AVG-conforme privacyverklaring van Woldring Holding B.V. (Lawsy). Beschrijft welke persoonsgegevens worden verwerkt, met welke subverwerkers (Anthropic, Stripe, hosting, e-mail), bewaartermijnen en uw rechten als betrokkene.
Woldring Holding B.V., handelend onder de naam Lawsy, hecht groot belang aan de bescherming van uw persoonsgegevens. In deze Privacyverklaring leggen wij uit welke gegevens wij verwerken, voor welke doeleinden, op welke grondslagen, hoe lang en met wie wij ze delen. Deze verklaring voldoet aan de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).
Belangrijke context. Lawsy is een AI-gestuurde dienst voor het opstellen van juridische documenten. Voor de generatie wordt input verwerkt door een extern AI-systeem (Anthropic Claude). Wij passen vóór doorzending automatische pseudonimisering toe op direct identificerende gegevens (zoals BSN, KvK, IBAN, e-mailadressen, postcodes en telefoonnummers). Lees in deze verklaring waar uw gegevens precies naartoe gaan.
1. Wie is verantwoordelijk voor de verwerking?
Verwerkingsverantwoordelijke in de zin van de AVG is:
- Woldring Holding B.V., handelend onder de naam Lawsy
- Beethovenlaan 5-23, 9722 KJ Groningen
- KvK: 77479092 · BTW: 861019933B01
- E-mail privacyzaken: privacy@lawsy.nl
Wij hebben geen Functionaris Gegevensbescherming (FG) aangesteld omdat wij daartoe niet wettelijk verplicht zijn. Voor privacyvragen kunt u terecht bij het bovengenoemde e-mailadres.
2. Welke persoonsgegevens verwerken wij?
Afhankelijk van uw gebruik van Lawsy verwerken wij de volgende categorieën persoonsgegevens:
2.1 Account- en organisatiegegevens
- naam, e-mailadres, organisatienaam, rol binnen organisatie;
- versleuteld wachtwoord (hash); 2FA-instellingen (TOTP-secret, backup-codes);
- tijdstempels van aanmaak, login en laatste activiteit; IP-adres en user-agent.
2.2 Betaal- en abonnementsgegevens
- via Stripe: gemaskeerd kaart-/betaalmiddel-token, factuuradres, btw-nummer, transactiehistorie;
- plan, status (trial/active/cancelled), startdatum, einddatum;
- door Stripe verstrekte identifiers (customer ID, subscription ID).
2.3 Document- en wizard-input
- door u verstrekte tekst, antwoorden en uploads in de document-wizard;
- gegenereerde Output (HTML, PDF, Word) en versies daarvan;
- kwaliteitsscores, validatiebevindingen, generatiegegevens (latency, model, tokens).
Indien uw input persoonsgegevens van derden bevat (bijv. werknemers, contractspartijen, klanten), bent u verwerkingsverantwoordelijke voor die gegevens en handelt Lawsy als verwerker. Daarop is de Verwerkersovereenkomst van toepassing.
2.4 Gebruiks- en logginggegevens
- technische logs van API-aanroepen, foutmeldingen, generatie-pipeline-statistieken;
- productanalyses (welke functies worden gebruikt, in welke volgorde), in geanonimiseerde of gepseudonimiseerde vorm;
- door uzelf in feedback ingevoerde opmerkingen en correcties.
2.5 Communicatie
- door u verzonden e-mails, supportverzoeken en chatberichten;
- verificatie- en herstel-e-mails (verzonden via onze e-mailprovider).
2.6 Gegevens van bezoekers van de website
- functioneel noodzakelijke cookies (sessie, CSRF, voorkeuren);
- indien actief: analytische cookies (zie Cookieverklaring).
3. Doeleinden en grondslagen
Wij verwerken de hierboven genoemde gegevens uitsluitend voor de volgende doeleinden, op de volgende AVG-grondslagen:
| Doel | Grondslag (AVG) |
|---|---|
| Aanbieden van het Lawsy-account, authenticatie, 2FA en sessiebeheer | Uitvoering overeenkomst (art. 6 lid 1 sub b) |
| Genereren, valideren en opslaan van juridische documenten | Uitvoering overeenkomst (art. 6 lid 1 sub b); voor verwerkerswerk: in opdracht van Gebruiker |
| Pseudonimisering van input vóór verzending naar AI-systeem | Wettelijke verplichting (art. 6 lid 1 sub c) en gerechtvaardigd belang (art. 6 lid 1 sub f): minimalisatie |
| Facturatie en betalingsverwerking via Stripe | Uitvoering overeenkomst en wettelijke verplichting (administratie) |
| Klantondersteuning en communicatie | Uitvoering overeenkomst en gerechtvaardigd belang |
| Beveiliging, fraudepreventie, audit-logging | Gerechtvaardigd belang (art. 6 lid 1 sub f) en wettelijke verplichting |
| Productverbetering met geanonimiseerde gegevens | Gerechtvaardigd belang |
| Direct marketing aan bestaande klanten over soortgelijke diensten | Gerechtvaardigd belang, met opt-out |
| Nieuwsbrief / promotionele communicatie aan prospects | Toestemming (art. 6 lid 1 sub a), intrekbaar |
| Voldoen aan wettelijke bewaar-, fiscale en juridische verplichtingen | Wettelijke verplichting |
4. Subverwerkers en derden waarmee wij gegevens delen
Wij delen alleen gegevens met derden voor zover dat noodzakelijk is voor de hierboven genoemde doeleinden, op basis van een verwerkersovereenkomst (waar van toepassing) of een andere passende juridische grondslag. Onze huidige subverwerkers zijn:
| Partij | Doel | Locatie / waarborg |
|---|---|---|
| Anthropic, PBC | AI-tekstgeneratie via Claude (Sonnet/Opus). Ontvangt door ons gepseudonimiseerde input. | Voorkeur EU-regio waar mogelijk; bij doorgifte buiten EER: Standaard Contractbepalingen (SCC's). Zero-retention configuratie kan worden toegepast. |
| Stripe Payments Europe, Ltd. | Verwerking van abonnementen, eenmalige betalingen, factuur-generatie en KYC. | EU-vestiging Ierland; eigen privacyverklaring en DPA van Stripe. |
| Hosting / database-provider | Draaien van de Lawsy-applicatie, opslag in SQL Server. | Datacenter binnen EU/EER; toegang strikt beperkt en gelogd. |
| E-mail-provider (transactioneel) | Verzenden van verificatie-, reset- en notificatie-e-mails. | EU-vestiging waar mogelijk; verwerkersovereenkomst. |
| Rechtspraak.nl en wetten.overheid.nl | Ophalen van publieke jurisprudentie en wetsteksten ten behoeve van prompt-context. Geen persoonsgegevens van Gebruikers worden naar deze partijen verzonden. | Nederlandse overheidsdiensten. |
Een actuele lijst van subverwerkers wordt op verzoek toegestuurd via privacy@lawsy.nl. Een wijziging in de subverwerker-lijst wordt waar redelijkerwijs mogelijk vooraf aangekondigd.
5. Pseudonimisering vóór AI-verwerking
Voordat door u verstrekte input wordt aangeboden aan het AI-systeem, voert Lawsy automatische pseudonimisering uit op de volgende patronen: BSN, KvK-nummers, IBAN, e-mailadressen, postcodes, telefoonnummers en — afhankelijk van het document-type — aanvullende identificatoren. De originele waarden worden tijdelijk lokaal vastgelegd en, na ontvangst van de Output, hervervangen. Het AI-systeem ontvangt en bewaart in beginsel slechts gepseudonimiseerde fragmenten.
Pseudonimisering is geen volledige anonimisering. Wij raden u aan om in input geen gegevens van derden op te nemen die niet strikt noodzakelijk zijn voor het doel van het document.
6. Bewaartermijnen
- Account-gegevens: tot zes (6) maanden na opzegging, daarna verwijdering of anonimisering.
- Documenten en versies: beschikbaar in het Account zolang het abonnement actief is; na beëindiging dertig (30) dagen herstelbaar, daarna verwijdering of anonimisering.
- Facturatie- en boekhoudgegevens: zeven (7) jaar (wettelijke fiscale verplichting).
- Audit-logs en beveiligingslogs: minimaal twaalf (12) maanden, maximaal vijf (5) jaar.
- Marketing-toestemmingen: tot intrekking, daarna verwijdering binnen redelijke termijn.
- Geanonimiseerde productdata: onbeperkt; deze gegevens zijn niet meer tot u herleidbaar.
7. Beveiliging
Wij treffen passende technische en organisatorische maatregelen, waaronder:
- encryptie in transit (TLS 1.2+) en encryptie van gevoelige velden in rust;
- toegangscontrole met principe van minimale rechten en logging van administratieve handelingen;
- twee-factor-authenticatie voor Lawsy-medewerkers met productie-toegang;
- audit-logging op kritieke acties (login, registratie, document-generatie, consent);
- automatische pseudonimisering van direct identificerende gegevens vóór externe AI-aanroepen;
- periodieke beveiligingsreviews en updates van afhankelijkheden.
8. Internationale doorgifte
Persoonsgegevens worden in beginsel binnen de EER verwerkt. Indien een subverwerker (zoals Anthropic) gegevens buiten de EER verwerkt, vindt doorgifte uitsluitend plaats op grond van een adequaatheidsbesluit van de Europese Commissie of op basis van Standaard Contractbepalingen (SCC's), aangevuld met aanvullende waarborgen waar nodig.
9. Uw rechten
U heeft op grond van de AVG de volgende rechten:
- Inzage in uw persoonsgegevens;
- Rectificatie van onjuiste of onvolledige gegevens;
- Verwijdering ("recht om vergeten te worden");
- Beperking van de verwerking;
- Bezwaar tegen verwerking op basis van gerechtvaardigd belang;
- Dataportabiliteit: een gestructureerde, machineleesbare kopie van uw gegevens;
- Intrekken van toestemming waar de verwerking op toestemming berust.
Veel rechten kunt u rechtstreeks uitoefenen vanuit de Privacy-pagina in uw Account (data-export, account-verwijdering). Voor andere verzoeken kunt u contact opnemen via privacy@lawsy.nl. Wij beantwoorden uw verzoek in beginsel binnen één (1) maand. Wij kunnen u vragen om een aanvullend identiteitsbewijs ter voorkoming van misbruik.
10. Klachten
Als u klachten heeft over de verwerking van uw persoonsgegevens, vragen wij u eerst contact met ons op te nemen via privacy@lawsy.nl. U heeft daarnaast het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) via www.autoriteitpersoonsgegevens.nl.
11. Geautomatiseerde besluitvorming
Lawsy genereert documenten met behulp van AI. Deze generatie heeft echter geen rechtsgevolgen voor u of derden: de Output is een hulpmiddel dat u zelf beoordeelt en al dan niet inzet in het rechtsverkeer. Er is geen geautomatiseerde besluitvorming met juridische of vergelijkbaar aanzienlijke gevolgen in de zin van artikel 22 AVG.
12. Wijziging van deze verklaring
Wij kunnen deze Privacyverklaring aanpassen. De actuele versie is altijd te vinden op deze pagina. Bij materiële wijzigingen informeren wij u tijdig per e-mail of in het Account.
Versie 1.0 — Geldig vanaf 1 mei 2026. Eerdere versies zijn op verzoek opvraagbaar via privacy@lawsy.nl.