Last updated: June 2026Laatst bijgewerkt: juni 2026
Apparens is a sole proprietorship operated by Jeroen Janssen, registered at the Dutch Chamber of Commerce under number 74048295, based in Deventer, the Netherlands. Apparens is the controller for the processing of personal data as described in this policy.Apparens is een eenmanszaak van Jeroen Janssen, ingeschreven bij de Kamer van Koophandel onder nummer 74048295, gevestigd te Deventer. Apparens is de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit beleid.
For questions about this policy or your personal data, contact: office@apparens.nlVoor vragen over dit beleid of uw persoonsgegevens: office@apparens.nl
Data: name, email address, phone number (optional), organization (optional), role (optional), and the content of your inquiry.Gegevens: naam, e-mailadres, telefoonnummer (optioneel), organisatie (optioneel), functie (optioneel) en de inhoud van uw vraag.
Purpose: to respond to your inquiry and provide support.Doel: om uw vraag te beantwoorden en ondersteuning te bieden.
Legal basis: legitimate interest (Article 6(1)(f) GDPR) — responding to a business inquiry you initiated.Grondslag: gerechtvaardigd belang (artikel 6, lid 1, sub f AVG) — het beantwoorden van een zakelijk verzoek dat u zelf heeft geïnitieerd.
Retention: 12 months after last contact, then deleted.Bewaartermijn: 12 maanden na laatste contact, daarna verwijderd.
Data: email address (for authentication), maturity assessment scores, control-card decisions and their rationale (accept/override/not-applicable, per AI system), organisation profile, AI advisory conversations, OSINT intelligence results, evidence documentation, and usage metrics.Gegevens: e-mailadres (voor authenticatie), volwassenheidsbeoordelingsscores, beslissingen op controlekaarten en de onderbouwing daarvan (accepteren/overschrijven/niet van toepassing, per AI-systeem), organisatieprofiel, AI-advieschatgesprekken, OSINT-inlichtingen, bewijsdocumentatie en gebruiksstatistieken.
Purpose: to provide the AI governance advisory service, persist your assessment data across devices, track usage for billing, and generate governance deliverables.Doel: het leveren van de AI-governance-adviesdienst, het bewaren van uw beoordelingsgegevens op meerdere apparaten, het bijhouden van gebruik voor facturering en het genereren van governance-deliverables.
Legal basis: performance of a contract (Article 6(1)(b) GDPR). The free Demo requires no account and stores no personal account data.Grondslag: uitvoering van een overeenkomst (artikel 6, lid 1, sub b AVG). De gratis demo vereist geen account en slaat geen persoonlijke accountgegevens op.
Storage: your data is stored in Cloudflare D1 (European data centres, Amsterdam region). Assessment data is also cached locally in your browser (localStorage) for performance.Opslag: uw gegevens worden opgeslagen in Cloudflare D1 (Europese datacentra, regio Amsterdam). Beoordelingsgegevens worden ook lokaal in uw browser (localStorage) opgeslagen voor snelheid.
Acceptable use: the app is a personal working workspace for your own governance reasoning. Please do not upload classified, privileged, or special-category personal data (Article 9 GDPR). You are responsible for the content you upload and for confirming you are permitted to share it.Aanvaardbaar gebruik: de app is een persoonlijke werkomgeving voor uw eigen governance-analyse. Upload geen geclassificeerde, vertrouwelijke of bijzondere categorieen persoonsgegevens (artikel 9 AVG). U bent verantwoordelijk voor de inhoud die u uploadt en voor de bevestiging dat u die mag delen.
Processing: AI conversations are processed via Anthropic's Claude API (see above). Email notifications are sent via Resend (Resend, Inc., San Francisco, USA). Payments are processed via Stripe (Stripe, Inc., San Francisco, USA).Verwerking: AI-gesprekken worden verwerkt via de Claude API van Anthropic (zie boven). E-mailnotificaties worden verzonden via Resend (Resend, Inc., San Francisco, VS). Betalingen worden verwerkt via Stripe (Stripe, Inc., San Francisco, VS).
Data portability: you can export your account and workspace data as JSON at any time via Profile > Export my data, or by calling GET /api/auth/export.Dataportabiliteit: u kunt uw account- en werkruimtegegevens op elk moment exporteren als JSON via Profiel > Export my data, of via GET /api/auth/export.
Right to erasure: you can delete your account and all associated data via Profile > Sign out, then contact us, or via POST /api/auth/delete. Deletion is immediate and irreversible. All data in D1 is cascade-deleted.Recht op verwijdering: u kunt uw account en alle bijbehorende gegevens verwijderen via Profiel, of via POST /api/auth/delete. Verwijdering is onmiddellijk en onomkeerbaar. Alle gegevens in D1 worden cascade-verwijderd.
Retention: account data is retained for the duration of your subscription. After account deletion, your data is removed from the live database immediately (cascade-deleted across all tables); short-lived cached copies and routine point-in-time backups then expire on their own schedule (cached items within 90 days, backups within 30 days). Payment and invoice records are held by Stripe under its own retention and applicable tax law; we do not keep a separate usage log after your account is deleted.Bewaartermijn: accountgegevens worden bewaard gedurende de looptijd van uw abonnement. Na accountverwijdering worden uw gegevens direct uit de live database verwijderd (cascade-verwijderd over alle tabellen); kortlevende gecachte kopieen en routinematige back-ups verlopen daarna op hun eigen schema (gecachte items binnen 90 dagen, back-ups binnen 30 dagen). Betaal- en factuurgegevens worden door Stripe bewaard volgens hun eigen bewaartermijn en de geldende belastingwetgeving; wij houden geen apart gebruikslogboek bij nadat uw account is verwijderd.
The main website (apparens.nl) does not use cookies. No analytics cookies, no tracking cookies, no third-party cookies.De hoofdwebsite (apparens.nl) gebruikt geen cookies. Geen analytics-cookies, geen tracking-cookies, geen cookies van derden.
The AI Control Index app uses one strictly functional cookie (aci_session) to maintain your authenticated session. This cookie is HttpOnly, Secure, SameSite=Lax, and expires after 7 days. It contains an encrypted session token and is never shared with third parties. No consent banner is required because this cookie is strictly necessary to provide the service you requested (Article 5(3) ePrivacy Directive, recital 66).De AI Control Index-app gebruikt een strikt functionele cookie (aci_session) om uw geauthenticeerde sessie te onderhouden. Deze cookie is HttpOnly, Secure, SameSite=Lax en verloopt na 7 dagen. Het bevat een versleuteld sessietoken en wordt nooit gedeeld met derden. Geen toestemmingsbanner is vereist omdat deze cookie strikt noodzakelijk is voor het leveren van de door u gevraagde dienst (artikel 5, lid 3, ePrivacy-richtlijn, overweging 66).
We do not use Google Analytics or any other visitor tracking service. We do not collect device fingerprints or browsing behaviour.Wij gebruiken geen Google Analytics of enige andere bezoekerstracingdienst. Wij verzamelen geen device fingerprints of browsegedrag.
First-party product measurement. To understand whether the product works, we record a small set of product events on our own infrastructure: a page visit on our public pages or inside the app, a click on a demo link, demo start, account creation, daily first sign-in, completing an index, starting a checkout, payment status changes, and feedback submissions. No third-party analytics service is involved, ever. Visits by people without an account carry only a random identifier that lives in your browser tab session and disappears when the tab closes; it is not a cookie and cannot follow you across sessions. If you create an account during that same session, the identifier is linked once to your new account so we can understand which page introduced you; this link is included in your data export and erased when you delete your account. For signed-in users, events are linked to the account and are included in your data export and erased with account deletion. Events older than 24 months are deleted. We honour Global Privacy Control: if your browser sends a GPC signal, we record no product-measurement events — on the public pages and inside the app. Declining analytics on our cookie banner also disables this measurement. Legal basis: legitimate interest (Article 6(1)(f) GDPR) in understanding and improving our own product.First-party productmeting. Om te begrijpen of het product werkt, registreren wij een beperkte set productgebeurtenissen op onze eigen infrastructuur: een paginabezoek op onze openbare pagina's of in de app, een klik op een demolink, demo-start, accountaanmaak, eerste aanmelding per dag, het afronden van een index, het starten van een checkout, wijzigingen in betaalstatus en ingezonden feedback. Er is nooit een externe analytics-dienst bij betrokken. Bezoeken van mensen zonder account dragen alleen een willekeurige identifier die in uw browsertabsessie leeft en verdwijnt zodra het tabblad sluit; het is geen cookie en kan u niet volgen over sessies heen. Als u tijdens diezelfde sessie een account aanmaakt, wordt de identifier eenmalig gekoppeld aan uw nieuwe account zodat wij begrijpen welke pagina u introduceerde; deze koppeling wordt meegenomen in uw gegevensexport en gewist wanneer u uw account verwijdert. Voor ingelogde gebruikers zijn gebeurtenissen gekoppeld aan het account en worden ze meegenomen in uw gegevensexport en gewist bij accountverwijdering. Gebeurtenissen ouder dan 24 maanden worden verwijderd. Wij respecteren Global Privacy Control: als uw browser een GPC-signaal verstuurt, registreren wij geen productmeting-gebeurtenissen — op de openbare pagina's en in de app. Ook het weigeren van analytics op onze cookiebanner schakelt deze meting uit. Grondslag: gerechtvaardigd belang (artikel 6, lid 1, sub f AVG) bij het begrijpen en verbeteren van ons eigen product.
Organisation metrics from email domains. For aggregate product metrics (such as "how many organisations use the app"), we derive an organisation domain from your account email address (for example, an account at name@company.example counts toward company.example). Addresses at consumer email providers are never counted as organisations. This derivation is used only in aggregate counts, is never published per organisation, and is deleted with your account.Organisatiemetrieken uit e-maildomeinen. Voor geaggregeerde productmetrieken (zoals "hoeveel organisaties gebruiken de app") leiden wij een organisatiedomein af uit uw account-e-mailadres (een account op naam@bedrijf.voorbeeld telt bijvoorbeeld mee voor bedrijf.voorbeeld). Adressen bij consumenten-e-mailproviders worden nooit als organisatie geteld. Deze afleiding wordt alleen gebruikt in geaggregeerde tellingen, wordt nooit per organisatie gepubliceerd en wordt verwijderd met uw account.
Weekly digest measurement. If you receive the weekly digest email, it contains a first-party open pixel and tokenized links so we can see whether digests are opened and clicked (one open and one click counted per email, on our own infrastructure, never shared). Every digest contains a one-click unsubscribe link, and the digest can be switched off anytime under Privacy in the app. No third-party email tracking is used.Meting van de wekelijkse digest. Als u de wekelijkse digest-e-mail ontvangt, bevat deze een first-party open-pixel en getokeniseerde links zodat wij kunnen zien of digests worden geopend en aangeklikt (één open en één klik geteld per e-mail, op onze eigen infrastructuur, nooit gedeeld). Elke digest bevat een afmeldlink met één klik, en de digest kan altijd worden uitgeschakeld onder Privacy in de app. Er wordt geen e-mailtracking van derden gebruikt.
Anonymised benchmark (opt-in only). During onboarding, and at any time under Privacy in the app, you can choose to let your organisation's maturity scores join an anonymised, aggregated industry benchmark. This is off by default and entirely optional. Benchmark results would be published only once at least 50 organisations participate, and only as aggregates never traceable to you or your organisation; to date, no benchmark has been published. You can withdraw at any time with the same switch. Legal basis: consent (Article 6(1)(a) GDPR).Geanonimiseerde benchmark (alleen opt-in). Tijdens onboarding, en op elk moment onder Privacy in de app, kunt u ervoor kiezen om de volwassenheidsscores van uw organisatie te laten meetellen in een geanonimiseerde, geaggregeerde sectorbenchmark. Dit staat standaard uit en is volledig optioneel. Benchmarkresultaten zouden pas worden gepubliceerd zodra ten minste 50 organisaties deelnemen, en alleen als aggregaten die nooit herleidbaar zijn tot u of uw organisatie; tot op heden is er geen benchmark gepubliceerd. U kunt zich op elk moment terugtrekken met dezelfde schakelaar. Grondslag: toestemming (artikel 6, lid 1, sub a AVG).
The language preference (EN/NL) is stored in your browser's localStorage. This is not a cookie and is never transmitted to our server.De taalvoorkeur (EN/NL) wordt opgeslagen in de localStorage van uw browser. Dit is geen cookie en wordt nooit naar onze server verzonden.
We do not sell, trade, or share your personal data with third parties for their own purposes.Wij verkopen, verhandelen of delen uw persoonsgegevens niet met derden voor hun eigen doeleinden.
The following third parties process data on our behalf as sub-processors:De volgende derden verwerken gegevens namens ons als sub-verwerkers:
Data transfers to the US are covered by each provider's adherence to applicable safeguards (Standard Contractual Clauses and/or EU-US Data Privacy Framework).Gegevensoverdracht naar de VS valt onder de door elke aanbieder gehanteerde passende waarborgen (Standaard Contractbepalingen en/of EU-VS Data Privacy Framework).
Under the GDPR, you have the right to:Op grond van de AVG heeft u het recht om:
To exercise any of these rights, email office@apparens.nl. We will respond within 30 days.Om een van deze rechten uit te oefenen, mail naar office@apparens.nl. Wij reageren binnen 30 dagen.
If you believe your rights have not been adequately addressed, you have the right to file a complaint with the Dutch Data Protection Authority (Autoriteit Persoonsgegevens).Als u van mening bent dat uw rechten onvoldoende zijn gerespecteerd, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.
This website is served exclusively over HTTPS. Form submissions are transmitted encrypted. We take appropriate technical and organizational measures to protect your personal data against unauthorized access, loss, or alteration.Deze website wordt uitsluitend via HTTPS aangeboden. Formulierinzendingen worden versleuteld verzonden. Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of wijziging.
This policy may be updated periodically. The date at the top of this page indicates the most recent revision. Material changes will be communicated via the website.Dit beleid kan periodiek worden bijgewerkt. De datum bovenaan deze pagina geeft de meest recente herziening aan. Wezenlijke wijzigingen worden via de website gecommuniceerd.