Privacybeleid
Hoofdstuk 1. Inleiding en reikwijdte
Dit privacybeleid beschrijft hoe Backlight.ai B.V. (hierna ook: Backlight.ai) persoonsgegevens verwerkt. Het beleid is van toepassing op alle verwerkingen die plaatsvinden via de website backlight.ai, in het kader van sales- en klantcontact, dienstverlening, sollicitatieprocedures en interne bedrijfsvoering. Voor de verwerking van persoonsgegevens die plaatsvindt in opdracht van klanten in het kader van AI-dienstverlening treedt Backlight.ai op als verwerker; daarop is naast dit beleid een afzonderlijke verwerkersovereenkomst (DPA) van toepassing.
Artikel 1 — Toepasselijkheid
1.1 Dit privacybeleid is van toepassing op alle persoonsgegevens die Backlight.ai verwerkt van bezoekers van de website, prospects, opdrachtgevers, contactpersonen van opdrachtgevers, leveranciers, sollicitanten en overige natuurlijke personen met wie Backlight.ai contact heeft.
1.2 Backlight.ai verwerkt persoonsgegevens in overeenstemming met de Algemene verordening gegevensbescherming (Verordening (EU) 2016/679, hierna: AVG) en de Uitvoeringswet AVG.
1.3 Dit beleid laat de toepasselijkheid van eventuele afzonderlijke overeenkomsten, waaronder een verwerkersovereenkomst of geheimhoudingsovereenkomst, onverlet.
Hoofdstuk 2. Definities
Artikel 2 — Definities
2.1 In dit privacybeleid wordt verstaan onder:
- AVG: Algemene verordening gegevensbescherming (Verordening (EU) 2016/679).
- AP: Autoriteit Persoonsgegevens, de Nederlandse toezichthouder.
- Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie persoonsgegevens betrekking hebben.
- Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gedefinieerd in artikel 4 lid 1 AVG.
- Verwerking: elke handeling met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, opslaan, raadplegen, gebruiken, verstrekken of vernietigen.
- Verwerkingsverantwoordelijke: de partij die het doel van en de middelen voor de verwerking vaststelt, zoals gedefinieerd in artikel 4 lid 7 AVG.
- Verwerker: de partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, zoals gedefinieerd in artikel 4 lid 8 AVG.
- Sub-processor: een door Backlight.ai ingeschakelde derde partij die in opdracht van Backlight.ai persoonsgegevens verwerkt.
- DPA: verwerkersovereenkomst (Data Processing Agreement) als bedoeld in artikel 28 AVG.
- SCC: standaardcontractbepalingen (Standard Contractual Clauses) als bedoeld in artikel 46 AVG voor doorgifte naar landen buiten de Europese Economische Ruimte.
Hoofdstuk 3. Verwerkingsverantwoordelijke
Artikel 3 — Contactgegevens
3.1 De verwerkingsverantwoordelijke voor de in dit beleid beschreven verwerkingen is:
- Naam: Backlight.ai B.V.
- KvK-nummer: 93588070
- Vestigingsadres: Nijverheidsweg 16D 3K, 3534 AM Utrecht
- E-mailadres: security@backlight.ai of it@backlight.ai
- Website: https://backlight.ai
3.2 Backlight.ai heeft geen wettelijke verplichting tot het aanstellen van een Functionaris voor Gegevensbescherming (FG) en heeft deze niet aangesteld. Voor alle vragen over de verwerking van persoonsgegevens is Backlight.ai bereikbaar via het bovenstaande e-mailadres.
Hoofdstuk 4. Rollen en verantwoordelijkheden
Artikel 4 — Verwerkingsverantwoordelijke en verwerker
4.1 Backlight.ai treedt op als verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens van:
- bezoekers van de website backlight.ai;
- prospects en contactpersonen van (potentiële) opdrachtgevers;
- sollicitanten;
- leveranciers en hun contactpersonen;
- ontvangers van marketing- of nieuwsbriefcommunicatie.
4.2 Backlight.ai treedt op als verwerker voor de verwerking van persoonsgegevens die plaatsvindt in opdracht van een opdrachtgever in het kader van AI-dienstverlening (zoals het hosten en verwerken van applicaties, datasets en gebruikersgegevens). Voor deze verwerkingen wordt per opdracht een afzonderlijke verwerkersovereenkomst (DPA) gesloten waarin de afspraken over onder andere doeleinden, sub-processors, beveiliging, datalekken en bewaartermijnen worden vastgelegd. Op deze verwerkingen is dit privacybeleid niet rechtstreeks van toepassing.
4.3 Waar in dit beleid wordt verwezen naar "wij", "ons" of "Backlight.ai" als verwerkingsverantwoordelijke, ziet dat uitsluitend op de verwerkingen genoemd in artikel 4.1.
Hoofdstuk 5. Categorieën persoonsgegevens
Artikel 5 — Categorieën
5.1 Backlight.ai verwerkt, afhankelijk van de relatie en het doel, de volgende categorieën persoonsgegevens:
- Identificatiegegevens: voor- en achternaam, functie, organisatie.
- Contactgegevens: zakelijk e-mailadres, telefoonnummer, postadres.
- Communicatiegegevens: inhoud van e-mails, berichten, gespreksverslagen en correspondentie.
- Technische gegevens: IP-adres, browsertype, apparaatinformatie, bezochte pagina's, tijdstempels, logbestanden.
- Sollicitatiegegevens: cv, motivatiebrief, opleidings- en arbeidsverleden, eventueel referenties.
- Financiële en factureringsgegevens: bankrekeningnummer, factuuradres, btw-nummer, betaalhistorie.
- Accountgegevens: gebruikersnaam, gehashte wachtwoorden, sessiegegevens (uitsluitend voor diensten waarvoor een account wordt gebruikt).
5.2 Backlight.ai verzamelt geen persoonsgegevens zonder doel. De omvang van de verwerking is afgestemd op het doel waarvoor de gegevens worden verzameld.
Hoofdstuk 6. Doeleinden en grondslagen
Artikel 6 — Doeleinden en grondslagen
6.1 Backlight.ai verwerkt persoonsgegevens uitsluitend voor de hieronder genoemde doeleinden, telkens op basis van een geldige grondslag uit artikel 6 lid 1 AVG.
| Doeleinde | Grondslag | Voorbeeld |
|---|---|---|
| Uitvoeren van een overeenkomst | art. 6 lid 1 sub b AVG | Levering van diensten, projectcommunicatie, support |
| Voldoen aan een wettelijke verplichting | art. 6 lid 1 sub c AVG | Fiscale bewaarplicht, identificatieplicht bij betalingen |
| Behartigen van een gerechtvaardigd belang | art. 6 lid 1 sub f AVG | B2B-prospectie, beveiliging van systemen, fraudepreventie, verbeteren van dienstverlening |
| Toestemming | art. 6 lid 1 sub a AVG | Nieuwsbriefinschrijving, optionele analytics |
| Precontractuele maatregelen | art. 6 lid 1 sub b AVG | Sollicitatieprocedures, offertes |
6.2 Indien Backlight.ai persoonsgegevens voor een ander doel wil verwerken dan waarvoor zij oorspronkelijk zijn verzameld, beoordeelt Backlight.ai eerst of dat verenigbaar is met het oorspronkelijke doel. Wanneer dat niet het geval is, vraagt Backlight.ai om toestemming of zoekt zij een andere passende grondslag.
6.3 Voor verwerkingen op basis van een gerechtvaardigd belang heeft Backlight.ai een afweging gemaakt tussen het belang van Backlight.ai en de rechten en vrijheden van betrokkenen. Deze afweging is op verzoek inzichtelijk.
Hoofdstuk 7. Bijzondere categorieën en minderjarigen
Artikel 7 — Bijzondere persoonsgegevens
7.1 Backlight.ai verwerkt in beginsel geen bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG (zoals gegevens over gezondheid, ras of etniciteit, religie of biometrische gegevens). Verwerking van dergelijke gegevens vindt uitsluitend plaats indien daarvoor een uitdrukkelijke wettelijke grondslag bestaat of indien de betrokkene daarvoor uitdrukkelijke toestemming heeft gegeven.
7.2 De diensten en de website van Backlight.ai zijn niet gericht op kinderen onder de 16 jaar. Backlight.ai verzamelt niet bewust persoonsgegevens van personen onder de 16 jaar. Wanneer Backlight.ai vermoedt dat er onbedoeld gegevens van een minderjarige zijn verzameld, worden deze zo spoedig mogelijk verwijderd.
Hoofdstuk 8. Bewaartermijnen
Artikel 8 — Bewaartermijnen
8.1 Backlight.ai bewaart persoonsgegevens niet langer dan noodzakelijk is voor het doel waarvoor zij zijn verzameld of dan wettelijk verplicht is. Indien een specifieke bewaartermijn niet kan worden bepaald, geldt een redelijke en evenredige bewaartermijn.
8.2 Backlight.ai hanteert de volgende indicatieve bewaartermijnen:
| Categorie | Bewaartermijn |
|---|---|
| Prospect- en salescontactgegevens | 24 maanden na het laatste betekenisvolle contact |
| Klantcontactgegevens | duur van de relatie + 2 jaar |
| Correspondentie binnen een lopend project | duur van het project + 2 jaar |
| Facturen en financiële administratie | 7 jaar (fiscale bewaarplicht, art. 52 AWR) |
| Sollicitatiegegevens (afgewezen kandidaten) | 4 weken na afronding procedure, of 1 jaar met expliciete toestemming |
| Sollicitatiegegevens (aangenomen kandidaten) | duur dienstverband + wettelijke bewaartermijnen |
| Servergegevens en applicatielogs | 6 maanden, tenzij langere bewaring noodzakelijk is voor incidentanalyse |
| Nieuwsbriefaanmeldingen | tot intrekking van toestemming |
| Cookies en sessiegegevens | zie hoofdstuk 11 |
8.3 Na afloop van de bewaartermijn worden persoonsgegevens vernietigd of geanonimiseerd zodat zij niet meer tot een individu herleidbaar zijn.
Hoofdstuk 9. Sub-processors en dienstverleners
Artikel 9 — Ingeschakelde derden
9.1 Voor de hosting en verwerking van persoonsgegevens maakt Backlight.ai gebruik van zorgvuldig geselecteerde sub-processors. Met elke sub-processor zijn afspraken vastgelegd in een verwerkersovereenkomst of vergelijkbare contractuele waarborgen.
9.2 De volgende sub-processors worden structureel ingezet:
| Sub-processor | Doel | Verwerkingslocatie |
|---|---|---|
| Google Cloud Platform | Cloudinfrastructuur, applicatiehosting | EU (europe-west1 / europe-west4) |
| Firebase (Google) | Authenticatie, database, opslag | EU |
| Google Vertex AI | AI-modelinferentie (Gemini) | EU |
| Google Analytics | Websitestatistieken (na toestemming) | EU/VS, onder SCC |
| Anthropic | AI-modelinferentie (Claude) | EU (servers in België) |
| GitHub | Broncodebeheer en CI/CD | VS, onder SCC |
| Moneybird | Boekhoudsoftware en facturatie | EU (NL) |
| Salarisvisie | Salarisadministratie | NL |
| Google Workspace | e-mail, kalender, opslag (zakelijk) | EU |
9.3 Een actuele lijst van sub-processors is op verzoek beschikbaar via security@backlight.ai of it@backlight.ai. Backlight.ai informeert opdrachtgevers waarvoor zij als verwerker optreedt over voorgenomen wijzigingen in sub-processors via de van toepassing zijnde DPA.
9.4 Backlight.ai verkoopt geen persoonsgegevens en verstrekt geen persoonsgegevens aan derden voor commerciële doeleinden.
Hoofdstuk 10. Internationale doorgifte
Artikel 10 — Doorgifte buiten de EER
10.1 Backlight.ai streeft ernaar persoonsgegevens primair binnen de Europese Economische Ruimte (EER) te verwerken. Waar verwerking buiten de EER niet vermijdbaar is, vindt deze uitsluitend plaats op basis van een geldig overdrachtsmechanisme als bedoeld in hoofdstuk V AVG, in de regel via Standard Contractual Clauses (SCC) op grond van artikel 46 AVG.
10.2 Voor doorgifte naar de Verenigde Staten beoordeelt Backlight.ai per geval of aanvullende waarborgen noodzakelijk zijn, zoals encryptie, pseudonimisering of contractuele beperkingen op toegang door overheidsdiensten.
Hoofdstuk 11. Cookies en analytics
Artikel 11 — Cookies en analytics
11.1 De website van Backlight.ai maakt gebruik van twee categorieën cookies:
- Functionele cookies: noodzakelijk voor de technische werking en beveiliging van de website. Voor deze cookies is op grond van artikel 11.7a lid 3 Telecommunicatiewet geen toestemming vereist.
- Analytische cookies: geplaatst door Google Analytics 4 (een dienst van Google) om inzicht te krijgen in het gebruik van de website, zoals bezochte pagina's en bezoekersaantallen.
11.2 De analytische cookies van Google Analytics (_ga en _ga_<identifier>) worden uitsluitend geplaatst nadat de bezoeker daarvoor via de cookiebanner uitdrukkelijk toestemming heeft gegeven. De grondslag voor deze verwerking is toestemming (artikel 6 lid 1 sub a AVG). Zolang geen toestemming is gegeven, wordt Google Analytics niet geladen en worden geen analytische cookies geplaatst.
11.3 De _ga-cookies hebben een bewaartermijn van maximaal 24 maanden, waarna zij automatisch verlopen.
11.4 Voor de inzet van Google Analytics schakelt Backlight.ai Google in als verwerker. Hierbij kunnen persoonsgegevens worden doorgegeven aan Google buiten de Europese Economische Ruimte; deze doorgifte vindt plaats op basis van de in hoofdstuk 10 genoemde waarborgen.
11.5 Backlight.ai plaatst geen tracking- of advertentiecookies van derden.
11.6 De bezoeker kan een gegeven toestemming op elk moment intrekken door de cookies van deze website in de browser te verwijderen; de cookiebanner verschijnt daarna opnieuw, zodat een nieuwe keuze kan worden gemaakt. Het intrekken van toestemming laat de rechtmatigheid van de verwerking vóór de intrekking onverlet.
Hoofdstuk 12. Beveiliging
Artikel 12 — Technische en organisatorische maatregelen
12.1 Backlight.ai treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, onbevoegde toegang, ongeoorloofde wijziging of openbaarmaking. Het beveiligingsniveau wordt afgestemd op de aard, omvang en context van de verwerking en de risico's voor betrokkenen.
12.2 De maatregelen omvatten in ieder geval:
- versleuteling van gegevens tijdens transport (TLS) en in rust (encryption at rest);
- rolgebaseerde toegangsbeheersing (RBAC) op database- en applicatieniveau;
- centraal beheer van geheimen via Google Cloud Secret Manager;
- audit logging van administratieve mutaties;
- gescheiden ontwikkel-, test-, staging- en productieomgevingen;
- periodieke evaluatie van afhankelijkheden en kwetsbaarheden;
- Zero Data Retention waar dit contractueel met AI-providers is overeengekomen;
- een ISO 27001-aligned architectuur (Backlight.ai is niet ISO 27001 gecertificeerd; certificering is desgewenst onderdeel van een afzonderlijk klanttraject).
12.3 Personen die onder verantwoordelijkheid van Backlight.ai persoonsgegevens verwerken zijn gehouden aan een geheimhoudingsplicht.
Hoofdstuk 13. Datalekken
Artikel 13 — Procedure bij inbreuken
13.1 Backlight.ai heeft een procedure voor het signaleren, beoordelen en afhandelen van inbreuken in verband met persoonsgegevens (datalekken).
13.2 Indien zich een datalek voordoet dat waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, meldt Backlight.ai dit zonder onredelijke vertraging en uiterlijk binnen 72 uur nadat zij hiervan kennis heeft genomen aan de Autoriteit Persoonsgegevens, conform artikel 33 AVG.
13.3 Indien het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, informeert Backlight.ai de betrokkenen daarover zonder onredelijke vertraging, conform artikel 34 AVG.
13.4 Indien Backlight.ai optreedt als verwerker, informeert zij de betreffende verwerkingsverantwoordelijke zonder onredelijke vertraging na kennisname van het datalek, conform artikel 33 lid 2 AVG en de op de opdracht van toepassing zijnde DPA.
Hoofdstuk 14. Rechten van betrokkenen
Artikel 14 — Rechten
14.1 Betrokkenen hebben op grond van de AVG de volgende rechten:
- recht op inzage (art. 15 AVG);
- recht op rectificatie (art. 16 AVG);
- recht op verwijdering ("recht op vergetelheid", art. 17 AVG);
- recht op beperking van de verwerking (art. 18 AVG);
- recht op overdraagbaarheid van gegevens (art. 20 AVG);
- recht van bezwaar (art. 21 AVG), in het bijzonder tegen verwerking op basis van gerechtvaardigd belang of voor direct marketing;
- recht om de toestemming in te trekken (art. 7 lid 3 AVG), zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking voorafgaand aan de intrekking.
14.2 Een verzoek tot uitoefening van een van bovenstaande rechten kan worden gericht aan security@backlight.ai of it@backlight.ai. Backlight.ai reageert binnen één maand na ontvangst van het verzoek. Deze termijn kan met twee maanden worden verlengd indien dit gelet op de complexiteit en het aantal verzoeken noodzakelijk is; in dat geval wordt de betrokkene binnen één maand geïnformeerd over de verlenging en de reden daarvan.
14.3 Backlight.ai kan, ter verificatie van de identiteit van de verzoeker, aanvullende informatie opvragen. Backlight.ai zal niet meer gegevens opvragen dan strikt noodzakelijk.
14.4 Indien een verzoek kennelijk ongegrond of buitensporig is, kan Backlight.ai een redelijke vergoeding in rekening brengen of weigeren aan het verzoek gevolg te geven, conform artikel 12 lid 5 AVG.
Hoofdstuk 15. Klachten
Artikel 15 — Klachtrecht
15.1 Betrokkenen kunnen een klacht over de verwerking van hun persoonsgegevens indienen bij Backlight.ai via security@backlight.ai of it@backlight.ai. Backlight.ai neemt klachten in behandeling en streeft naar een passende oplossing.
15.2 Onverminderd het recht om klachten bij Backlight.ai in te dienen, hebben betrokkenen op grond van artikel 77 AVG het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens:
- Autoriteit Persoonsgegevens
- Postbus 93374, 2509 AJ Den Haag
- https://autoriteitpersoonsgegevens.nl
Hoofdstuk 16. Wijzigingen
Artikel 16 — Wijzigingen van dit beleid
16.1 Backlight.ai kan dit privacybeleid van tijd tot tijd wijzigen, bijvoorbeeld naar aanleiding van gewijzigde wet- en regelgeving, nieuwe diensten of voortschrijdend inzicht.
16.2 De meest actuele versie van het privacybeleid is steeds beschikbaar via de website van Backlight.ai. Materiële wijzigingen worden op de website aangekondigd en, indien van toepassing, actief gecommuniceerd aan betrokkenen.
16.3 Versie: 1.0 — Inwerkingtreding: 14 mei 2026.