Privacyverklaring

1. Wie is verantwoordelijk?

Lyfta systems is verantwoordelijk voor de verwerking van persoonsgegevens die nodig zijn voor onze eigen bedrijfsvoering, zoals demo-aanvragen, klantcontact, administratie, facturatie, support, beveiliging en het beheer van de website.

Wanneer wij Architag leveren aan een klant, verwerken wij ook gegevens namens die klant. Denk aan foto’s, metadata, gebruikersaccounts, projectindelingen, tags, zoekopdrachten en AI-verwerking binnen de klantomgeving. In die situatie is de klant de verwerkingsverantwoordelijke en treedt Lyfta systems op als verwerker. De afspraken daarover worden vastgelegd in een verwerkersovereenkomst.

Voor vragen over deze privacyverklaring kun je contact opnemen via info@lyfta.nl.

2. Persoonsgegevens die wij verwerken

Voor demo-aanvragen en contact verwerken wij gegevens die je zelf invult of aan ons verstrekt, zoals naam, werk-e-mailadres, bureaugrootte, bericht, correspondentie en eventuele afspraken die uit het contact volgen.

Voor gebruikersaccounts verwerken wij onder meer naam, e-mailadres, authenticatiegegevens, sessiegegevens, rollen, rechten en instellingen. Wachtwoorden worden niet leesbaar door ons opgeslagen; authenticatie loopt via Supabase Auth.

Binnen de dienst verwerken wij gegevens over het gebruik van de beeldenbank, zoals uploads, bestandsnamen, project- en mapjeskoppelingen, favorieten, zoekopdrachten, downloadhandelingen, bewerkingen, instellingen en technische loggegevens die nodig zijn voor werking, beveiliging en support.

Bij foto’s verwerken wij de geuploade bestanden en bijbehorende metadata. Dat kan onder meer gaan om bestandsnaam, opnamedatum of EXIF-informatie, thumbnails, AI-beschrijvingen, tags, synoniemen, zoekzinnen, OCR-tekst wanneer tekst in beeld wordt herkend, en tekst- of beeld-embeddings waarmee zoeken op betekenis en visuele gelijkenis mogelijk wordt.

Voor facturatie en administratie verwerken wij, wanneer van toepassing, bedrijfsnaam, factuuradres, btw- en KvK-gegevens, factuurcontact, betaalstatus, abonnement en factuurhistorie.

Daarnaast verwerken onze systemen technische gegevens zoals IP-adres, browser- en apparaatgegevens, foutmeldingen, beveiligingslogs en requestgegevens voor zover dat nodig is voor de werking en beveiliging van de dienst.

3. Bijzondere of gevoelige persoonsgegevens

Architag is niet bedoeld om bijzondere persoonsgegevens te verzamelen. Omdat klanten zelf foto’s uploaden, kunnen foto’s in de praktijk wel personen, gezichten, locaties, kentekens, namen op borden of andere gevoelige context bevatten.

De klant is verantwoordelijk voor de rechtmatigheid van de inhoud die in de beeldenbank wordt geplaatst, waaronder auteursrecht, portretrecht, toestemming, arbeidsrechtelijke afspraken en eventuele interne toegangsregels. Lyfta systems verwerkt die inhoud alleen voor het leveren van de dienst en volgens de instructies van de klant.

Onze website en dienst richten zich niet op kinderen jonger dan 16 jaar. Als je denkt dat wij onbedoeld persoonsgegevens van een minderjarige hebben verwerkt, neem dan contact op via info@lyfta.nl.

4. Doelen en grondslagen

Wij verwerken demo- en contactgegevens om aanvragen te beantwoorden, gesprekken te plannen en een passend aanbod te kunnen doen. De grondslag is toestemming of ons gerechtvaardigd belang om zakelijke aanvragen op te volgen.

Wij verwerken account- en gebruiksgegevens om de overeenkomst met de klant uit te voeren: inloggen, toegang beveiligen, foto’s tonen, zoeken mogelijk maken, projecten en mapjes beheren, downloads aanbieden en support leveren.

Wij verwerken foto’s, metadata en AI-resultaten om de kern van Architag te leveren: automatisch beschrijven, taggen, indexeren, zoeken op vaktaal, zoeken op betekenis en zoeken met een foto. Voor klantinhoud doen wij dit als verwerker namens de klant.

Wij verwerken factuur- en abonnementsgegevens om overeenkomsten uit te voeren, betalingen te administreren en te voldoen aan wettelijke verplichtingen, waaronder fiscale bewaarplichten.

Wij verwerken technische logs, beveiligingsgegevens en foutmeldingen om de dienst veilig, beschikbaar en betrouwbaar te houden, misbruik te voorkomen, incidenten te onderzoeken en onze dienstverlening te verbeteren. De grondslag is uitvoering van de overeenkomst en ons gerechtvaardigd belang bij beveiliging en kwaliteitsverbetering.

Wij sturen alleen marketingcommunicatie wanneer daar een passende grondslag voor is, bijvoorbeeld toestemming of een bestaande zakelijke klantrelatie binnen de grenzen van de wet. Je kunt je daartegen verzetten of je toestemming intrekken.

5. AI-verwerking

Architag gebruikt AI-diensten om foto’s te analyseren, beschrijvingen en tags te maken, zoekzinnen te genereren, tekst- en beeld-embeddings te maken en zoekvragen te ondersteunen. AI-output kan onvolledig of onjuist zijn en is bedoeld als hulpmiddel om beeldmateriaal vindbaar te maken.

Wij gebruiken AI-verwerking niet om geautomatiseerde besluiten te nemen met rechtsgevolgen voor personen. De AI bepaalt dus niet zelfstandig of iemand ergens recht op heeft, wordt toegelaten of wordt uitgesloten.

Wij geven ingeschakelde AI-providers niet de opdracht om klantmateriaal te gebruiken voor het trainen van algemene AI-modellen. De concrete afspraken, waarborgen en eventuele doorgiften worden vastgelegd in de verwerkersafspraken en het subprocessoroverzicht.

6. Bewaartermijnen

Demo-aanvragen en contactgeschiedenis bewaren wij maximaal 24 maanden na het laatste inhoudelijke contact, tenzij je eerder om verwijdering vraagt of er een overeenkomst tot stand komt waarvoor langere bewaring nodig is.

Accountgegevens bewaren wij zolang het account actief is en de klantovereenkomst loopt. Na beëindiging houden wij gegevens nog 30 dagen beschikbaar voor herstel of export. Daarna verwijderen wij account- en klantdata definitief binnen uiterlijk 90 dagen, behalve voor gegevens waarvoor een wettelijke bewaarplicht geldt.

Foto’s, metadata, tags, embeddings, projectindelingen, favorieten en andere klantdata bewaren wij zolang de klantovereenkomst loopt. Na beëindiging geldt dezelfde herstel- en exportperiode van 30 dagen en definitieve verwijdering binnen uiterlijk 90 dagen. Back-uprestanten verdwijnen volgens de retentie van de betrokken infrastructuurprovider.

Factuur- en administratiegegevens bewaren wij 7 jaar, zoals vereist voor de fiscale administratie.

Technische logs bewaren wij maximaal 12 maanden, tenzij langere bewaring nodig is voor beveiligingsonderzoek, incidentafhandeling, juridische verplichtingen of het vaststellen van misbruik.

7. Delen met derden en subprocessors

Lyfta systems verkoopt geen persoonsgegevens. Wij delen gegevens alleen wanneer dat nodig is voor het leveren van de dienst, voor onze bedrijfsvoering, op instructie van de klant of wanneer wij daartoe wettelijk verplicht zijn.

Voor Architag gebruiken wij categorieën van subprocessors zoals hosting- en platformproviders, database-, storage- en authenticatieproviders, workflowautomatisering, AI- en embeddingproviders, formulier- en e-mailproviders, facturatie- en boekhoudsystemen en technische supportdiensten.

In de huidige technische opzet kunnen onder meer Supabase, Vercel, n8n, OpenRouter, Jina en, wanneer geconfigureerd, Formspree of facturatie-/boekhoudkoppelingen betrokken zijn. De exacte lijst kan per klantomgeving verschillen. Een actueel subprocessoroverzicht is op verzoek beschikbaar via info@lyfta.nl.

Met partijen die namens ons persoonsgegevens verwerken sluiten wij verwerkersafspraken of gebruiken wij de beschikbare dataverwerkingsovereenkomsten van die partijen.

8. Internationale doorgifte

Wij richten klantomgevingen zo in dat hosting, database en opslag zoveel mogelijk aansluiten op de afgesproken regio en de aard van de klant. Omdat sommige infrastructuur-, AI- of supportproviders internationaal werken, kan verwerking of toegang buiten de Europese Economische Ruimte plaatsvinden.

Wanneer persoonsgegevens buiten de EER worden verwerkt, gebruiken wij passende waarborgen, zoals verwerkersafspraken, standaardcontractbepalingen, aanvullende beveiligingsmaatregelen of andere mechanismen die de AVG toestaat.

Wij doen geen algemene belofte dat gegevens altijd uitsluitend in Nederland worden verwerkt. De concrete hostingregio’s, AI-diensten en subprocessors worden per klantconfiguratie vastgelegd.

9. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, misbruik, onbevoegde toegang en ongeoorloofde wijziging. Voorbeelden zijn versleutelde verbindingen, toegangscontrole, sessiebeheer, gescheiden klantomgevingen, server-side service keys, signed URLs voor bestanden, databasebeveiliging, logging en rate-limits voor kostbare AI-functionaliteit.

Elke klantomgeving heeft een eigen technische configuratie, waaronder een eigen Supabase-project en Vercel-deployment. Daardoor worden klantdata technisch gescheiden beheerd.

Geen enkel systeem is volledig risicoloos. Daarom blijven wij maatregelen evalueren en passen wij beveiliging aan wanneer de dienst, dreigingen of wettelijke eisen veranderen.

10. Jouw rechten

Je hebt onder de AVG recht op inzage, correctie, verwijdering, beperking van verwerking, bezwaar, overdraagbaarheid van gegevens en het intrekken van toestemming wanneer verwerking op toestemming is gebaseerd.

Stuur je verzoek naar info@lyfta.nl. Wij reageren zo snel mogelijk en uiterlijk binnen een maand. Als een verzoek complex is of veel verzoeken tegelijk binnenkomen, kan deze termijn volgens de AVG worden verlengd. In dat geval laten wij dat tijdig weten.

Gaat je verzoek over foto’s of gegevens die door een klant in diens eigen beeldenbank zijn geplaatst, dan kan die klant de verwerkingsverantwoordelijke zijn. Wij kunnen je verzoek dan doorzetten naar de klant of je vragen om rechtstreeks contact met die klant op te nemen.

Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

11. Datalekken

Vermoed je een datalek, onbevoegde toegang of verkeerd gedeelde gegevens? Meld dit dan zo snel mogelijk via info@lyfta.nl met zoveel mogelijk relevante informatie.

Wij onderzoeken meldingen en nemen passende maatregelen. Wanneer de wet dat vereist, informeren wij de betrokken klant, betrokken personen en/of de Autoriteit Persoonsgegevens.

12. Cookies en vergelijkbare technieken

Voor de website en de applicatie gebruiken wij cookies en vergelijkbare technieken die nodig zijn voor inloggen, beveiliging en functionele voorkeuren. Meer informatie staat in onze cookieverklaring op /cookies.

13. Wijzigingen

Wij kunnen deze privacyverklaring aanpassen wanneer de dienst, wetgeving, subprocessors of onze werkwijze verandert. De meest recente versie staat altijd op deze pagina. Bij wezenlijke wijzigingen informeren wij klanten waar dat redelijkerwijs nodig is.

14. Contact

Lyfta systems, Apolloweg 122, 8239 DA Lelystad, KvK 42009313.

E-mail: info@lyfta.nl.