Versie 1.0 — Laatst bijgewerkt: 3 mei 2026
Avvy (“wij”, “ons”, “onze”) hecht grote waarde aan de bescherming van persoonsgegevens. Dit privacybeleid beschrijft hoe wij gegevens verzamelen, gebruiken, opslaan en beschermen wanneer organisaties Avvy gebruiken voor compliance-cursussen, -toetsen en -zakkaartjes voor hun medewerkers.
Avvy biedt een SaaS-platform waarmee organisaties (“Klanten”) compliance-content (cursussen, toetsen, zakkaartjes) aanbieden aan hun medewerkers (“Eindgebruikers”). Avvy richt zich uitsluitend op zakelijke gebruikers (B2B). Avvy is een handelsnaam van TGC Timmers Beheer BV uit Den Bosch. Verwerkingsrollen: voor account-gegevens van Klant-beheerders (zoals naam, e-mail, facturatie en platformbeveiliging) is Avvy verwerkingsverantwoordelijke. Voor gegevens van Eindgebruikers (zoals naam, e-mail, cursusvoortgang, toetsresultaten en certificaten) is de Klant verwerkingsverantwoordelijke en Avvy verwerker. Hierop is een verwerkersovereenkomst (DPA) van toepassing. Privacy-contact: privacy@avvy.nl.
Account-gegevens van Klant-beheerders: naam, organisatie, rol/functie, e-mailadres, gehasht wachtwoord, 2FA-gegevens (indien geactiveerd), CRUD-logs van platform-acties, IP-adres, user-agent, fout- en prestatielogs, en facturatiegegevens (organisatie-NAW, KvK, factuuradres). Gegevens van Eindgebruikers (door de Klant ingevoerd of gegenereerd tijdens gebruik van Avvy): naam, e-mailadres, organisatie- of teamkoppeling, taalvoorkeur, en compliance-data (cursusvoortgang, toetsresultaten, certificaten, datum/tijd van afronding). Bij interactie met platform of e-mails: open- en klikstatistieken voor deliverability en support, geaggregeerd waar mogelijk. Eindgebruiker-gegevens worden door de Klant aangeleverd; ontvang je als Eindgebruiker een e-mail van Avvy, dan is dat omdat jouw werkgever (de Klant) jou voor cursussen of toetsen heeft toegevoegd.
Voor Klant-beheerders (Avvy als verwerkingsverantwoordelijke): accountaanmaak en -beheer, authenticatie en beveiliging (uitvoering overeenkomst en gerechtvaardigd belang); facturatie en administratie (wettelijke verplichting en uitvoering overeenkomst); service-communicatie zoals onderhoud, beveiligingsmeldingen en belangrijke wijzigingen (gerechtvaardigd belang en wettelijke verplichting waar van toepassing). Voor Eindgebruikers (Avvy als verwerker, op instructie van de Klant): toegang verlenen tot cursussen, toetsen en zakkaartjes; vastleggen van compliance-bewijs (wie heeft welke cursus afgerond met welk resultaat); verzending van transactionele e-mails (account-activatie, wachtwoord vergeten, cursusuitnodiging, herinnering); deliverability en kwaliteitsbewaking via logging en foutanalyse; en wettelijke verplichtingen zoals beveiligings- en fiscale bewaarplichten. Documenten zoals certificaten zijn online beschikbaar in de Avvy-app — wij versturen ze niet per e-mail.
Avvy zet AI in op verschillende plekken in het platform en in de marketing-site: content-generatie (AI-sparringpartner waarmee Klanten zelf eigen cursusvragen, scenario’s en zakkaartjes maken), automatische vertalingen van cursussen, toetsen en zakkaartjes naar talen die de Klant selecteert, ondersteuning bij toetsvraag-formulering op basis van bronmateriaal, en beeldgeneratie voor marketing-doeleinden op avvy.nl. Standaard sturen wij geen persoonsgegevens van Eindgebruikers naar AI-providers. AI-functies werken op content (cursusteksten, toetsvragen, vertalingen) en niet op identificerende eindgebruiker-data zoals voortgang of resultaten. Wij trainen geen generatieve modellen op Klant- of Eindgebruiker-content. Er vindt geen autonome besluitvorming met rechtsgevolgen plaats — Klanten houden redactionele controle als eindstap, en AI-output wordt door mensen beoordeeld voor publicatie.
Wij delen gegevens alleen waar nodig voor de levering van onze diensten, beveiliging, support, betaling en wettelijke verplichtingen. Onze sub-processors zijn:
TransIP (Nederland) voor hosting van platform en data — verwerking in NL, verwerkersovereenkomst, ISO27001/ISO9001/NEN7510-certificering.
SendGrid (Twilio, Verenigde Staten) voor verzending van transactionele e-mail — EU-Standaardcontractbepalingen (SCC’s).
Moneybird (Nederland) voor facturatie en administratie — verwerkersovereenkomst.
Mollie (Nederland) voor afhandeling van abonnementsbetalingen — verwerkersovereenkomst.
Anthropic (Claude, VS) voor content-generatie en vertalingen — SCC’s, geen modeltraining op klantcontent.
OpenAI (gpt-image-2 en gpt-4o-mini, VS) voor beeldgeneratie op avvy.nl — SCC’s, geen persoonsgegevens in prompts.
Google (GA4 en Google Ads, VS) voor websiteanalyse en conversiemeting voor SEO en SEA — SCC’s, cookies pas geplaatst na toestemming via cookiebanner.
Bij verwerking buiten de EER passen wij passende waarborgen toe (SCC’s) en, waar relevant, aanvullende maatregelen conform EDPB-richtsnoeren. Avvy is verantwoordelijk voor subverwerkers die zij inschakelt.
Wij treffen passende technische en organisatorische maatregelen, waaronder versleuteling tijdens transport (TLS), toegangscontrole en rol-/rechtenbeheer, hashing van wachtwoorden, 2FA-ondersteuning, logging en monitoring, en regelmatige updates en back-ups. Toegang tot persoonsgegevens is beperkt tot geautoriseerde medewerkers en verwerkers met een need-to-know.
Account-gegevens van Klant-beheerders: zolang het account actief is en tot 24 maanden daarna voor audit en administratie, tenzij een langere termijn wettelijk vereist is. CRUD- en verzendlogs (herleidbaar): 24 maanden voor beveiliging, ondersteuning en audit, tenzij langer noodzakelijk bij incidenten of geschillen. Eindgebruiker-gegevens en compliance-data: conform instructies van de Klant en zolang nodig voor het compliance-doel; verwijdering of anonimisering op verzoek of instructie van de Klant. Compliance-bewijs kan langer bewaard moeten worden op grond van wettelijke verplichtingen van de Klant (bijvoorbeeld arbo-, financiële of sectorspecifieke bewaarplichten). Facturatie-gegevens: 7 jaar conform fiscale bewaarplicht. Back-ups: volgens cycli die nodig zijn voor continuïteit; data wordt na afloop van de back-uprotatie overschreven.
Afhankelijk van je rol (Klant-beheerder of Eindgebruiker) en onze verwerkingsrol heb je de volgende rechten: recht op inzage, rectificatie, gegevenswissing (vergetelheid), beperking en bezwaar; recht op dataportabiliteit voor zover technisch haalbaar; recht om toestemming in te trekken voor zover de verwerking daarop berust; recht om je uit te schrijven via de afmeldlink in elke e-mail (Klanten kunnen Eindgebruikers ook deactiveren in het platform). Uitoefenen kan via privacy@avvy.nl. Wij reageren binnen één maand. Een klacht kun je indienen bij de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl). Voor verzoeken van Eindgebruikers zal Avvy — als verwerker — het verzoek doorgeleiden naar de betreffende Klant (verwerkingsverantwoordelijke) en ondersteunen bij de afhandeling.
Wij gebruiken drie soorten cookies en vergelijkbare technieken op avvy.nl en in het Avvy-platform. Functioneel en noodzakelijk: voor inloggen, sessiebeheer, beveiliging, taalvoorkeur en deliverability. Deze cookies plaatsen wij zonder toestemming omdat ze nodig zijn voor de werking van de dienst. Analytisch: wij gebruiken Google Analytics 4 om te begrijpen hoe bezoekers de site gebruiken, welke pagina’s relevant zijn en waar wij kunnen verbeteren. Deze cookies plaatsen wij alleen na jouw toestemming via de cookiebanner. Marketing en advertising: voor zoekmachine-optimalisatie (SEO) en zoekmachine-adverteren (SEA) gebruiken wij Google Ads conversiemeting. Hiermee meten wij welke advertenties tot een demo-aanvraag of contactopname leiden. Deze cookies plaatsen wij alleen na jouw toestemming via de cookiebanner. Je kunt je cookievoorkeuren op elk moment aanpassen via de cookie-instellingen onderaan elke pagina.
We kunnen deze Privacyverklaring wijzigen. Belangrijke wijzigingen communiceren wij per e-mail of via het platform. De meest actuele versie is voorzien van een ingangsdatum bovenaan. Onze diensten zijn gericht op zakelijke gebruikers (B2B); wij vragen Klanten geen persoonsgegevens van minderjarigen te verzamelen zonder passende grondslag en toestemming waar vereist.
Heb je vragen of wil je je rechten uitoefenen? Neem contact op via privacy@avvy.nl. Avvy is een handelsnaam van TGC Timmers Beheer BV uit Den Bosch.