Gegevensverzameling & Verwerkingsbeleid
Laatst bijgewerkt: 2026-06-12
Welkom bij Andri, een product van Andri AI B.V., gevestigd in Nederland. Dit Gegevensverzameling & Verwerkingsbeleid ("Beleid") beschrijft hoe wij juridische data en persoonsgegevens verzamelen, verwerken, opslaan en delen in het kader van onze dienstverlening. Onze werkwijze voldoet aan de toepasselijke wetgeving, waaronder de AVG, en respecteert de intellectuele-eigendomsrechten van derden.
1. Rollen bij gegevensverwerking
Onder de Algemene Verordening Gegevensbescherming ("AVG"):
- Voor de gegevens die u in het Andri-platform verwerkt bent u de verwerkingsverantwoordelijke en is Andri AI B.V. de verwerker (art. 28 AVG). Wij verwerken die gegevens uitsluitend in uw opdracht en volgens uw instructies, vastgelegd in een verwerkersovereenkomst die elke klant voor ingebruikname tekent.
- Voor gegevens die wij voor eigen doeleinden verwerken, zoals accountadministratie, facturering en website-statistieken, is Andri AI B.V. zelf de verwerkingsverantwoordelijke. Zie hiervoor ons privacybeleid en ons cookiebeleid.
2. Verwerkingsdoelen & rechtsgrondslag
Wij verwerken persoonsgegevens en juridische data voor de volgende doelen:
- Het leveren en onderhouden van de Andri-dienst.
- Het verbeteren van onze dienstverlening, bijvoorbeeld op basis van geaggregeerde gebruiksstatistieken en feedback. Klantgegevens worden daarbij nooit gebruikt om AI-modellen te trainen.
- Doelen die expliciet zijn vastgelegd in onze serviceovereenkomst of aanvullende afspraken die u accepteert.
Belangrijk: Uw gegevens worden nooit gebruikt voor het trainen van AI-modellen. Wij zetten bestaande foundation-modellen in; klantgegevens komen in geen enkele trainingsloop terecht. Alle klantgegevens zijn privé, versleuteld en strikt gescheiden per klant.
Onze verwerking is gebaseerd op:
- Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG): waar verwerking noodzakelijk is voor de uitvoering van onze overeenkomst met u.
- Gerechtvaardigd belang (art. 6 lid 1 sub f AVG): bijvoorbeeld voor het beveiligen en verbeteren van onze dienstverlening, tenzij uw fundamentele rechten en vrijheden zwaarder wegen.
- Toestemming (art. 6 lid 1 sub a AVG): waar de wet dat vereist vragen wij uw expliciete toestemming.
- Wettelijke verplichting (art. 6 lid 1 sub c AVG): waar verwerking noodzakelijk is om te voldoen aan wettelijke verplichtingen onder EU- of lidstaatrecht.
3. Onze verzameling van juridische data
Andri verzamelt en vat handmatig openbaar beschikbare juridische data samen uit betrouwbare bronnen, waaronder BAILII, uitspraken.rechtspraak.nl en judiciary.uk, in overeenstemming met hun gebruiksvoorwaarden. Samengevatte data is altijd voorzien van bronvermelding en gebruikers krijgen een directe link naar de originele bron voor verificatie.
4. Openbare informatie en AI
4.1 Bronnen van openbare informatie
Voor onze dienstverlening gebruikt Andri openbaar beschikbare juridische informatie uit geautoriseerde bronnen, waaronder:
- Rechterlijke uitspraken van officiële rechtspraakwebsites en juridische databanken
- Openbare processtukken en documenten
- Wetgeving en regelgeving
- Openbare juridische adviezen en conclusies
- Wetenschappelijke juridische publicaties
- Officiële juridische overheidsbronnen
Dit is dezelfde informatie die advocatenkantoren en juridische professionals dagelijks raadplegen om hun cliënten te bedienen.
4.2 Verwerking van openbare informatie
Openbare informatie kan verwijzingen naar personen bevatten en daarmee persoonsgegevens zijn. Wij verwerken deze informatie:
- Alleen om context te bieden bij vragen van klanten en de relevantie van onze juridische analyse te verbeteren
- Om juridische begrippen en jurisprudentie beter te ontsluiten
- Nooit met het doel om personen te identificeren of te profileren
Wij gebruiken geen klantgegevens voor AI-training. Uw geüploade documenten en privégegevens blijven vertrouwelijk.
4.3 Privacyrechten en openbare informatie
Ook openbaar beschikbare informatie behandelen wij zorgvuldig:
- Wij respecteren privacyrechten zoals beschreven in ons privacybeleid
- Wij erkennen dat privacyrechten ook op openbare informatie van toepassing kunnen zijn
- Wij bieden mechanismen waarmee betrokkenen hun rechten kunnen uitoefenen (zie sectie 11)
- Wij wegen ons gerechtvaardigd belang bij het verwerken van openbare informatie zorgvuldig af tegen individuele privacyrechten
4.4 Waarborgen en beperkingen
- Periodieke reviews van onze dataverzamelingspraktijken
- Strikte toegangscontroles en beveiligingsmaatregelen
- Duidelijke vastlegging van onze rechtsgrondslag voor verwerking
- Transparante communicatie over ons gebruik van openbare informatie
- Periodieke privacy-impactbeoordelingen, volgens de DPIA-standaarden van de NOvA voor de advocatuur
5. Hoe wij data verzamelen
Wij verzamelen juridische informatie handmatig uit openbaar toegankelijke bronnen zoals BAILII, uitspraken.rechtspraak.nl, judiciary.uk, overheidswebsites en andere juridische databanken. Ons proces respecteert de beperkingen die deze bronnen stellen, zoals het verbod op geautomatiseerd scrapen of bulk-downloaden. Wij verzamelen alleen wat redelijkerwijs nodig is voor onze dienstverlening.
6. Samenvatten en gebruiken van data
Ons team beoordeelt en vat de verzamelde juridische data handmatig samen. Wij publiceren geen volledige uitspraken of andere juridische bronteksten van BAILII, uitspraken.rechtspraak.nl, judiciary.uk of vergelijkbare bronnen, maar bieden samenvattingen met een directe link naar de live versie van elk document, in lijn met auteursrechtelijke vereisten.
7. Bronvermelding en links naar originelen
- De originele bron (bijv. judiciary.uk) wordt altijd expliciet vermeld.
- Een directe link naar de live versie van het document stelt gebruikers in staat de bron te verifiëren en eventuele wijzigingen te zien.
Deze werkwijze sluit aan op het auteursrechts- en gebruiksbeleid van elk platform.
8. Naleving van voorwaarden van derden
- Handmatige verzameling: wij gebruiken geen geautomatiseerde scraping, conform de beperkingen van deze platforms.
- Redelijk gebruik: wij belasten servers van derden niet bovenmatig en doen niet aan bulk-downloaden.
- Bronvermelding: wij vermelden altijd de bron en linken naar het origineel, zoals deze platforms vereisen.
9. Intellectueel eigendom en auteursrecht
- Crown Copyright en rechterlijke uitspraken: wij volgen de Crown Copyright-richtlijnen voor Britse zaken en het toepasselijke auteursrecht voor materiaal van judiciary.uk. Gebruik is accuraat, met bronvermelding en binnen de toegestane reikwijdte.
- Auteursrecht van derden: wij respecteren het auteursrecht van derden (zoals griffies, rechtbanken en commerciële uitgevers) en publiceren geen content zonder toestemming.
10. Bewaartermijnen
Wij bewaren gegevens niet langer dan nodig voor het doel waarvoor ze zijn verzameld, of zo lang de wet dat vereist. Concreet hanteren wij de volgende uitgangspunten:
- Clientdossiers (geüploade documenten): zero retention by design. Documentbestanden worden niet gebackupt buiten de primaire opslag; verwijdert u een bestand, dan is het direct en definitief weg.
- Accountgegevens: bewaard zolang u een actief account heeft. Na volledige accountsluiting worden alle persoonsgegevens binnen 30 dagen verwijderd, behoudens wettelijke bewaarplichten.
- Metadata en systeemdata: geautomatiseerde backups met 35 dagen retentie.
- Security- en auditlogs: minimaal 90 dagen bewaard ten behoeve van beveiliging en aantoonbaarheid.
- Financiële administratie: conform wettelijke (fiscale) bewaartermijnen.
10.1 Datasegregatie en klantprivacy
- Scheiding van klantdata: tenant-isolatie is technisch afgedwongen: elke databasepartitie, zoekopdracht en AI-aanroep is beperkt tot het eigen kantoor en de eigen zaak. Data wordt nooit gedeeld tussen klanten.
- Versleuteling: alle klantdata is versleuteld in transit (TLS 1.3) en at rest (AES-256), met zelfbeheerde sleutels.
- Toegangscontrole: multifactor-authenticatie en role-based access control; alleen geautoriseerd personeel heeft toegang, uitsluitend voor legitieme doeleinden. Een advocaat die het kantoor verlaat verliest direct toegang.
10.2 Retentie bij de modelprovider: standaard versus frontier intelligence
Voor de AI-verwerking maken wij onderscheid tussen twee niveaus. Welk niveau van toepassing is, bepaalt u zelf per zaak.
- Standaardverwerking: draait onder een zero-data-retention-afspraak met onze modelprovider. Uw prompts en de gegenereerde uitvoer worden door de modelprovider niet bewaard. Dit is de standaard en geldt onder de verwerkersovereenkomst (DPA).
- Frontier intelligence (Premium credits): zodra u dit voor een specifieke zaak in de app aanzet, geldt de zero-data-retention-afspraak niet meer. Wij volgen de guidance van de modelprovider: prompts en uitvoer worden 30 dagen bewaard en daarna verwijderd. Uw gegevens worden ook hierbij nooit gebruikt om AI-modellen te trainen.
Zo kunt u complexe zaken met de zwaarste modellen behandelen wanneer dat meerwaarde biedt, terwijl u voor de meest vertrouwelijke dossiers op de standaardverwerking met zero retention blijft. De keuze ligt bij u.
11. Rechten van betrokkenen
Voor zover wij uw persoonsgegevens verwerken, heeft u onder de AVG onder meer de volgende rechten:
- Recht op inzage: u kunt een kopie opvragen van de persoonsgegevens die wij over u hebben.
- Recht op rectificatie: u kunt correctie vragen van onjuiste persoonsgegevens.
- Recht op verwijdering ("recht op vergetelheid"): u kunt verwijdering van uw persoonsgegevens vragen, behoudens wettelijke of contractuele verplichtingen.
- Recht op beperking: u kunt vragen het gebruik van uw gegevens te beperken.
- Recht op dataportabiliteit: u kunt uw gegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat.
- Recht van bezwaar: u kunt bezwaar maken tegen verwerking op basis van ons gerechtvaardigd belang.
- Recht om toestemming in te trekken: waar verwerking op toestemming is gebaseerd, kunt u die op elk moment intrekken.
Een verzoek tot verwijdering van uw gegevens kunt u rechtstreeks indienen via ons privacyverzoek-formulier. Voor alle overige rechten kunt u contact opnemen via info@andri.ai.
12. Gebruikersrechten en verificatie
Wij moedigen gebruikers aan om de volledige juridische documenten te raadplegen waarop onze samenvattingen zijn gebaseerd. Elke samenvatting bevat een directe link naar de live versie van het document.
13. Beveiliging & melding van datalekken
Ons managementsysteem voor informatiebeveiliging is ISO 27001-gecertificeerd door Kiwa (certificaatnummer K-0229199/1, online verifieerbaar). Onze maatregelen omvatten onder meer:
- Versleuteling van data in transit (TLS 1.3) en at rest (AES-256).
- Onafhankelijke penetratietesten door Fox-IT / NCC Group en periodieke security scans.
- Multifactor-authenticatie, role-based access control en least privilege.
- Continue geautomatiseerde security monitoring en alerting (24/7) met een vastgelegd incident response-proces.
- Technisch afgedwongen tenant-isolatie tussen klanten.
- Periodieke security-training en achtergrondchecks (VOG) voor alle medewerkers.
Bij een datalek informeren wij u (als verwerkingsverantwoordelijke) zonder onredelijke vertraging en waar mogelijk binnen 72 uur nadat wij ervan kennis hebben genomen, conform art. 33 AVG. Een overzicht van onze subverwerkers vindt u op de subverwerkers-pagina.
14. Doorgifte buiten de EU
Klantdata wordt opgeslagen en verwerkt binnen de EU (AWS-regio’s eu-west-1 Ierland en eu-central-1 Frankfurt), zonder replicatie buiten de EU. AI-verwerking vindt plaats via AWS Bedrock in de EU-regio. Doorgifte buiten de EER vindt alleen plaats wanneer:
- Een specifieke subverwerker (zoals Vercel of Clerk) deels in de VS opereert; dit gebeurt onder standaardcontractbepalingen (SCC’s) of het EU-US Data Privacy Framework.
- Een land een adequaatheidsbesluit van de Europese Commissie heeft (zoals Zwitserland).
- Het anderszins is toegestaan onder de toepasselijke gegevensbeschermingswetgeving.
15. Naleving van de EU AI Act
De EU AI Act is van kracht en Andri voldoet aan de verplichtingen die op ons van toepassing zijn:
- Classificatie: beperkt risico. Andri is een algemene AI-assistent voor gekwalificeerde juridische professionals (onderzoek, documentanalyse, opstelondersteuning). Geen van de hoog-risicocategorieën uit Annex III is van toepassing.
- Transparantie (art. 50): elke AI-gegenereerde interactie wordt gelogd met herkomstmetadata (AI-gegenereerd, model, provider).
- Menselijk toezicht (art. 14): Andri ondersteunt beslissingen maar neemt ze niet; elke output gaat naar de verantwoordelijke jurist.
- Geen profilering: Andri profileert geen personen en neemt geen geautomatiseerde besluiten in de zin van art. 22 AVG.
Wij volgen de verdere uitwerking van de AI Act en passen onze praktijk en dit beleid aan wanneer verplichtingen wijzigen.
16. Aansprakelijkheid & disclaimers
Nauwkeurigheid van samenvattingen: hoewel wij streven naar accurate samenvattingen, geldt de originele live versie van het document als de gezaghebbende bron voor juridische of compliance-doeleinden. Wij aanvaarden geen aansprakelijkheid voor fouten of omissies in samenvattingen; raadpleeg waar nodig professioneel juridisch advies.
Content van derden: wij zijn niet verantwoordelijk voor de inhoud, privacy of beveiligingspraktijken van websites of platforms van derden waarvan wij data verzamelen of waarnaar wij linken.
17. Wijzigingen in dit beleid
Wij kunnen dit beleid van tijd tot tijd bijwerken wanneer onze praktijk of de wetgeving verandert. Wijzigingen worden op deze pagina gepubliceerd met een nieuwe "Laatst bijgewerkt"-datum. Bij wezenlijke wijzigingen informeren wij klanten actief.
18. Contact
Voor vragen over gegevensbescherming of privacy:
- Functionaris voor gegevensbescherming (DPO): info@andri.ai
- Adres: Andri AI B.V., Hildegard Von Bingenstraat 44, 1081 LH Amsterdam, Nederland
- Toezichthouder: Autoriteit Persoonsgegevens (Nederlandse privacytoezichthouder)
Wij blijven ons inzetten voor transparantie, verantwoording en volledige naleving van de EU-gegevensbeschermingsregels bij het verzamelen en verwerken van juridische data en persoonsgegevens.