GDPR-naleving
Laatst bijgewerkt: 24 maart 2026
CalmCall, beheerd door CalmCall SRL (Boekarest, Roemenië), zet zich in voor volledige naleving van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en inzake de vrije beweging van die gegevens ("AVG").
Aangezien CalmCall gevoelige gegevens over mentale gezondheid verwerkt, verbinden wij ons tot de hoogste normen van bescherming en transparantie.
1. Functionaris Gegevensbescherming (FG)
Wij hebben een Functionaris Gegevensbescherming aangesteld waarmee u contact kunt opnemen voor verzoeken met betrekking tot uw persoonsgegevens:
- Functie: Functionaris Gegevensbescherming
- Bedrijf: CalmCall SRL
- E-mail: dpo@calmcall.ai
- Adres: Boekarest, Roemenië
- Reactietijd: Maximaal 30 kalenderdagen
2. Juridische Gronden voor Gegevensverwerking
Wij verwerken uw persoonsgegevens op basis van de volgende juridische gronden zoals voorzien door de AVG:
- Expliciete toestemming (Art. 6(1)(a) en Art. 9(2)(a)): Voor de verwerking van speciale gegevens over mentale gezondheid (AI-gesprekken, emotionele beoordelingen, dagboeknotities). Toestemming wordt gevraagd bij het aanmaken van een account en kan op elk moment worden ingetrokken.
- Contractuele uitvoering (Art. 6(1)(b)): Voor het leveren van CalmCall-diensten, accountbeheer en betalingsverwerking.
- Wettelijke verplichting (Art. 6(1)(c)): Voor naleving van toepasselijke belasting-, boekhoud- en juridische vereisten.
- Vitale belangen (Art. 6(1)(d)): In uitzonderlijke gevallen van het detecteren van een onmiddellijk risico voor het leven van de gebruiker.
- Gerechtvaardigd belang (Art. 6(1)(f)): Voor serviceverbetering, beveiliging en fraudepreventie — met respect voor de rechten en belangen van gebruikers.
3. Gegevensbewaarperiodes
Gegevens worden strikt bewaard voor de duur die noodzakelijk is voor het doel waarvoor ze zijn verzameld:
| Gegevenscategorie | Bewaarperiode |
|---|---|
| Accountgegevens (e-mail, naam) | Accountduur + 30 dagen |
| AI-gesprekken | Accountduur + 30 dagen (individuele verwijdering mogelijk) |
| Therapeutisch dagboek | Accountduur + 30 dagen |
| Betalingsgegevens | 5 jaar (wettelijke belastingverplichting) |
| Technische logboeken | 90 dagen |
| Analytics-cookies | 13 maanden (volgens CNIL-aanbevelingen) |
| Versleutelde back-ups | 90 dagen na verwijdering van de brondgegevens |
| Ondersteuningscorrespondentie | 2 jaar |
4. Derde Partij Verwerkers
Wij werken samen met de volgende derde partij verwerkers, die allemaal AVG-conform zijn met ondertekende gegevensverwerkingsovereenkomsten (DPA):
- Hetzner Online GmbH (Duitsland): Hosting en serverinfrastructuur. Servers gelegen in de EU (Duitsland).
- Stripe Inc. (VS/Ierland): Betalingsverwerking. PCI DSS-niveau 1 gecertificeerd. Standaardcontractuele clausules voor EU-VS overdracht.
- OpenAI (VS): AI-verwerking voor spraakassistent. Gegevens worden verwerkt volgens DPA met standaardcontractuele clausules. Gebruikersgegevens worden niet gebruikt voor modeltraining.
- ElevenLabs (VS): Stemsynthetisering voor AI-assistent. Standaardcontractuele clausules.
- Google Analytics (VS/Ierland): Geanonimiseerde verkeersanalyse. IP's geanonimiseerd, geen identificatiecookies.
5. Grensoverschrijdende Gegevensoverdrachten
Alle gegevens worden opgeslagen op servers binnen de Europese Unie. Wanneer gegevensoverdracht naar landen buiten de Europese Economische Ruimte noodzakelijk is (bijv. voor AI verwerking), zorgen wij ervoor dat:
- Standaardcontractuele clausules (SCC) goedgekeurd door de Europese Commissie worden geïmplementeerd
- Verwerkers beschikken over relevante compliance-certificeringen (SOC 2, ISO 27001, PCI DSS)
- Aanvullende technische maatregelen zijn van toepassing: end-to-end encryptie, pseudonimisering, gegevensminimalisatie
- Impactbeoordelingen (Transfer Impact Assessments) worden uitgevoerd voor elke overdracht
6. Verzoeken om Gegevensverwijdering
U kunt volledige verwijdering van uw persoonsgegevens aanvragen via:
- Via account: Instellingen > Privacy > Verwijder alle gegevens
- E-mail: Stuur een verzoek naar dpo@calmcall.ai
- Formulier: Vul het AVG-verzoekformulier op de website in
Verwijderingsproces:
- Identiteitsbevestiging binnen maximaal 3 werkdagen
- Hoofdgegevensverwijdering binnen maximaal 30 dagen
- Back-upverwijdering binnen maximaal 90 dagen
- Eindverwijderingsbevestiging via e-mail
Opmerking: Bepaalde gegevens kunnen worden bewaard op basis van wettelijke verplichtingen (belastinggegevens — 5 jaar).
7. Cookiebeleid — Details
Volledige classificatie van cookies die op CalmCall worden gebruikt:
Strikt noodzakelijke cookies
- session_id: Sessie-identificator. Duur: browsersessie. Kan niet worden uitgeschakeld.
- csrf_token: Bescherming tegen CSRF-aanvallen. Duur: sessie. Kan niet worden uitgeschakeld.
- auth_token: Authenticatietoken. Duur: 30 dagen of bij uitloggen. Kan niet worden uitgeschakeld.
Functionele cookies
- language: Taalvoorkeur. Duur: 1 jaar. Kan worden uitgeschakeld.
- theme: Visuele thema voorkeur. Duur: 1 jaar. Kan worden uitgeschakeld.
- cookie_consent: Toestemmingsvoorkeuren. Duur: 1 jaar.
Analytics-cookies
- _ga: Google Analytics — anonieme gebruikersidentificatie. Duur: 13 maanden. Kan worden uitgeschakeld.
- _ga_*: Google Analytics — sessietoestand. Duur: 13 maanden. Kan worden uitgeschakeld.
Wij gebruiken geen marketing-, advertentie- of remarketingcookies.
8. Gegevensbeschermingseffectbeoordeling (DPIA)
Aangezien CalmCall op grote schaal gevoelige gegevens over mentale gezondheid verwerkt, hebben wij een Gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd volgens Art. 35 AVG. De DPIA wordt jaarlijks herzien of bij elke significante wijziging van de verwerkingsactiviteiten. DPIA-resultaten zijn op verzoek beschikbaar voor toezichthoudende autoriteiten.
9. Uw Rechten
Onder de AVG heeft u de volgende rechten:
- Recht op toegang (Art. 15) — verkrijg een kopie van uw gegevens
- Recht op rectificatie (Art. 16) — corrigeer onjuiste gegevens
- Recht op verwijdering (Art. 17) — vraag om gegevensverwijdering
- Recht op beperking (Art. 18) — beperk de verwerking
- Recht op gegevensoverdraagbaarheid (Art. 20) — ontvang gegevens in gestructureerd formaat
- Recht om bezwaar te maken (Art. 21) — maak bezwaar tegen de verwerking
- Recht om toestemming in te trekken (Art. 7(3)) — te allen tijde, zonder terugwerkende kracht
- Recht om een klacht in te dienen (Art. 77) — bij de toezichthoudende autoriteit
10. Toezichthoudende Autoriteiten
Als u denkt dat uw rechten zijn geschonden, kunt u een klacht indienen bij:
- Roemenië: Nationale Autoriteit voor Toezicht op Persoonsgegevensverwerking (ANSPDCP) — www.dataprotection.ro
- Cyprus: Kantoor van de Commissaris voor Persoonsgegevens Bescherming — www.dataprotection.gov.cy
11. Contact
Voor vragen of verzoeken met betrekking tot de AVG en de bescherming van persoonsgegevens:
- DPO E-mail: dpo@calmcall.ai
- Algemene e-mail: contact@calmcall.ai
- Bedrijf: CalmCall SRL, Boekarest, Roemenië