Privacybeleid

Laatst bijgewerkt: 2026-06-12

Welkom bij Andri, een product van Andri AI B.V. ("wij", "ons", "onze"), gevestigd in Nederland. Dit privacybeleid beschrijft hoe wij persoonsgegevens verzamelen, gebruiken, opslaan en beschermen wanneer u onze juridische AI-assistent gebruikt of onze website bezoekt. Voor onze beveiligingsmaatregelen, zie ons beveiligingsbeleid.

1. Onze rol

Voor de gegevens die advocatenkantoren in het Andri-platform verwerken (zaakdossiers, documenten) is het kantoor de verwerkingsverantwoordelijke en zijn wij verwerker (art. 28 AVG); de afspraken daarover staan in de verwerkersovereenkomst die elke klant voor ingebruikname tekent. Dit privacybeleid gaat vooral over de gegevens waarvoor wij zelf verwerkingsverantwoordelijke zijn: accountgegevens, facturering, supportcontact en websitebezoek. Zie ook ons gegevensverzameling & verwerkingsbeleid.

2. Verantwoord AI-gebruik

In lijn met de EU AI Act, de NOvA-richtsnoeren voor AI in de advocatuur en best practices voor verantwoord AI-gebruik in een juridische context:

  • AI-output ondersteunt juridische professionals en vervangt hun oordeel niet; elke output gaat naar de verantwoordelijke jurist.
  • AI-gegenereerde resultaten moeten door de eindgebruiker worden gecontroleerd; die blijft volledig verantwoordelijk voor het gebruik ervan in juridische documenten.
  • Elke AI-interactie wordt gelogd met herkomstmetadata (AI-gegenereerd, model, provider), zodat transparantie richting rechtbanken en toezichthouders aantoonbaar is (art. 50 AI Act).
  • Klantgegevens worden nooit gebruikt om AI-modellen te trainen; wij zetten bestaande foundation-modellen in met een zero data retention policy bij de modelprovider.
  • Vertrouwelijkheid wordt technisch geborgd via tenant-isolatie: elke databasepartitie, zoekopdracht en AI-aanroep is beperkt tot het eigen kantoor en de eigen zaak.
  • Andri profileert geen personen en neemt geen geautomatiseerde besluiten in de zin van art. 22 AVG.

3. Welke gegevens wij verzamelen

3.1 Persoonsgegevens

  • Contactgegevens: naam, e-mailadres, telefoonnummer
  • Professionele gegevens: kantoorgegevens, rechtsgebieden
  • Juridische data: zaakdossiers en documenten die u in het platform uploadt (verwerkt als verwerker, onder de verwerkersovereenkomst)

3.2 Gebruiksgegevens

Daarnaast verzamelen wij gegevens over hoe de dienst wordt gebruikt, waaronder:

  • IP-adres, browsertype en -versie
  • Bezochte paginas, tijdstip en duur van bezoek
  • Diagnostische gegevens

Deze gegevens helpen ons de kwaliteit, veiligheid en prestaties van de dienst te bewaken. Voor cookies en vergelijkbare technologieën op de website, zie ons cookiebeleid.

3.3 Openbare juridische informatie

Voor onze dienstverlening gebruiken wij openbaar beschikbare juridische informatie (uitspraken, wetgeving, openbare processtukken), vergelijkbaar met wat advocatenkantoren dagelijks raadplegen. Deze informatie kan persoonsgegevens bevatten; wij verwerken haar uitsluitend om context te bieden bij vragen van gebruikers, nooit om personen te identificeren of te profileren, en nooit om AI-modellen te trainen. Zie ons gegevensverzameling & verwerkingsbeleid voor de volledige werkwijze.

4. Hoe wij uw gegevens gebruiken

  • Het leveren en onderhouden van de Andri-dienst.
  • Accountadministratie, facturering en support.
  • Dienstcommunicatie, zoals productupdates en beveiligingsmeldingen.
  • Marketingcommunicatie (zoals productnieuws en onze nieuwsbrief), uitsluitend waar dat is toegestaan en altijd met een afmeldmogelijkheid in elk bericht. Hiervoor gebruiken wij HubSpot als CRM- en e-mailprovider; contactgegevens worden door HubSpot als onze verwerker deels in de VS verwerkt, onder het EU-US Data Privacy Framework en standaardcontractbepalingen.
  • Beveiliging, misbruikpreventie en het verbeteren van de dienst op basis van geaggregeerde gegevens.
  • Naleving van wettelijke verplichtingen.

Wij gebruiken uw gegevens niet voor doelen die onverenigbaar zijn met het bovenstaande zonder uw voorafgaande toestemming, tenzij de wet anders vereist.

5. Rechtsgrondslagen

  • Uitvoering van de overeenkomst: verwerking die nodig is voor de uitvoering van een overeenkomst met u, of om op uw verzoek stappen te zetten voor het sluiten daarvan.
  • Toestemming: waar u expliciete toestemming heeft gegeven voor specifieke doelen (zoals marketing-cookies).
  • Wettelijke verplichting: naleving van wettelijke verplichtingen die op ons rusten.
  • Gerechtvaardigd belang: verwerking die nodig is voor onze gerechtvaardigde bedrijfsbelangen, zoals beveiliging en productverbetering, tenzij uw fundamentele rechten en vrijheden zwaarder wegen.

6. Bewaartermijnen

Wij bewaren persoonsgegevens niet langer dan nodig. Concreet: clientdossiers kennen zero retention by design (geen backups buiten de primaire opslag, directe definitieve verwijdering), accountgegevens worden binnen 30 dagen na volledige accountsluiting verwijderd behoudens wettelijke bewaarplichten, metadata-backups bewaren we 35 dagen en security- en auditlogs minimaal 90 dagen. De volledige termijnen staan in ons gegevensverzameling & verwerkingsbeleid.

7. Beveiliging & melding van datalekken

Ons managementsysteem voor informatiebeveiliging is ISO 27001-gecertificeerd door Kiwa (certificaatnummer K-0229199/1, online verifieerbaar). Gegevens worden opgeslagen binnen de EU, in de AWS-regio’s eu-west-1 (Ierland) en eu-central-1 (Frankfurt), versleuteld in transit (TLS 1.3) en at rest (AES-256), met strikte toegangscontroles, onafhankelijke penetratietesten (Fox-IT / NCC Group) en technisch afgedwongen tenant-isolatie. Een volledig overzicht staat in ons beveiligingsbeleid.

Bij een datalek dat een risico vormt voor uw rechten en vrijheden melden wij dit waar wij verwerkingsverantwoordelijke zijn binnen 72 uur aan de Autoriteit Persoonsgegevens en informeren wij betrokkenen waar vereist. Waar wij verwerker zijn, informeren wij de verwerkingsverantwoordelijke onverwijld en uiterlijk binnen 72 uur, conform de verwerkersovereenkomst.

8. Doorgifte van gegevens

Klantdata wordt opgeslagen en verwerkt binnen de EU. Een beperkt aantal subverwerkers opereert deels buiten de EER; in die gevallen gelden passende waarborgen zoals standaardcontractbepalingen of het EU-US Data Privacy Framework. Zie onze gegevensoverdracht-pagina en de actuele subverwerkerslijst.

9. Verstrekking van gegevens

9.1 Wettelijke vereisten

Wij kunnen persoonsgegevens verstrekken wanneer dat te goeder trouw noodzakelijk is om:

  • Te voldoen aan een wettelijke verplichting of rechtmatige verzoeken van autoriteiten
  • De rechten of eigendommen van Andri AI B.V. te beschermen
  • Mogelijk misbruik in verband met de dienst te voorkomen of te onderzoeken
  • De persoonlijke veiligheid van gebruikers of het publiek te beschermen

9.2 Geen gegevensdeling tussen klanten

Wij delen uw gegevens niet met andere klanten. Tenant-isolatie is technisch afgedwongen: data van elke klant is geïsoleerd en ontoegankelijk voor anderen. Toegang tot persoonsgegevens is beperkt tot medewerkers die deze nodig hebben voor de dienstverlening en die gebonden zijn aan strikte geheimhoudingsverplichtingen.

10. Uw rechten onder de AVG

  • Recht op inzage: een kopie opvragen van uw persoonsgegevens
  • Recht op rectificatie: correctie vragen van onjuiste of onvolledige gegevens
  • Recht op verwijdering ("recht op vergetelheid"): verwijdering vragen van uw persoonsgegevens, binnen de wettelijke kaders
  • Recht op beperking: beperking vragen van de verwerking
  • Recht op dataportabiliteit: uw gegevens ontvangen of laten overdragen in een machineleesbaar formaat
  • Recht van bezwaar: bezwaar maken tegen verwerking op basis van gerechtvaardigd belang

U kunt een verzoek indienen via ons data privacy portaal of contact opnemen via info@andri.ai. Wij reageren binnen de wettelijke termijnen. Betreft uw verzoek gegevens die wij als verwerker voor een advocatenkantoor verwerken, dan geleiden wij het door naar dat kantoor als verwerkingsverantwoordelijke. U heeft daarnaast altijd het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

11. Diensten van derden

Onze dienst kan links bevatten naar websites of diensten van derden die wij niet beheren. Wij zijn niet verantwoordelijk voor de inhoud of privacypraktijken van die derden.

12. Privacy van minderjarigen

Onze dienst is niet bedoeld voor personen onder de 18 jaar en wij verzamelen niet bewust gegevens van minderjarigen. Bent u ouder of voogd en merkt u dat uw kind ons persoonsgegevens heeft verstrekt, neem dan contact op; wij verwijderen die gegevens.

13. Wijzigingen in dit privacybeleid

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. Wijzigingen worden op deze pagina gepubliceerd met een nieuwe datum; bij wezenlijke wijzigingen informeren wij klanten actief.

14. Contact

  • Functionaris voor gegevensbescherming (DPO): info@andri.ai
  • Adres: Andri AI B.V., Hildegard Von Bingenstraat 44, 1081 LH Amsterdam, Nederland
  • Toezichthouder: Autoriteit Persoonsgegevens (Nederlandse privacytoezichthouder)

Voor informatie over support en beschikbaarheid, zie onze Support & Service Level Agreement.

Wij blijven ons inzetten voor de bescherming van uw privacy en de beveiliging van uw gegevens, in overeenstemming met de AVG en de toepasselijke gegevensbeschermingswetgeving.

Disclaimer: hoewel wij streven naar accurate en betrouwbare informatie, is juridische of compliance-gerelateerde content die door onze AI wordt gegenereerd uitsluitend informatief en geen juridisch advies. Raadpleeg altijd een gekwalificeerde juridische professional voor advies over uw specifieke situatie.