Privacyverklaring
We verwerken zo min mogelijk persoonsgegevens en alleen wat nodig is om je brieven op te stellen, te verzenden en je account te beheren.
1. Verantwoordelijke
PWR Operations B.V., handelend onder de naam Lexeon, gevestigd Koraalrood 56B, 2718 SC Zoetermeer. Privacy-vragen: privacy@lexeon.nl.
2. Welke gegevens verwerken we?
- Account: e-mailadres, voornaam, achternaam, telefoonnummer (optioneel), tijdstip akkoord met voorwaarden, IP-adres + user-agent bij login-pogingen.
- Brief-content: gegevens die je invoert om een brief op te stellen — namen, adressen, dossiernummers, feiten van de zaak, bijlagen die je uploadt.
- Verzend-gegevens: adres ontvanger, adres afzender, kanaal (post / aangetekend), verzend-timestamps, track & trace.
- Betaal-gegevens: we ontvangen géén IBAN/kaartgegevens. Mollie verwerkt de betaling; wij krijgen alleen een payment-ID, het bedrag en het type bundle terug.
- Gebruiks-gegevens: geanonimiseerde paginabezoek en knop-clicks (alleen met je toestemming, zie cookies).
3. Doeleinden
- uitvoeren van de overeenkomst (brief opstellen + verzenden);
- account-beheer + facturatie + boekhoud-verplichting (7 jaar voor facturen);
- klant-ondersteuning;
- fraude-preventie en misbruik-detectie;
- productverbetering via geanonimiseerde analytics (opt-in).
4. Bewaartermijnen
| Type gegeven | Bewaartermijn |
|---|---|
| Account-gegevens (naam, e-mail) | Zolang je account bestaat, plus 90 dagen na sluiting voor support-vragen. |
| Brief-content (drafts + verzonden) | Zolang je account bestaat; je verwijdert het zelf (zie 5). |
| Facturen + betaal-records | 7 jaar (wettelijke boekhoudverplichting). |
| Verzendbewijs aangetekend | 5 jaar (in lijn met juridische bewijslast-termijnen). |
| Magic-link logs (IP, user-agent) | 90 dagen voor fraude-detectie. |
5. Bewaartermijn + verwijderen op verzoek
Cases (correspondentie-dossiers) blijven bewaard zolang je account bestaat — we verwijderen ze niet automatisch. Je kunt je account en dossiers op elk moment zelf verwijderen via je account. Bij verwijdering worden je persoonsgegevens geanonimiseerd: namen, adressen en zaak-details worden vervangen door placeholders. Facturen en verzendbewijzen blijven wettelijk verplicht bewaard (zie de bewaartermijnen hierboven). Geanonimiseerde records zijn niet meer naar jou terug te herleiden.
Je kunt je case voortijdig laten verwijderen via privacy@lexeon.nl.
6. Verwerkers
We zetten de volgende externe partijen in om de dienst te leveren. Met elke verwerker hebben we een verwerkersovereenkomst (AVG art. 28).
- Supabase — database + authenticatie (EU-regio, Frankfurt).
- Mollie — betalingen + recurring (Amsterdam, NL).
- Resend — transactionele e-mail (EU-regio).
- Postbode.nu — postale verzending Nederland.
- eEvidence (Pricewin Networks, S.L.) — aangetekende e-mail (ERDS).
- Anthropic (Claude) — AI-tekstgeneratie. Je brief-content wordt versleuteld verstuurd om de tekst te genereren; Anthropic gebruikt deze inhoud niet voor model-training (commerciële API-voorwaarden). Anthropic neemt deel aan het EU-US Data Privacy Framework (Uitvoeringsbesluit (EU) 2023/1795) als grondslag voor doorgifte naar de Verenigde Staten, met EU Standard Contractual Clauses (2021/914) als aanvullende waarborg conform Schrems II.
- Sentry — error-tracking (alleen wanneer een error optreedt; geen PII).
- PostHog — analytics (EU-host, alleen met jouw toestemming).
- Vercel — hosting (multi-regio met EU-edge).
7. Doorgifte buiten EU/EER
Onze infrastructuur draait standaard binnen de EU/EER. Voor Anthropic-AI vindt verwerking deels plaats in de Verenigde Staten op grond van het EU-US Data Privacy Framework (Uitvoeringsbesluit (EU) 2023/1795) als primaire grondslag, met EU Standard Contractual Clauses (2021/914) als aanvullende waarborg conform Schrems II en technische maatregelen (versleuteling in transit, geen training-opslag).
7a. Bijzondere categorieën persoonsgegevens
Bij gebruik van bepaalde stappenplannen verwerken wij bijzondere categorieën persoonsgegevens conform art. 9 AVG:
- Gezondheidsgegevens — bij zorgklacht, medisch dossier of zorgverzekeraar-routes.
- Financiële gegevens — bij BKR-betwisting, incassobureau-routes of belastingbezwaar.
- Strafrechtelijke gegevens — bij verkeers- of bestuurlijke-boete-bezwaren.
Voor deze categorieën hanteren wij verhoogde beveiligingsmaatregelen en gebruiken we de gegevens uitsluitend voor het opstellen van de door jou gevraagde brief. Bewaartermijnen volgen de tabel in punt 4.
7b. Geautomatiseerde besluitvorming en profilering (art. 22 AVG)
De brief-content wordt door een AI-model gegenereerd op basis van jouw intake. Dit is een vorm van geautomatiseerde verwerking — geen geautomatiseerde besluitvorming met rechtsgevolg in de zin van art. 22 AVG: de gegenereerde brief is een tekstvoorstel dat je vrijelijk kunt aanvaarden, aanpassen of verwerpen.
Je hebt te allen tijde recht op:
- Menselijke tussenkomst — onze support kan een brief samen met jou doorlopen en aanpassen.
- Uitleg — wij leggen op verzoek uit welke inputvelden tot welke teksten leiden.
- Verzet tegen verwerking conform art. 21 AVG.
7c. Functionaris Gegevensbescherming (FG / DPO)
Lexeon evalueert haar wettelijke verplichting tot het aanstellen van een Functionaris Gegevensbescherming op grond van art. 37 AVG. Gezien de verwerking van bijzondere categorieën gegevens (zie 7a) en de potentiële schaal van de dienst is dit een actief aandachtspunt vóór go-live. Dit punt wordt apart gepubliceerd zodra het besluit is genomen.
8. Jouw AVG-rechten
Je hebt het recht om:
- je gegevens in te zien (artikel 15 AVG);
- onjuiste gegevens te laten corrigeren (artikel 16);
- gegevens te laten verwijderen (artikel 17);
- verwerking te beperken (artikel 18);
- je gegevens in een gangbaar formaat te ontvangen (dataportabiliteit, artikel 20);
- bezwaar te maken tegen verwerking (artikel 21);
- je toestemming voor analytics in te trekken.
Stuur een verzoek naar privacy@lexeon.nl. We reageren binnen 30 dagen. Bij twijfel over je identiteit vragen we aanvullende verificatie.
Niet tevreden over hoe we omgaan met je verzoek? Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens.
9. Cookies
Zie de cookies-pagina voor categorieën en opt-in.
10. Datalek-procedure
Bij een datalek dat een risico vormt voor jouw rechten en vrijheden informeren we de Autoriteit Persoonsgegevens binnen 72 uur en, indien wettelijk vereist, ook de getroffen gebruikers direct via e-mail. Onze interne procedure is gedocumenteerd en wordt periodiek getoetst.