsstatus, betaalmethode, Stripe-referenties
  • Wij slaan geen creditcardnummers of bankrekeninggegevens van betalende klanten op — deze worden uitsluitend door Stripe verwerkt

2.6 Gebruiksgegevens en analytics

  • Sessie-ID (anoniem, per browsersessie)
  • Paginaweergaven en gebeurtenissen (bijv. “offerte verstuurd”)
  • Apparaattype, browser, besturingssysteem
  • Landcode (afgeleid van IP-adres)
  • IP-adres wordt gehasht opgeslagen — wij slaan nooit uw ruwe IP-adres op in onze analytics
  • UTM-parameters (bronverwijzingen)

2.7 E-mail tracking

  • Wanneer een verzonden offerte of factuur wordt geopend: tijdstip, IP-adres en user-agent van de ontvanger
  • Elke e-mail vermeldt dat een leesbevestiging is opgenomen

2.8 Partnerprogramma

Bij aanmelding voor het Dictto Partnerprogramma verzamelen wij:

  • Naam, e-mailadres, type onderneming (particulier/ZZP/BV)
  • KVK-nummer (optioneel)
  • Social media profielen (Instagram, TikTok, YouTube, overig)
  • Motivatie

3. Grondslagen en doeleinden

Wij verwerken uw gegevens op de volgende grondslagen:

DoelGrondslag (AVG)
Leveren van de dienst (account, documenten, e-mail)Uitvoering overeenkomst (art. 6 lid 1 sub b)
Betalingsverwerking via StripeUitvoering overeenkomst
AI-verwerking van spraak en tekstUitvoering overeenkomst
E-mail leesbevestigingen (tracking pixels)Gerechtvaardigd belang van de gebruiker (art. 6 lid 1 sub f)
Analytics en productverbeteringGerechtvaardigd belang (art. 6 lid 1 sub f)
Fiscale bewaarplicht (7 jaar)Wettelijke verplichting (art. 6 lid 1 sub c)
Push notificatiesToestemming (art. 6 lid 1 sub a)
Affiliate tracking cookieToestemming (art. 6 lid 1 sub a)
Partnerprogramma aanmeldingUitvoering overeenkomst / toestemming

4. Verwerkers en doorgifte

Wij maken gebruik van de volgende verwerkers (sub-verwerkers):

VerwerkerLocatieDoelDoorgifte-waarborg
SupabaseEU (Frankfurt)Database, authenticatie, bestandsopslagGeen doorgifte buiten EU
VercelEUHosting van de applicatieGeen doorgifte buiten EU
OpenAIVSSpraaktranscriptie (Whisper) en AI-structurering (GPT-4o)Standard Contractual Clauses (SCC's)
AnthropicVSAI-structurering (Claude, fallback)Standard Contractual Clauses (SCC's)
StripeEU (Dublin) / VSBetalingsverwerking, Stripe ConnectSCC's + aanvullende maatregelen
ResendVSTransactionele e-mailverzendingStandard Contractual Clauses (SCC's)

5. Internationale doorgifte

Een deel van de verwerking vindt plaats buiten de Europese Economische Ruimte (EER), met name in de Verenigde Staten. Conform het Schrems II-arrest van het Hof van Justitie van de EU waarborgen wij deze doorgifte via:

  • Standard Contractual Clauses (SCC's) zoals goedgekeurd door de Europese Commissie (Uitvoeringsbesluit 2021/914)
  • Aanvullende technische maatregelen: versleuteling in transit (TLS) en at rest, minimale dataoverdracht, en geen opslag van audiobestanden door OpenAI

Meer details vindt u in onze verwerkersovereenkomst.

6. Cookies en tracking

Dictto maakt gebruik van een beperkt aantal cookies. Voor een volledig overzicht verwijzen wij naar ons cookiebeleid.

  • Functionele cookies: voor authenticatie (Supabase) en het onthouden van uw cookievoorkeur. Geen toestemming vereist.
  • Affiliate tracking cookie (aff_ref): wordt alleen geplaatst met uw toestemming bij het volgen van een partnerlink. Duur: 60 dagen.

Wij gebruiken geen cookies van derden voor advertenties of marketing.

7. E-mail leesbevestigingen

Verzonden offertes en facturen bevatten een leesbevestiging (tracking pixel). Wanneer de ontvanger de e-mail opent, wordt de afzender hiervan op de hoogte gesteld. Hierbij worden geregistreerd:

  • Tijdstip van openen
  • IP-adres van de ontvanger
  • User-agent (browser/apparaat)

De grondslag hiervoor is het gerechtvaardigde belang van de gebruiker (afzender) om te weten of zakelijke correspondentie is ontvangen en gelezen. Elke e-mail vermeldt expliciet dat een leesbevestiging is opgenomen.

8. AI-verwerking en spraakdata

Dictto gebruikt kunstmatige intelligentie om spraak om te zetten naar gestructureerde offerte- en factuurgegevens:

  • Spraaktranscriptie: uw audio-opname wordt naar OpenAI Whisper gestuurd voor transcriptie. De audio wordt in real time verwerkt en niet opgeslagen door OpenAI na verwerking.
  • AI-structurering: de getranscribeerde tekst wordt naar OpenAI GPT-4o (of Anthropic Claude als fallback) gestuurd om klantgegevens, regelitems en bedragen te extraheren. Ook hier wordt data niet opgeslagen door de AI-provider.

Dit betreft geen geautomatiseerde individuele besluitvorming in de zin van artikel 22 AVG. De door AI gegenereerde offertes en facturen worden altijd ter beoordeling aan u voorgelegd voordat ze worden verstuurd. U bent te allen tijde verantwoordelijk voor de inhoud van uw documenten.

9. Embeddings en contextueel leren

Om de AI-structurering te verbeteren, slaat Dictto eerder aangemaakte regelitems op als wiskundige vectoren (embeddings) via OpenAI. Dit stelt het systeem in staat om bij nieuwe spraak-invoer relevante historische regelitems als context te gebruiken, waardoor de nauwkeurigheid van suggesties verbetert.

  • Opgeslagen data: omschrijving, aantal, eenheidsprijs en BTW-tarief van regelitems
  • Vectoren worden opgeslagen in onze eigen database (Supabase), gekoppeld aan uw organisatie
  • Bij accountverwijdering worden alle embeddings verwijderd

10. Analytics

Wij gebruiken een eigen analytics-systeem (geen Google Analytics of vergelijkbare diensten van derden). Wij registreren:

  • Paginaweergaven en gebruiksgebeurtenissen
  • Sessie-ID (willekeurig gegenereerd per browsersessie, niet herleidbaar tot u als persoon)
  • Apparaattype, browser en besturingssysteem
  • Landcode
  • IP-adres wordt gehasht — het ruwe IP-adres wordt niet opgeslagen

Dit doen wij op basis van ons gerechtvaardigd belang om de werking en het gebruik van onze dienst te begrijpen en te verbeteren.

11. Push notificaties

Met uw toestemming sturen wij push notificaties via uw browser over de status van uw offertes en facturen (bijv. geopend, geaccepteerd, betaald). U kunt push notificaties op elk moment uitschakelen via Instellingen > Notificaties. Uw push-abonnement wordt opgeslagen in onze database en verwijderd bij uitschakeling of accountverwijdering.

12. Bewaartermijnen

GegevensBewaartermijn
AccountgegevensZolang uw account actief is
KlantgegevensZolang uw account actief is; verwijderd bij accountverwijdering
Financiële documenten (offertes, facturen, creditnota's)7 jaar na aanmaak (wettelijke verplichting)
Spraakdata (audio)Tijdelijk — wordt niet opgeslagen na transcriptie
TranscriptiesZolang uw account actief is
Analytics dataZolang uw account actief is; verwijderd bij accountverwijdering
EmbeddingsZolang uw account actief is; verwijderd bij accountverwijdering
Push-abonnementenTot uitschakeling of accountverwijdering
Partnerprogramma aanmeldingenZolang het partnerschap actief is, of tot intrekking aanvraag

Bij accountverwijdering worden uw persoonsgegevens binnen 30 dagen gewist. Financiële documenten worden geanonimiseerd (klantgegevens ontkoppeld) maar bewaard conform de fiscale bewaarplicht van 7 jaar (Algemene wet inzake rijksbelastingen).

13. Uw rechten

Op grond van de AVG heeft u de volgende rechten:

  • Recht op inzage (art. 15): u kunt al uw gegevens exporteren via Instellingen > Team & meer > Data exporteren
  • Recht op rectificatie (art. 16): u kunt uw gegevens op elk moment aanpassen in uw account
  • Recht op verwijdering (art. 17): u kunt uw account verwijderen via Instellingen > Team & meer > Account verwijderen
  • Recht op overdraagbaarheid (art. 20): export in machineleesbaar JSON-formaat
  • Recht op beperking (art. 18): neem contact op via [email protected]
  • Recht van bezwaar (art. 21): u kunt bezwaar maken tegen verwerkingen op basis van gerechtvaardigd belang via [email protected]
  • Recht om toestemming in te trekken: waar verwerking op toestemming is gebaseerd (push notificaties, cookies), kunt u deze op elk moment intrekken

U heeft daarnaast het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) indien u van mening bent dat wij uw persoonsgegevens niet correct verwerken.

14. Beveiliging

Wij nemen de volgende technische en organisatorische maatregelen om uw gegevens te beschermen:

  • Alle data versleuteld in opslag (encryption at rest)
  • Alle communicatie via HTTPS/TLS
  • Row Level Security (RLS) op databaseniveau — organisaties kunnen elkaars data niet inzien
  • Veilige authenticatie via Supabase Auth met sessiebeheer
  • Webhook-verificatie via HMAC-SHA256 (Stripe)
  • Wachtwoorden worden gehasht opgeslagen (nooit in platte tekst)
  • API-sleutels en credentials opgeslagen in omgevingsvariabelen, niet in broncode
  • Rolgebaseerde toegangscontrole binnen de applicatie (admin/medewerker)

15. Wijzigingen

Wij kunnen dit privacybeleid wijzigen. Wezenlijke wijzigingen communiceren wij minimaal 30 dagen van tevoren per e-mail. De meest recente versie is altijd beschikbaar op deze pagina.

16. Contact

Voor vragen over dit privacybeleid of het uitoefenen van uw rechten kunt u contact opnemen via: