Onze privacybelofte
Wat je mag verwachten
Vehicly is een autoplatform. Dit beleid legt uit hoe wij je gegevens verwerken.
We verzamelen alleen wat nodig is, verkopen je gegevens nooit en commerciële belangen beïnvloeden nooit onze aanbevelingen.
Verwerkingsverantwoordelijke (art. 13 lid 1a AVG)
De verwerkingsverantwoordelijke voor de gegevens die via vehicly.nl worden verwerkt is:
- Sulsters ICT (handelend onder de handelsnaam "Vehicly")
- KvK-nummer: 17220018
- E-mail voor privacy-vragen: support@vehicly.nl (of hello@vehicly.nl)
Er is geen Functionaris voor Gegevensbescherming (FG) aangesteld. Verzoeken inzake jouw rechten (inzage, correctie, verwijdering, dataportabiliteit, bezwaar) kun je richten aan bovenstaand adres. We reageren binnen 30 dagen.
Welke gegevens we verzamelen
Wat je deelt en wat automatisch wordt verzameld
| Type | Doel | Verplicht? |
|---|---|---|
| E-mailadres | Accountaanmaak, inloggen, communicatie | Ja |
| Wachtwoord (gehasht) | Beveiliging van je account | Ja |
| Zoekopdrachten | Genereren van AI-aanbevelingen | Ja (per zoekopdracht) |
| Onboarding-voorkeuren | Personaliseren van resultaten (budget, carrosserietype, importvoorkeur, prioriteiten) | Nee |
| Feedback en berichten | Verbetering van dienstverlening, oplossen van problemen | Nee |
| Betaalgegevens | Abonnementsverwerking (via beveiligde verwerker) | Alleen betaalde abonnementen |
- Apparaat en browser: User agent string (browsertype, versie, besturingssysteem), schermresolutie
- Locatie (bij benadering): Land op basis van taalinstelling van je browser (Accept-Language); geen GPS of exacte locatie, geen IP-doorgifte aan derden
- Gebruiksgegevens (met toestemming): Bezochte pagina's, scrolldiepte, sessieduur, klikacties, JavaScript-fouten
- IP-adres: Geanonimiseerde versie opgeslagen voor analytics; volledig IP-adres bewaard in beveiligingsauditlog (max. 90 dagen)
- Apparaatvingerafdruk (intern): Een hash van user agent + taalinstelling + IP-subnet voor sessie-integriteit en fraudepreventie. Daarnaast bewaren we de user-agent string van je registratie en laatste login op je account voor beveiligingsdoeleinden — deze is herleidbaar tot jouw browser maar wordt niet gedeeld met derden.
| Cookie | Doel | Duur |
|---|---|---|
| Sessie | Inloggen en beveiliging | Tot de browser wordt gesloten |
| Voorkeuren | Taal- en weergave-instellingen | 12 maanden |
Wat we NIET verzamelen
Geen burgerservicenummers of identiteitsnummers, geen geboortedatum, geen exacte GPS-locatie, geen volledige betaalkaartgegevens, geen biometrische gegevens, geen gezondheidsinformatie, geen politieke of religieuze overtuigingen en geen gegevens van kinderen onder de 18 jaar.
Hoe we gegevens verzamelen
Drie bronnen, meer niet
- Directe invoer: Accountregistratie, zoekopdrachten, voorkeuren en supportberichten die je ons stuurt.
- Automatisch: Standaard serverlogboeken voor beveiliging en prestaties.
- Betalingsverwerker: Betalingen worden verwerkt door een PCI-DSS-conforme derde partij. Wij slaan nooit volledige kaartnummers, CVV's of gevoelige betaalgegevens op.
Hoe we je gegevens gebruiken
Doeleinden en wettelijke grondslag
- AI-aanbevelingen: Gepersonaliseerde zoekresultaten op basis van jouw criteria
- Verbetering: Patronen analyseren om de kwaliteit te verbeteren en bugs op te lossen
- Accountbeheer: Authenticatie en abonnementsbeheer
- Beveiliging: Verdachte activiteiten monitoren, fraude voorkomen
- Ondersteuning: Vragen beantwoorden en problemen oplossen
- Juridisch: Voldoen aan wettelijke verplichtingen
| Verboden gebruik | Waarom niet |
|---|---|
| Advertenties | Vehicly is advertentievrij. Je gegevens worden nooit voor advertenties gebruikt |
| Betaalde rangschikkingen | Geen dealer kan betalen om je resultaten te beïnvloeden |
| Cross-site tracking | We volgen je activiteiten buiten Vehicly niet |
| Verkopen of verhuren | Je gegevens worden nooit verkocht, verhuurd of verhandeld |
| Profilering door derden | Wij bouwen of verkopen geen consumentenprofielen |
Wettelijke grondslag (AVG)
- Contractuele noodzaak: Verwerking noodzakelijk om de dienst te leveren
- Gerechtvaardigd belang: Beveiliging, fraudepreventie, verbetering van de dienst
- Toestemming: Altijd intrekbaar zonder gevolgen voor eerdere verwerking
- Wettelijke verplichting: Naleving van wet- en regelgeving
AI en openbare gegevens
Hoe onze AI werkt met jouw gegevens
De AI van Vehicly analyseert openbaar beschikbare bronnen zoals AutoScout24 NL, Marktplaats en AutoScout24 DE. Je onboardingprofiel (budget, carrosserietype, importvoorkeur, prioriteiten) wordt naar de AI gestuurd om resultaten te personaliseren, maar wordt nooit gedeeld met derden.
Privacywaarborgen
- Persoonlijke informatie wordt nooit gepubliceerd of toegankelijk gemaakt voor andere gebruikers
- AI-resultaten zijn gebaseerd op geaggregeerde, openbaar beschikbare informatie
- Zoekopdrachten worden na een vastgestelde periode geanonimiseerd
- De AI bewaart geen persoonlijke gegevens tussen niet-gerelateerde sessies
Geautomatiseerde besluitvorming (AVG art. 22)
Vehicly gebruikt AI om gepersonaliseerde aanbevelingen te genereren op basis van jouw zoekopdracht en profiel. Dit kwalificeert als geautomatiseerde verwerking. Wij nemen geen geautomatiseerde besluiten met rechtsgevolgen of vergelijkbare wezenlijke gevolgen voor jou, de AI-uitvoer is altijd informatief en jij neemt de uiteindelijke aankoopbeslissing.
Je hebt het recht om:
- Menselijke tussenkomst te verzoeken bij een specifieke aanbeveling
- Je standpunt kenbaar te maken over een gegenereerde analyse
- Bezwaar te maken tegen deze verwerking via support@vehicly.nl
Delen met derden
Alleen wanneer strikt noodzakelijk
We verkopen of verhuren je gegevens niet. Gegevens worden alleen gedeeld in beperkte, noodzakelijke gevallen:
| Derde partij | Gedeelde gegevens | Doel |
|---|---|---|
| Cloud/Hosting (Railway) | Infrastructuurgegevens | Het platform draaien en opslaan |
| Betalingsverwerkers (Stripe) | Transactiegegevens | Veilig verwerken van betalingen |
| Anthropic (AI-verwerking, VS) | Advertentie-inhoud en voertuiggegevens (geen persoonsgegevens) | Genereren van AI-analyse en koopadvies. Doorgifte naar de Verenigde Staten op basis van Standard Contractual Clauses (SCCs, art. 46 AVG). Volgens Anthropics API-gebruiksvoorwaarden worden via de API ingediende gegevens standaard niet gebruikt voor modeltraining. |
| Perplexity (AI-verwerking + live websearch, VS) | Advertentie-URL, voertuiggegevens en (waar toepasselijk) algemene zoekvoorkeuren als budget/land — geen direct identificerende persoonsgegevens | Primaire AI-provider voor live marktdata-verzameling en analyse. Doorgifte naar de Verenigde Staten op basis van Standard Contractual Clauses (SCCs, art. 46 AVG). Volgens Perplexity's API-voorwaarden worden via de API ingediende gegevens niet gebruikt voor modeltraining. |
| Resend (transactionele e-mail, VS) | E-mailadres + bericht-inhoud (inlogcode, verificatie-, betaal- en welkomstmails) | Verzenden van transactionele e-mail. Doorgifte naar de Verenigde Staten op basis van Standard Contractual Clauses (SCCs, art. 46 AVG). Berichten worden door Resend uitsluitend voor aflevering verwerkt en niet voor reclame of training gebruikt. |
| Vercel CDN (hosting & lettertype) | IP-adres (tijdelijk, voor CDN-caching) | Weergeven van het Inter-lettertype en serveren van statische bestanden. Vercel verwerkt geen persoonsgegevens buiten de EU/EER zonder SCCs. |
| Rechtshandhaving | Alleen wanneer wettelijk vereist | Gerechtelijke bevelen |
Alle derde partijen zijn gebonden aan verwerkingsovereenkomsten, doelbeperkingen en beveiligingsverplichtingen.
Dealers en zakelijke gebruikers
Strikte scheiding zakelijk en consument
Vehicly biedt een apart product voor professionele gebruikers met marktinzichten en analyses, maar met duidelijke grenzen:
- Geen invloed op consumentenadvies: Zakelijke gebruikers kunnen aanbevelingen niet wijzigen of sturen
- Geen individuele consumentengegevens: Alleen geaggregeerde, geanonimiseerde markttrends
- Geen gesponsorde resultaten: Alle consumentenaanbevelingen worden onafhankelijk door AI gegenereerd
- Transparante methodologie: Dezelfde AI-logica, ongeacht zakelijke relaties
Beveiliging en bewaartermijnen
Hoe we je gegevens beschermen
- Versleuteling tijdens transport: TLS 1.2+ (HTTPS) voor alle communicatie
- Versleuteling in rust: Industriestandaard versleuteling voor opgeslagen gegevens
- Wachtwoordbeveiliging: PBKDF2 met 100.000 iteraties en unieke salt per gebruiker, nooit platte tekst opgeslagen
- Toegangscontrole: Strikte rolgebaseerde toegang voor teamleden
- Regelmatige audits: Beveiligingsreviews en penetratietests
- Incidentrespons: Gedocumenteerde detectie, respons en melding bij datalekken
| Gegevenstype | Bewaartermijn | Na verlopen |
|---|---|---|
| Actief account | Zolang het account actief is | Verwijderd binnen 30 dagen na sluiting |
| Zoekopdrachten | 90 dagen (geanonimiseerd na 30) | Permanent verwijderd |
| AI-analyse-logs (URL + AI-output) | 90 dagen na laatste raadpleging | Permanent verwijderd |
| Betaalgegevens | 7 jaar | Fiscale/financiële compliance (art. 52 AWR) |
| Beveiligingslogboeken | 90 dagen | Automatisch verwijderd |
| Supporttickets | 2 jaar na oplossing | Geanonimiseerd en gearchiveerd |
| Hash van verwijderd e-mailadres | 5 jaar | Wordt uitsluitend bewaard om misbruik via opnieuw aanmelden te voorkomen (grondslag art. 6 lid 1 sub f AVG, gerechtvaardigd belang fraudepreventie). De hash is niet omkeerbaar maar via een dictionary-aanval theoretisch herleidbaar; daarom geldt dit als persoonsgegeven en hebben wij hiervoor een afzonderlijke verwerkingsgrondslag. |
Jouw rechten (AVG)
We respecteren deze rechten voor alle gebruikers
| Recht | Beschrijving | Hoe uit te oefenen |
|---|---|---|
| Inzage | Een kopie van je gegevens opvragen | E-mail of accountinstellingen |
| Rectificatie | Onjuiste gegevens corrigeren | Accountinstellingen of e-mail |
| Wissing | Verwijdering aanvragen ("recht op vergetelheid") | Stuur ons een e-mail |
| Beperking | Verwerking van je gegevens beperken | E-mail met specificatie |
| Overdraagbaarheid | Je gegevens ontvangen in een machineleesbaar formaat | E-mail voor export |
| Bezwaar | Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang | E-mail met bezwaar |
| Toestemming intrekken | Toestemming op elk moment intrekken | E-mail of accountvoorkeuren |
| Klacht indienen | Een klacht indienen bij een toezichthoudende autoriteit | Autoriteit Persoonsgegevens |
Om een van deze rechten uit te oefenen, stuur een e-mail naar support@vehicly.nl met een duidelijke beschrijving. We reageren binnen 30 kalenderdagen. In de meeste gevallen gratis.
Contact en wijzigingen
Hoe je ons bereikt
Heb je vragen over dit beleid of hoe wij met je gegevens omgaan? We horen graag van je.
Privacycontact
Vermeld "PRIVACY" in je onderwerpregel voor privacygerelateerde vragen:
support@vehicly.nlWijzigingen in dit beleid
We kunnen dit beleid bijwerken vanwege veranderingen in onze werkwijzen, technologie of wettelijke vereisten. Bij wezenlijke wijzigingen stellen we je minimaal 14 dagen van tevoren op de hoogte via e-mail of een melding in de app. De meest actuele versie is altijd te vinden op deze pagina.
Functionaris voor gegevensbescherming (FG/DPO)
Vehicly is geen grote onderneming en verwerkt geen bijzondere categorieën persoonsgegevens op grote schaal. Op basis van AVG art. 37 zijn wij daarom niet verplicht een Functionaris voor Gegevensbescherming aan te stellen. Voor privacyvragen kun je terecht via support@vehicly.nl met als onderwerp "PRIVACY".
Toezichthoudende autoriteit
Als je niet tevreden bent met onze reactie op een privacykwestie, heb je het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) of je lokale toezichthoudende autoriteit.