Last updated: June 2026Laatst bijgewerkt: juni 2026
Apparens is a sole proprietorship operated by Jeroen Janssen, registered at the Dutch Chamber of Commerce under number 74048295, based in Deventer, the Netherlands. Apparens is the controller for the processing of personal data as described in this policy.Apparens is een eenmanszaak van Jeroen Janssen, ingeschreven bij de Kamer van Koophandel onder nummer 74048295, gevestigd te Deventer. Apparens is de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zoals beschreven in dit beleid.
For questions about this policy or your personal data, contact: office@apparens.nlVoor vragen over dit beleid of uw persoonsgegevens: office@apparens.nl
Data: name, email address, phone number (optional), organization (optional), role (optional), and the content of your inquiry.Gegevens: naam, e-mailadres, telefoonnummer (optioneel), organisatie (optioneel), functie (optioneel) en de inhoud van uw vraag.
Purpose: to respond to your inquiry, assess whether a Strategic Intake is appropriate, and scope potential engagements.Doel: om uw vraag te beantwoorden, te beoordelen of een Strategic Intake passend is en mogelijke opdrachten in kaart te brengen.
Legal basis: legitimate interest (Article 6(1)(f) GDPR) — responding to a business inquiry you initiated.Grondslag: gerechtvaardigd belang (artikel 6, lid 1, sub f AVG) — het beantwoorden van een zakelijk verzoek dat u zelf heeft geïnitieerd.
Retention: 12 months after last contact, then deleted.Bewaartermijn: 12 maanden na laatste contact, daarna verwijderd.
Data: email address (required for access) and the strategic information you enter during an examination session.Gegevens: e-mailadres (vereist voor toegang) en de strategische informatie die u invoert tijdens een onderzoekssessie.
Purpose: to provide the diagnostic service you requested.Doel: om de door u gevraagde diagnostische dienst te leveren.
Legal basis: consent (Article 6(1)(a) GDPR) — you choose to submit information and acknowledge this before proceeding.Grondslag: toestemming (artikel 6, lid 1, sub a AVG) — u kiest zelf om informatie in te dienen en bevestigt dit vooraf.
Processing: your input is sent to Anthropic's Claude API to generate the examination response. Apparens does not store your session input. Anthropic processes this data under their own privacy policy. Under Anthropic's API terms, inputs submitted via the API are not used to train their models.Verwerking: uw invoer wordt verzonden naar de Claude API van Anthropic om het onderzoeksresultaat te genereren. Apparens slaat uw sessie-invoer niet op. Anthropic verwerkt deze gegevens onder hun eigen privacybeleid. Onder de API-voorwaarden van Anthropic worden invoeren via de API niet gebruikt om hun modellen te trainen.
Retention: email address retained for 12 months. Session content is not stored by Apparens.Bewaartermijn: e-mailadres wordt 12 maanden bewaard. Sessie-inhoud wordt niet opgeslagen door Apparens.
Data: email address (for authentication), maturity assessment scores, organisation profile, AI advisory conversations, OSINT intelligence results, evidence documentation, and usage metrics.Gegevens: e-mailadres (voor authenticatie), volwassenheidsbeoordelingsscores, organisatieprofiel, AI-advieschatgesprekken, OSINT-inlichtingen, bewijsdocumentatie en gebruiksstatistieken.
Purpose: to provide the AI governance advisory service, persist your assessment data across devices, track usage for billing, and generate governance deliverables.Doel: het leveren van de AI-governance-adviesdienst, het bewaren van uw beoordelingsgegevens op meerdere apparaten, het bijhouden van gebruik voor facturering en het genereren van governance-deliverables.
Legal basis: performance of a contract (Article 6(1)(b) GDPR) for paid subscribers; consent (Article 6(1)(a) GDPR) for free tier users.Grondslag: uitvoering van een overeenkomst (artikel 6, lid 1, sub b AVG) voor betalende abonnees; toestemming (artikel 6, lid 1, sub a AVG) voor gratis gebruikers.
Storage: your data is stored in Cloudflare D1 (European data centres, Amsterdam region). Assessment data is also cached locally in your browser (localStorage) for performance.Opslag: uw gegevens worden opgeslagen in Cloudflare D1 (Europese datacentra, regio Amsterdam). Beoordelingsgegevens worden ook lokaal in uw browser (localStorage) opgeslagen voor snelheid.
Processing: AI conversations are processed via Anthropic's Claude API (see above). Email notifications are sent via Resend (Resend, Inc., San Francisco, USA). Payments are processed via Stripe (Stripe, Inc., San Francisco, USA).Verwerking: AI-gesprekken worden verwerkt via de Claude API van Anthropic (zie boven). E-mailnotificaties worden verzonden via Resend (Resend, Inc., San Francisco, VS). Betalingen worden verwerkt via Stripe (Stripe, Inc., San Francisco, VS).
Data portability: you can export all your data as JSON at any time via Profile > Export my data, or by calling GET /api/auth/export.Dataportabiliteit: u kunt al uw gegevens op elk moment exporteren als JSON via Profiel > Export my data, of via GET /api/auth/export.
Right to erasure: you can delete your account and all associated data via Profile > Sign out, then contact us, or via POST /api/auth/delete. Deletion is immediate and irreversible. All data in D1 is cascade-deleted.Recht op verwijdering: u kunt uw account en alle bijbehorende gegevens verwijderen via Profiel, of via POST /api/auth/delete. Verwijdering is onmiddellijk en onomkeerbaar. Alle gegevens in D1 worden cascade-verwijderd.
Retention: account data is retained for the duration of your subscription. After account deletion, all data is permanently removed within 24 hours. Usage logs are retained for 12 months for billing dispute resolution.Bewaartermijn: accountgegevens worden bewaard gedurende de looptijd van uw abonnement. Na accountverwijdering worden alle gegevens binnen 24 uur permanent verwijderd. Gebruikslogboeken worden 12 maanden bewaard voor het oplossen van factuurgeschillen.
Data: contact details, organizational information, and strategic documents provided during an engagement.Gegevens: contactgegevens, organisatie-informatie en strategische documenten die tijdens een opdracht worden verstrekt.
Purpose: to execute the agreed engagement.Doel: het uitvoeren van de overeengekomen opdracht.
Legal basis: performance of a contract (Article 6(1)(b) GDPR).Grondslag: uitvoering van een overeenkomst (artikel 6, lid 1, sub b AVG).
Retention: engagement data is retained for 7 years after completion for legal and fiscal obligations, then deleted.Bewaartermijn: opdrachtgegevens worden 7 jaar na afronding bewaard in verband met wettelijke en fiscale verplichtingen, daarna verwijderd.
The main website (apparens.nl) does not use cookies. No analytics cookies, no tracking cookies, no third-party cookies.De hoofdwebsite (apparens.nl) gebruikt geen cookies. Geen analytics-cookies, geen tracking-cookies, geen cookies van derden.
The AI Control Index app uses one strictly functional cookie (aci_session) to maintain your authenticated session. This cookie is HttpOnly, Secure, SameSite=Lax, and expires after 7 days. It contains an encrypted session token and is never shared with third parties. No consent banner is required because this cookie is strictly necessary to provide the service you requested (Article 5(3) ePrivacy Directive, recital 66).De AI Control Index-app gebruikt een strikt functionele cookie (aci_session) om uw geauthenticeerde sessie te onderhouden. Deze cookie is HttpOnly, Secure, SameSite=Lax en verloopt na 7 dagen. Het bevat een versleuteld sessietoken en wordt nooit gedeeld met derden. Geen toestemmingsbanner is vereist omdat deze cookie strikt noodzakelijk is voor het leveren van de door u gevraagde dienst (artikel 5, lid 3, ePrivacy-richtlijn, overweging 66).
We do not use Google Analytics or any other visitor tracking service. We do not collect device fingerprints or browsing behaviour.Wij gebruiken geen Google Analytics of enige andere bezoekerstracingdienst. Wij verzamelen geen device fingerprints of browsegedrag.
First-party product measurement. To understand whether the product works, we record a small set of product events on our own infrastructure: a page visit on the main funnel pages, demo start, account creation, daily first sign-in, completing an index, starting a checkout, payment status changes, and feedback submissions. No third-party analytics service is involved, ever. Visits by people without an account carry only a random identifier that lives in your browser tab session and disappears when the tab closes; it is not a cookie, it cannot follow you across sessions, and it is never combined with other data to identify you. For signed-in users, events are linked to the account and are included in your data export and erased with account deletion. Events older than 24 months are deleted. Legal basis: legitimate interest (Article 6(1)(f) GDPR) in understanding and improving our own product.First-party productmeting. Om te begrijpen of het product werkt, registreren wij een beperkte set productgebeurtenissen op onze eigen infrastructuur: een paginabezoek op de belangrijkste funnelpagina's, demo-start, accountaanmaak, eerste aanmelding per dag, het afronden van een index, het starten van een checkout, wijzigingen in betaalstatus en ingezonden feedback. Er is nooit een externe analytics-dienst bij betrokken. Bezoeken van mensen zonder account dragen alleen een willekeurige identifier die in uw browsertabsessie leeft en verdwijnt zodra het tabblad sluit; het is geen cookie, kan u niet volgen over sessies heen en wordt nooit gecombineerd met andere gegevens om u te identificeren. Voor ingelogde gebruikers zijn gebeurtenissen gekoppeld aan het account en worden ze meegenomen in uw gegevensexport en gewist bij accountverwijdering. Gebeurtenissen ouder dan 24 maanden worden verwijderd. Grondslag: gerechtvaardigd belang (artikel 6, lid 1, sub f AVG) bij het begrijpen en verbeteren van ons eigen product.
Organisation metrics from email domains. For aggregate product metrics (such as "how many organisations use the app"), we derive an organisation domain from your account email address (for example, an account at name@company.example counts toward company.example). Addresses at consumer email providers are never counted as organisations. This derivation is used only in aggregate counts, is never published per organisation, and is deleted with your account.Organisatiemetrieken uit e-maildomeinen. Voor geaggregeerde productmetrieken (zoals "hoeveel organisaties gebruiken de app") leiden wij een organisatiedomein af uit uw account-e-mailadres (een account op naam@bedrijf.voorbeeld telt bijvoorbeeld mee voor bedrijf.voorbeeld). Adressen bij consumenten-e-mailproviders worden nooit als organisatie geteld. Deze afleiding wordt alleen gebruikt in geaggregeerde tellingen, wordt nooit per organisatie gepubliceerd en wordt verwijderd met uw account.
Weekly digest measurement. If you receive the weekly digest email, it contains a first-party open pixel and tokenized links so we can see whether digests are opened and clicked (one open and one click counted per email, on our own infrastructure, never shared). Every digest contains a one-click unsubscribe link, and the digest can be switched off anytime under Privacy in the app. No third-party email tracking is used.Meting van de wekelijkse digest. Als u de wekelijkse digest-e-mail ontvangt, bevat deze een first-party open-pixel en getokeniseerde links zodat wij kunnen zien of digests worden geopend en aangeklikt (één open en één klik geteld per e-mail, op onze eigen infrastructuur, nooit gedeeld). Elke digest bevat een afmeldlink met één klik, en de digest kan altijd worden uitgeschakeld onder Privacy in de app. Er wordt geen e-mailtracking van derden gebruikt.
Anonymised benchmark (opt-in only). During onboarding, and at any time under Privacy in the app, you can choose to let your organisation's maturity scores join an anonymised, aggregated industry benchmark. This is off by default and entirely optional. Benchmark results are published only when at least 50 organisations participate, and only as aggregates that are never traceable to you or your organisation. You can withdraw at any time with the same switch. Legal basis: consent (Article 6(1)(a) GDPR).Geanonimiseerde benchmark (alleen opt-in). Tijdens onboarding, en op elk moment onder Privacy in de app, kunt u ervoor kiezen om de volwassenheidsscores van uw organisatie te laten meetellen in een geanonimiseerde, geaggregeerde sectorbenchmark. Dit staat standaard uit en is volledig optioneel. Benchmarkresultaten worden alleen gepubliceerd wanneer ten minste 50 organisaties deelnemen, en alleen als aggregaten die nooit herleidbaar zijn tot u of uw organisatie. U kunt zich op elk moment terugtrekken met dezelfde schakelaar. Grondslag: toestemming (artikel 6, lid 1, sub a AVG).
The language preference (EN/NL) is stored in your browser's localStorage. This is not a cookie and is never transmitted to our server.De taalvoorkeur (EN/NL) wordt opgeslagen in de localStorage van uw browser. Dit is geen cookie en wordt nooit naar onze server verzonden.
We do not sell, trade, or share your personal data with third parties for their own purposes.Wij verkopen, verhandelen of delen uw persoonsgegevens niet met derden voor hun eigen doeleinden.
The following third parties process data on our behalf as sub-processors:De volgende derden verwerken gegevens namens ons als sub-verwerkers:
Data transfers to the US are covered by each provider's adherence to applicable safeguards (Standard Contractual Clauses and/or EU-US Data Privacy Framework).Gegevensoverdracht naar de VS valt onder de door elke aanbieder gehanteerde passende waarborgen (Standaard Contractbepalingen en/of EU-VS Data Privacy Framework).
All client engagement data is treated with strict confidentiality. Analysis inputs, diagnostic results, and strategic information are never shared, published, or referenced outside the engagement. This is governed by 17 immutable confidentiality rules embedded in our methodology.Alle opdrachtgegevens worden strikt vertrouwelijk behandeld. Analyse-input, diagnoseresultaten en strategische informatie worden nooit gedeeld, gepubliceerd of buiten de opdracht aangehaald. Dit wordt geborgd door 17 onveranderlijke vertrouwelijkheidsregels die in onze methodologie zijn verankerd.
Under the GDPR, you have the right to:Op grond van de AVG heeft u het recht om:
To exercise any of these rights, email office@apparens.nl. We will respond within 30 days.Om een van deze rechten uit te oefenen, mail naar office@apparens.nl. Wij reageren binnen 30 dagen.
If you believe your rights have not been adequately addressed, you have the right to file a complaint with the Dutch Data Protection Authority (Autoriteit Persoonsgegevens).Als u van mening bent dat uw rechten onvoldoende zijn gerespecteerd, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.
This website is served exclusively over HTTPS. Form submissions are transmitted encrypted. We take appropriate technical and organizational measures to protect your personal data against unauthorized access, loss, or alteration.Deze website wordt uitsluitend via HTTPS aangeboden. Formulierinzendingen worden versleuteld verzonden. Wij nemen passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of wijziging.
This policy may be updated periodically. The date at the top of this page indicates the most recent revision. Material changes will be communicated via the website.Dit beleid kan periodiek worden bijgewerkt. De datum bovenaan deze pagina geeft de meest recente herziening aan. Wezenlijke wijzigingen worden via de website gecommuniceerd.