Privacybeleid
Laatst bijgewerkt: 4 juli 2026
Dit beleid legt uit welke persoonsgegevens Cortex37 verwerkt, waarom, waar ze staan en welke rechten je hebt onder de Algemene verordening gegevensbescherming (AVG).
1. Verwerkingsverantwoordelijke
Cortex37 wordt aangeboden door Atthis Holding B.V., gevestigd aan het Kennedyplein 246, 5611 ZT Eindhoven, ingeschreven bij de Kamer van Koophandel onder nummer 64145646. Vragen over privacy? Mail privacy@cortex37.com.
2. Welke gegevens verwerken we en op welke grondslag
- Accountgegevens: je e-mailadres en een versleutelde wachtwoord-hash (scrypt). Grondslag: uitvoering van de overeenkomst (art. 6.1.b AVG).
- Door jou aangemaakte inhoud: chats, projecten, documenten, afbeeldingen, datasets en automatiseringen. Grondslag: uitvoering van de overeenkomst.
- Technische logs: beperkte beveiligings- en foutlogs en gebruiksmetrieken. Grondslag: gerechtvaardigd belang (art. 6.1.f) — beveiliging en betrouwbaarheid.
- Toestemmingsregistratie: het moment waarop je de voorwaarden en dit beleid accepteerde.
We gebruiken je gegevens niet om je content te trainen of te verkopen.
3. Waar je gegevens staan (residentie)
Cortex37 is EU-first: hosting en database staan in een EU-regio (Supabase, EU — Frankfurt / eu-central-1). Standaard blijft AI-verwerking binnen de EU. Per verzoek kun je een bredere ‘reach’ kiezen (EU-only of breder); die keuze en de eventuele gevolgen worden je vooraf getoond en per verzoek vastgelegd.
4. Verwerkers en doorgifte
- Hosting en database — Supabase (EU, Frankfurt): opslag van je account en content in de EU.
- Transactionele e-mail — Resend (Verenigde Staten): voor accountbevestiging en wachtwoordherstel verwerken we je e-mailadres en een eenmalige link via Resend, gevestigd in de VS. Er wordt geen inhoudelijke content meegestuurd. De doorgifte vindt plaats op basis van het EU-VS Data Privacy Framework, met standaardcontractbepalingen als terugval.
- AI-modelaanbieders (afhankelijk van je reach-keuze): in EU-modus lopen verzoeken via EU-residente paden (bijv. Anthropic via AWS Bedrock EU, Mistral EU, Google Vertex EU). Kies je per verzoek een bredere reach, dan kunnen prompts naar niet-EU-aanbieders gaan (bijv. OpenAI, Perplexity, Anthropic VS); dit wordt per verzoek getoond.
5. Bewaartermijnen
Accountgegevens en content bewaren we zolang je account bestaat. Verwijder je je account, dan wissen we je gegevens en geüploade bestanden. Technische logs bewaren we 90 dagen; back-ups rouleren binnen 30 dagen.
6. Jouw rechten
Je hebt recht op inzage, correctie, verwijdering, beperking, bezwaar en dataportabiliteit. Je kunt je account en alle bijbehorende gegevens zelf verwijderen via je instellingen; dit wist ook je geüploade bestanden en beëindigt al je sessies. Overige verzoeken kun je richten aan privacy@cortex37.com; we reageren binnen 30 dagen. Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens.
7. Beveiliging
Wachtwoorden bewaren we als scrypt-hash; sessies verlopen en zijn intrekbaar (o.a. bij wachtwoordwijziging of accountverwijdering); secrets en git-tokens worden versleuteld opgeslagen; verkeer verloopt via HTTPS.
8. Minderjarigen
Cortex37 is niet bedoeld voor personen jonger dan 16 jaar.
9. Wijzigingen
We kunnen dit beleid aanpassen; wezenlijke wijzigingen kondigen we vooraf aan.