Privacybeleid
Laatst bijgewerkt: 6 mei 2026 — versie 2.5
1. Wie zijn wij?
TwentyTwo Labs is gespecialiseerd in AI-medewerkers die namens bedrijven klantcontact afhandelen via WhatsApp en telefoon. Wij zijn verantwoordelijk voor de verwerking van persoonsgegevens zoals beschreven in dit beleid. Voor gesprekken tussen klanten en onze AI-agents namens een zakelijke klant (bijvoorbeeld een restaurant of tandartspraktijk) treden wij op als verwerker — zie sectie 10 voor die specifieke situatie.
- Bedrijfsnaam: TwentyTwo Labs
- Vestigingsplaats: 's-Hertogenbosch, Nederland
- E-mailadres: info@22labs.nl
- Website: www.22labs.nl
- KvK-nummer: 42012636
2. Welke gegevens verzamelen wij?
Wij verzamelen uitsluitend gegevens die noodzakelijk zijn voor het leveren van onze diensten.
- Contactgegevens: naam, e-mailadres, telefoonnummer en bedrijfsnaam die je invult via ons contactformulier of bij het aanvragen van een demo.
- Communicatiegegevens: de inhoud van berichten die je ons stuurt via e-mail, contactformulier of een gesprek met onze AI-sales-agent Riley via WhatsApp.
- Afspraakgegevens: datum en tijd van een demo of gesprek die je via Riley of onze website inplant.
- Analytische gegevens:geanonimiseerde gegevens over websitegebruik (bezochte pagina's, sessieduur, verwijzingsbron, apparaattype) via Google Analytics met IP-anonimisering.
- Technische gegevens: IP-adres (geanonimiseerd), browsertype, besturingssysteem en taalinstellingen.
- Cookiegegevens: zie sectie 7.
3. Waarvoor gebruiken wij jouw gegevens?
- Dienstverlening: beantwoorden van vragen, opstellen van offertes, uitvoeren van overeenkomsten en het inplannen van demos.
- Communicatie: onderhouden van contact naar aanleiding van jouw verzoeken of lopende projecten — via e-mail of via Riley op WhatsApp.
- Websiteverbetering: analyseren van websitegebruik.
- Wettelijke verplichtingen: fiscale en administratieve verplichtingen.
Rechtsgronden: uitvoering van een overeenkomst, gerechtvaardigd belang (websiteanalyse, bedrijfsvoering) en wettelijke verplichting.
4. AI-agents op onze website en WhatsApp
TwentyTwo Labs gebruikt zelf AI-agents om met prospects en klanten te communiceren. Conform artikel 50 van de EU AI Act informeren wij je hierover transparant:
- Riley — onze AI-sales-medewerker op WhatsApp (zie het nummer onderaan deze pagina in onze contactgegevens). Riley helpt met vragen over onze diensten en het inplannen van demo-afspraken. Je bericht start altijd met: "Hoi, je spreekt met Riley — ik ben de AI-medewerker van 22labs."
- Scotti — onze AI-reserveringsmedewerker op WhatsApp voor horeca- en dienstverleningsklanten die ons platform gebruiken. Scotti opent elk gesprek met: "Hoi! Ik ben Scotti, de digitale assistent van {bedrijfsnaam}. Ik help je met reserveringen en vragen." Wanneer je via Scotti met een zakelijke klant van ons communiceert, is die organisatie verwerkingsverantwoordelijke — zie sectie 10.
- Voice-agent — onze AI-telefonist voor tandartspraktijken en reserveringen via Twilio Voice. Opent elk gesprek met een AI-disclosure: "Goedemiddag, u spreekt met de AI-assistent van {praktijknaam}. Ik kan u helpen met afspraken maken, verzetten of vragen doorgeven."
- Risico-classificatie: alle drie agents zijn onder de EU AI Act geclassificeerd als limited risk. Ze nemen geen beslissingen met juridisch of financieel gevolg en voeren alleen informatie-uitwisseling + afspraak-planning uit.
- Foundation modellen: chat-agents draaien op een general-purpose AI-model via een vooraanstaande Europese verwerkingsroute; voice-agents combineren speech-to-text, een redeneer-LLM en text-to-speech via gespecialiseerde providers. Met al deze providers is contractueel vastgelegd dat onze productie-data niet gebruikt wordt voor modeltraining. De volledige sub-verwerkerslijst staat in sectie 6.
- Menselijke escalatie: op elk moment kun je vragen om een menselijke medewerker. Riley en Scotti schakelen dan over naar de eigenaar van het bedrijf (of een TwentyTwo Labs medewerker voor gesprekken met TwentyTwo Labs zelf).
Het volledige risicoregister met onderbouwing per agent is op aanvraag beschikbaar voor klanten en auditoren via privacy@22labs.nl. Reactietijd: binnen 5 werkdagen.
5. Hoe lang bewaren wij jouw gegevens?
- Contactformulier: maximaal 12 maanden na laatste contact, tenzij er een overeenkomst tot stand komt.
- WhatsApp-gesprekken met Riley: 12 maanden na laatste bericht (voor no-show-opvolging + audit trail).
- Klantgegevens (na afgesloten overeenkomst): gedurende de looptijd + maximaal 7 jaar na beëindiging vanwege fiscale bewaarplicht.
- Analytische gegevens (Google Analytics): maximaal 26 maanden.
- Platform-logs (error-monitoring + workflow-execution-logs): maximaal 90 dagen.
6. Sub-verwerkers
Voor onze dienstverlening schakelen wij de onderstaande sub-verwerkers in. Met elk van hen hebben wij een verwerkersovereenkomst (DPA) en, waar van toepassing, Standard Contractual Clauses (SCC) voor internationale doorgifte.
| Sub-verwerker | Dienst | Vestiging |
|---|---|---|
| Anthropic | Foundation AI-model (chat + redeneren) | EU-datadistributie (Anthropic EU-route) + SCC |
| Twilio | WhatsApp Business API + Voice | VS/Ierland (SCC) |
| Agenda + e-mail (bij OAuth-koppeling) | VS/Ierland (SCC) | |
| Airtable | Database voor tenant-configs + logs | VS (SCC) |
| n8n Cloud | Workflow-orchestrator (execution runtime) | Duitsland (EU) |
| Vapi | Voice-agent pipeline (STT/LLM/TTS) | VS (DPA) |
| Deepgram | Speech-to-Text voor voice-agents | VS (DPA) |
| ElevenLabs | Text-to-Speech voor voice-agents | VS (DPA) |
| Vercel | Hosting website + dashboard | VS (EU edge, SCC) |
| Clerk | Dashboard-authenticatie | VS (SCC) |
| Sentry | Error-monitoring (EU-project) | EU-regio |
| Infisical | Secrets management (geen persoonsgegevens) | VS (DPA) |
| Mailgun | Transactionele e-mail (onboarding + bevestigingen) | VS (SCC) |
Google Workspace APIs — Limited Use
The use of raw or derived user data received from Workspace APIs will adhere to the Google User Data Policy, including the Limited Use requirements.
In Nederlands: gegevens die wij via Google Workspace APIs (Google Calendar, Gmail) ontvangen — direct of afgeleid — gebruiken wij uitsluitend voor het leveren of verbeteren van de gebruikersgerichte functies waarvoor jij toestemming hebt gegeven (zoals het inplannen van afspraken of het versturen van bevestigingsmails). Wij verkopen deze data niet, gebruiken haar niet voor advertenties of andere marketingdoeleinden, en delen haar niet met derden behalve waar nodig voor de dienstverlening, op grond van een wettelijke verplichting, of met expliciete toestemming. Menselijke toegang vindt alleen plaats wanneer jij daartoe toestemming geeft, voor security/fraude/legal-doeleinden, of voor geanonimiseerde aggregatie.
Google OAuth — gevraagde toestemmingen (scopes)
Wanneer je TwentyTwo Labs koppelt aan je Google-account (voor agendabeheer of e-mailbevestigingen), vraagt Google je expliciet om toestemming voor de onderstaande scopes. We vragen het minimum dat nodig is om de dienst te leveren en gebruiken deze data uitsluitend voor de doelen die hieronder per scope staan beschreven. Je toestemming kun je op elk moment intrekken via myaccount.google.com/permissions.
| Scope | Wat we doen | Waarom dit nodig is | Bewaartermijn | Delen met derden |
|---|---|---|---|---|
.../auth/calendar.eventsSensitive scope | Lezen, aanmaken, wijzigen en annuleren van afspraken in de agenda van de gekoppelde Google-account. | Onze AI Medewerker boekt afspraken en reserveringen rechtstreeks in jouw agenda, controleert beschikbaarheid en zet wijzigingen of annuleringen door zonder dat jij dit handmatig hoeft te doen. Zonder deze scope is automatisch agendabeheer onmogelijk. | Tot je het account loskoppelt of je gegevens wist via ons verzoek-formulier. Tokens worden geroteerd; ingetrokken tokens worden binnen 30 dagen verwijderd. | Niet gedeeld met advertentienetwerken, brokers of voor training van AI-modellen. Alleen verwerkt door onze sub-verwerkers in de tabel hierboven voor de hier omschreven doelen. |
.../auth/gmail.sendRestricted scope | Uitsluitend versturen van e-mails namens jouw bedrijfsaccount. We lezen, openen, archiveren of verwijderen géén e-mails — de scope geeft alleen verzendrechten. | Onze AI Medewerker stuurt afspraakbevestigingen, herinneringen en factuurkopieën vanaf jouw eigen e-mailadres, zodat klanten een vertrouwd afzenderadres zien. Een transactionele mailprovider als alternatief zou betekenen dat e-mails van een extern domein komen, wat afbreuk doet aan herkenbaarheid en deliverability. | Verzonden e-mails worden niet door ons opgeslagen na verzending (Google bewaart ze in jouw "Verzonden"-map). Audit-logs van verzending (timestamp, ontvanger, status) bewaren we 90 dagen voor diagnostiek. | Niet gedeeld met advertentienetwerken, brokers of voor training van AI-modellen. |
.../auth/userinfo.emailBasic scope | Lezen van het primaire e-mailadres dat aan de gekoppelde Google-account hangt. | We koppelen de OAuth-tokens aan het juiste tenant-account in ons systeem en gebruiken het e-mailadres als unieke identifier voor de koppeling. Zonder deze scope kunnen we niet verifiëren dat de juiste persoon de juiste agenda/mailbox verbindt. | Tot je het account loskoppelt of je gegevens wist. | Niet gedeeld met advertentienetwerken, brokers of voor training van AI-modellen. |
Toestemming intrekken: ga naar myaccount.google.com/permissions en revoke "TwentyTwo Labs". Je kunt aanvullend een verwijderverzoek indienen via /privacy/erasure-request om alle bijbehorende tokens en metadata in onze systemen te wissen.
Wij verkopen jouw gegevens nooit aan derden. Bij wijziging van deze lijst informeren wij onze zakelijke klanten minimaal 30 dagen vooraf.
7. Cookies en vergelijkbare technieken
Onze website gebruikt cookies en localStorage voor basisfunctionaliteit, analyse van bezoekersgedrag en het meten van advertentie-effectiviteit. Bij je eerste bezoek tonen wij een cookie-banner waarmee je zelf bepaalt welke niet-noodzakelijke cookies wij mogen plaatsen.
Functionele cookies (altijd actief)
Noodzakelijk voor het functioneren en de beveiliging van de website. Deze worden geplaatst op grond van gerechtvaardigd belang en vragen geen toestemming:
- cookie-consent (localStorage) — onthoudt jouw cookie-keuze zodat de banner niet opnieuw verschijnt. Bewaartermijn: tot je deze handmatig wist.
- Beveiligingscookies van onze hostingpartner (Vercel) — tegen misbruik en spam. Sessie-gebonden of kortstondig.
Analytische cookies (alleen na toestemming)
- Google Analytics 4 (GA4) — meet geanonimiseerd bezoek, gebruikersflow en conversies om onze site te verbeteren. IP-adressen worden niet opgeslagen en er is geen cross-site tracking ingeschakeld. Cookies
_ga,_ga_*— bewaartermijn 14 maanden.
Marketing-cookies (alleen na toestemming)
- Google Ads conversion tracking — meet welke advertenties leiden tot een contactaanvraag. Cookies
_gcl_*— bewaartermijn 90 dagen. - Google Tag Manager (GTM) — container voor bovenstaande tags; plaatst zelf geen tracking-cookies.
- Meta Pixel(Facebook & Instagram) — meet conversies uit Meta-advertenties en bouwt vergelijkbare doelgroepen. Cookie
_fbp— bewaartermijn 90 dagen.
Google Consent Mode V2
Wij passen Google Consent Mode V2 toe: tot je expliciet toestemming geeft, zijn álle analytische en marketing-cookies standaard geweigerd. Pas nadat je op "Alles accepteren" klikt, worden deze categorieën geactiveerd. Bij "Alleen noodzakelijk" blijven ze geblokkeerd.
Je keuze wijzigen
Je kunt je cookie-voorkeuren op elk moment wijzigen via de link "Cookie-instellingen" in de footer van elke pagina, of via ons cookiebeleid. Je kunt ook cookies blokkeren of verwijderen via je browserinstellingen — dit kan de functionaliteit van de site beperken.
8. Jouw rechten
Op grond van de AVG heb je de volgende rechten:
- Recht op inzage in jouw persoonsgegevens
- Recht op rectificatie van onjuiste gegevens
- Recht op verwijdering (tenzij wij een wettelijke bewaarplicht hebben). Dien hier een verwijderingsverzoek in →
- Recht op beperking van de verwerking
- Recht op bezwaar tegen verwerking op basis van gerechtvaardigd belang
- Recht op gegevensoverdraagbaarheid in een gangbaar formaat
- Recht op menselijke tussenkomst bij interactie met een AI-agent (je kunt op elk moment vragen om een menselijke medewerker)
Contact voor uitoefening van deze rechten: info@22labs.nl. Reactietijd: binnen 30 dagen. Klachten kun je indienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
9. Beveiliging
Wij nemen passende technische en organisatorische maatregelen conform AVG artikel 32: TLS-encryptie voor alle dataverbindingen, encryptie-at-rest van credentials, multi-factor authenticatie op alle beheer-accounts, gescheiden tenant-omgevingen, geautomatiseerde error-monitoring met alerting, en een gedocumenteerde incident-response-procedure. Toegang tot persoonsgegevens is beperkt tot personeel dat deze nodig heeft. Een volledig overzicht van onze beveiligingsmaatregelen is op aanvraag beschikbaar voor klanten en auditoren via info@22labs.nl. Vermoed je misbruik? Meld het direct via datzelfde adres.
10. Gesprekken via een zakelijke klant van ons
Bel jij een restaurant, tandartspraktijk of dienstverlener die gebruikmaakt van onze AI-medewerkers? Dan is die organisatie de verwerkingsverantwoordelijke en is TwentyTwo Labs de verwerker. Dit betekent:
Bijzondere aandacht voor tandartspraktijken: gegevens die je deelt met de AI-medewerker van een tandartspraktijk (zoals afspraakredenen, klachten of behandelingsinformatie) kunnen kwalificeren als bijzondere persoonsgegevens onder artikel 9 AVG (gezondheidsgegevens). De tandartspraktijk is verwerkingsverantwoordelijke; TwentyTwo Labs verwerkt deze gegevens uitsluitend onder haar instructie, op basis van een verwerkersovereenkomst conform AVG artikel 28. Wij beperken de verwerking tot het doel (afspraak plannen, vraag doorgeven) en bewaren geen audio-opnames langer dan strikt nodig voor transcriptie en kwaliteitscontrole.
- Jouw gegevens (naam, telefoonnummer, afspraakdetails, gespreksinhoud) worden beheerd onder verantwoordelijkheid van die organisatie
- Inzage-, correctie- en verwijderverzoeken kun je het beste richten aan die organisatie — zij handelen binnen 30 dagen af
- TwentyTwo Labs verwerkt die gegevens uitsluitend volgens de instructies van die organisatie, vastgelegd in een verwerkersovereenkomst (DPA-template op aanvraag beschikbaar via privacy@22labs.nl)
- De AI-agent identificeert zichzelf altijd bij het eerste contact (conform EU AI Act Art. 50)
Kom je er met die organisatie niet uit? Dan kun je alsnog bij ons terecht via info@22labs.nl. Wij schakelen met de betreffende organisatie om jouw verzoek af te handelen.
11. Datalek-melding
Bij een datalek melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens conform AVG artikel 33. Getroffen betrokkenen worden, als de ernst dit vereist, rechtstreeks geïnformeerd conform AVG artikel 34. Ons volledige incident-response proces is intern gedocumenteerd en op aanvraag beschikbaar voor klanten en auditoren via privacy@22labs.nl.
12. Wijzigingen in dit beleid
Wij wijzigen dit privacybeleid wanneer nodig. Wijzigingen worden op deze pagina gepubliceerd met een aangepaste datum en versienummer bovenaan. Bij ingrijpende wijzigingen informeren wij bestaande klanten actief per e-mail.
13. Contact
Vragen over dit privacybeleid of over de verwerking van jouw gegevens? Neem contact op:
- TwentyTwo Labs
- 's-Hertogenbosch, Nederland
- Privacy-vragen: privacy@22labs.nl
- Algemeen: info@22labs.nl
- Website: www.22labs.nl