Slimme Dossiers

Gebruiksvoorwaarden Slimme Dossiers versie 2025.8

Ingangsdatum: 21 augustus 2025

Fijn dat je Slimme Dossiers gebruikt. Wij, Botz4U B.V. (Rotterdam), leveren Slimme Dossiers als online dienst (SaaS). In deze gebruiksvoorwaarden lees je wat je van ons mag verwachten en wat wij van jou verwachten. 

Wij richten ons op organisaties en ondernemers (B2B). Door je aan te melden verklaar je te handelen in de uitoefening van beroep of bedrijf. 

Vragen? Mail info[at]slimmedossiers.nl. Als we schriftelijk iets anders met je afspreken, dan geldt dat boven deze voorwaarden voor zover het afwijkt.

Definities (Begripsbepalingen)

  • “DPA” (Verwerkersovereenkomst): overeenkomst waarin Botz4U als verwerker en klant als verwerkingsverantwoordelijke afspraken maken over Klantdata en AVG‑verplichtingen.
  • “Embeddings” en “vector‑index”: door de Dienst gegenereerde representaties van (delen van) documenten om zoeken/antwoorden mogelijk te maken.
  • “Abonnement”: de door klant gekozen abonnementsvorm (maand/jaar) met bijbehorende limieten en prijzen.
  • “Beheerder”: gebruiker met beheerdersrechten binnen de tenant/licentie van klant.
  • “Account”: een gebruikers- of beheerdersaccount binnen de Dienst.
  • “Klantdata”: alle door of namens klant aangeleverde gegevens (waaronder uploads, prompts, AI‑uitvoer en metadata) die via de Dienst worden verwerkt; klant blijft eigenaar.
  • “Dienst” of “Software”: Slimme Dossiers; beide termen worden uitwisselbaar gebruikt.
  • “Slimme Dossiers”: het AI‑platform van Botz4U voor vraag‑antwoord en documentanalyse, inclusief webapp, API en chat.
  •  

Artikel 1 – Reikwijdte en rangorde

Deze gebruiksvoorwaarden gelden voor het gebruik van Slimme Dossiers (de “Dienst”), een product van Botz4U B.V.. De Algemene Voorwaarden van Botz4U blijven van kracht. Bij strijdigheid prevaleren deze gebruiksvoorwaarden voor zover het Slimme Dossiers betreft. Voor de verwerking van persoonsgegevens geldt de Verwerkersovereenkomst (DPA) Slimme Dossiers (Bijlage 1).

Dit houdt in dat, voor zover deze gebruiksvoorwaarden afwijken, de bepalingen uit de Algemene Voorwaarden over betaling, looptijd/opzegging en aansprakelijkheid niet gelden voor Slimme Dossiers.

Artikel 2 – Doelgroep en zakelijke verklaring

De Dienst is uitsluitend bestemd voor zakelijke gebruikers (B2B). Bij aanmelding verklaart de gebruiker te handelen in de uitoefening van beroep of bedrijf. De aanbieder kan de overeenkomst per direct beëindigen of toegang schorsen indien deze verklaring onjuist blijkt of verificatie uitblijft. Aanvullende verificatie (bedrijfsnaam, KvK/btw-nummer) kan verplicht zijn vóór upgrade of betaling. Botz4U behoudt zich het recht voor een aanmelding of aanvraag voor (verdere) toegang of een upgrade te weigeren of te beëindigen indien Botz4U daarvoor redelijke gronden heeft (bijvoorbeeld compliance‑risico’s, misbruik, of onvolledige/ondeugdelijke verificatie).

Artikel 3 – Omschrijving van de Dienst

Slimme Dossiers biedt AI-ondersteunde vraag-antwoordfunctionaliteit op basis van door Botz4U beheerde ‘dossiers’ en, in de premium-editie, door de klant geüploade documenten. Technologie: Microsoft Azure (incl. Azure Bot Framework, Azure OpenAI, Azure Blob Storage, vector database), Clerk (authenticatie) en Stripe (betalingen). Botz4U kan dossiers en functionaliteit aanpassen of updaten.

Artikel 4 – Accounts, fair use en misbruik

Gebruiker is verantwoordelijk voor het beheer van accounts en geheimhouding van inloggegevens. Er gelden fair-use limieten (verzoeken, opslag, bandbreedte). Bij overschrijding of misbruik mag Botz4U limiteren, opschorten of meerkosten rekenen.

Artikel 5 – Klantdata: eigendom en licentie

Alle door klant aangeleverde gegevens, documenten en chatinhoud (“Klantdata”) blijven eigendom van de klant. Klant verleent Botz4U een niet-exclusieve, wereldwijde, royalty-vrije licentie om Klantdata uitsluitend te verwerken voor levering, beveiliging en verbetering van de Dienst (waaronder het genereren van embeddings in de vectorindex). Klantdata worden niet gebruikt om modellen te trainen voor andere klanten.

Artikel 6 – Uploads, verwijdering en geen back-updienst

Uploads worden opgeslagen in Azure Blob en geïndexeerd in een vector database. Bij verwijdering door klant worden de bijbehorende embeddings binnen 72 uur uit de index verwijderd. Verwijderingen zijn onomkeerbaar. De Dienst is geen archief- of back-upvoorziening; klant bewaart zelf kopieën. Systeemback-ups (alleen voor disaster recovery) volgen hetzelfde retentiebeleid en worden periodiek overschreven.

Artikel 7 – Acceptable Use (verboden gebruik)

Het is verboden om via de Dienst: illegale, inbreukmakende, discriminerende of pornografische content te uploaden; persoonsgegevens van derden zonder rechtsgrond te verwerken; malware te verspreiden; de Dienst te reverse-engineeren; of accounts, tokens of AI-uitvoer te delen of door te verkopen. Botz4U kan content verwijderen en accounts direct schorsen/ontbinden bij overtreding.

Bijzondere persoonsgegevens en minderjarigen (buiten scope)
De Dienst is niet bedoeld voor het verwerken van (i) bijzondere categorieën persoonsgegevens (art. 9 AVG) en/of (ii) persoonsgegevens van minderjarigen (<16 jaar). Gebruiker/Klant zal deze gegevens niet aanleveren of laten verwerken. Botz4U verwerkt dergelijke gegevens niet bewust en biedt geen functionaliteit die specifiek op deze verwerkingen is gericht.

Onbedoelde aanlevering
Bij onbedoelde aanlevering zal Botz4U na kennisname de betreffende gegevens zonder onredelijke vertraging verwijderen en Klant informeren. Eventuele afgeleiden (zoals embeddings in de zoekindex) worden na verwijdering van de brondocumenten binnen 72 uur verwijderd conform Artikel 6 en de DPA. Dit laat de overige verboden uit dit Artikel onverlet.

Artikel 8 – AI-output: geen advies, controleplicht

Antwoorden worden mede gegenereerd door AI en kunnen onvolledig of onjuist zijn. Output is uitsluitend informatief en geen juridisch/medisch/financieel advies. De gebruiker blijft verantwoordelijk voor het beoordelen, verifiëren en toepassen van de output (bijvoorbeeld door een jurist/HR-specialist te raadplegen). Waar mogelijk toont de Dienst broncitaten of context.

Artikel 9 – Privacy en gegevensbescherming

Persoonsgegevens worden verwerkt zoals beschreven in de Privacyverklaring Slimme Dossiers. Voor Klantdata waarbij de klant verwerkingsverantwoordelijke is, geldt de Verwerkersovereenkomst (DPA) waarin Botz4U optreedt als verwerker.

Artikel 10 – Prijzen, betaling en looptijd

Prijzen (excl. btw) en abonnementsvormen staan op de website. Betaling verloopt via Stripe. Creditcard is de standaard betaalmethode; iDEAL/SEPA kunnen beschikbaar zijn na bedrijfsverificatie. Abonnementen lopen per maand/jaar (kies) en verlengen automatisch, tenzij opgezegd vóór het einde van de lopende periode. Bij mislukte betalingen kan toegang worden opgeschort; na 30 dagen kan het account worden beëindigd. Prijswijzigingen worden minimaal 30 dagen vooraf aangekondigd; klant kan vóór de ingangsdatum opzeggen.

Opzegging en restitutie
Opzegging werkt aan het einde van de lopende factuurtermijn (maand of jaar, afhankelijk van het gekozen abonnement). Er vindt geen restitutie plaats van reeds gefactureerde of ongebruikte termijnen, ook niet bij tussentijdse beëindiging, downgrade of beperkte inzet van de Dienst. Wijzigingen in abonnement (upgrade/downgrade) worden pas vanaf de eerstvolgende factuurtermijn doorgevoerd.

Meerwerk
Werkzaamheden die niet in de Overeenkomst of deze gebruiksvoorwaarden zijn inbegrepen (waaronder configuraties, maatwerk of extra support) gelden als meerwerk en worden uitsluitend uitgevoerd na voorafgaande akkoordbevinding van Klant tegen het op dat moment geldende uurtarief. Meerwerk wordt separaat gefactureerd.

Artikel 11 – Garanties, aansprakelijkheid en vrijwaring

De Dienst wordt geleverd ‘as is’: zonder garanties op foutloosheid, continuïteit of geschiktheid voor een specifiek doel.

De totale aansprakelijkheid van Botz4U is beperkt tot een bedrag gelijk aan de door klant betaalde vergoedingen over de laatste 3 maanden, met een absoluut maximum van € 299.

Botz4U is niet aansprakelijk voor indirecte schade (gevolgschade, gederfde winst of dataverlies). Uitsluitingen gelden niet bij opzet of bewuste roekeloosheid van leidinggevenden. Klant vrijwaart Botz4U voor aanspraken van derden wegens Klantdata of gebruik in strijd met wet of deze voorwaarden.

Vervaltermijn voor claims
Ieder vorderingsrecht van Klant jegens Botz4U vervalt indien Botz4U niet binnen zes (6) maanden na de dag waarop Klant redelijkerwijs bekend werd of had kunnen worden met de gebeurtenis die aanleiding geeft tot de claim, daarvan schriftelijk en met voldoende onderbouwing in kennis is gesteld.

Artikel 12 – Duur, beëindiging en data-export

Elk der partijen kan ontbinden bij een toerekenbare tekortkoming die niet binnen 14 dagen na ingebrekestelling is hersteld. Na beëindiging kan klant gedurende 90 dagen data exporteren; daarna verwijdert Botz4U alle Klantdata (blobs en embeddings) conform artikel 6.

Artikel 13 – Wijzigingen, overmacht en recht

13.1 Wijzigingen van de Dienst en deze voorwaarden
Botz4U kan de Dienst of deze voorwaarden aanpassen; materiële wijzigingen worden vooraf aangekondigd. Prijswijzigingen worden minimaal 30 dagen vooraf aangekondigd.

13.2 Wijzigingen van DPA en Privacyverklaring
Wijzigingen in de Verwerkersovereenkomst (DPA) en/of de Privacyverklaring worden per e‑mail aan de beheercontacten van Klant gecommuniceerd en treden niet eerder in werking dan dertig (30) dagen na die kennisgeving, tenzij een kortere termijn noodzakelijk is wegens wetgeving of beveiliging.

13.3 Overmacht (force majeure)
Storingen bij toeleveranciers (zoals cloudproviders) en omstandigheden buiten de redelijke invloedssfeer van Botz4U kwalificeren als overmacht. Voorbeelden zijn: (digitale) overheidsinterventies, (gedeeltelijke) internet‑shutdowns, grootschalige DDoS‑aanvallen, uitzonderlijke verkeerspieken, stroomstoringen en noodonderhoud bij (cloud)toeleveranciers.

13.4 Toepasselijk recht en bevoegde rechter
Nederlands recht is van toepassing; de bevoegde rechter is die van het arrondissement waar Botz4U statutair is gevestigd.

Bijlage 1 – Verwerkers overeenkomst (DPA) Slimme Dossiers versie 1.2

Ingangsdatum: 21 augustus 2025

Partijen: 

(1) Klant (verwerkingsverantwoordelijke) en 

(2) Botz4U B.V. (verwerker), Rotterdam. 

Contact: info[at]slimmedossiers.nl

Inleiding

Dit is de verwerkersovereenkomst voor Slimme Dossiers tussen Klant (verwerkingsverantwoordelijke) en Botz4U B.V. (verwerker).

Wij verwerken Klantdata uitsluitend volgens jouw schriftelijke instructies en niet voor het trainen van algemene AI‑modellen.

Deze DPA geldt zolang wij Slimme Dossiers aan je leveren. 

1. Onderwerp en duur

Deze overeenkomst is van toepassing op de verwerking van persoonsgegevens in het kader van Slimme Dossiers. Zij geldt voor de duur van de onderliggende dienstverlening en zolang verwerker persoonsgegevens voor klant verwerkt.

2. Doel, aard, soort gegevens en betrokkenen (art. 28 AVG)

Doel: leveren van AI‑ondersteunde zoek-/antwoordfunctionaliteit op basis van klantbronnen.
Aard: opslag (Azure Blob), indexering (vector‑DB/embeddings), retrieval/verwerking (Azure OpenAI), logging en support.
Soorten gegevens: accountgegevens (naam, e‑mail), inhoud van documenten en chat (variabel, afhankelijk van klant), technische loggegevens.
Categorieën betrokkenen: medewerkers/contractoren van klant en andere personen die in klantdocumenten voorkomen.

3. Instructies en vertrouwelijkheid

Verwerker handelt uitsluitend op schriftelijke instructies van klant. Personen die onder gezag van verwerker handelen zijn tot geheimhouding verplicht.

3a. Bijzondere persoonsgegevens en minderjarigen (buiten scope)
De Dienst is niet bedoeld voor het verwerken van (i) bijzondere categorieën persoonsgegevens in de zin van art. 9 AVG en/of (ii) persoonsgegevens van minderjarigen (<16 jaar). Opdrachtgever zal dergelijke gegevens niet aanleveren of laten verwerken. Verwerker verwerkt dergelijke gegevens niet bewust en biedt geen functionaliteit die specifiek op deze verwerkingen is gericht.
Bij onbedoelde aanlevering zal Verwerker na kennisname de betreffende gegevens zonder onredelijke vertraging verwijderen en Opdrachtgever informeren. Eventuele afgeleiden (zoals embeddings in de zoekindex) worden na verwijdering van de brondocumenten binnen 72 uur verwijderd, conform artikel 9 van deze DPA.
Indien Opdrachtgever toch een verwerkingsnoodzaak voor deze gegevens heeft, kan de Dienst niet voor die verwerking worden gebruikt, tenzij Partijen vooraf uitdrukkelijk en schriftelijk aanvullende afspraken sluiten die voldoen aan de AVG.

4. Beveiliging

Verwerker treft passende technische en organisatorische maatregelen (TOM’s) om persoonsgegevens te beveiligen, waaronder encryptie in rust en transit, toegangsbeheer (RBAC/MFA), logging/monitoring en incidentprocedures (zie Bijlage A).

5. Subverwerkers

5.1 Klant geeft algemene toestemming voor inzet van subverwerkers.

5.2 Verwerker informeert klant tijdig over wijzigingen; klant kan binnen 30 dagen gemotiveerd bezwaar maken.

5.3 Verwerker legt subverwerkers gelijkwaardige verplichtingen op en blijft aansprakelijk voor hun handelen. Zie Bijlage B.

5.4 AI‑diensten — geen training op klantdata
Verwerker zal AI‑diensten uitsluitend inzetten op een wijze die waarborgt dat door of namens de Klant aangeleverde (persoons)gegevens niet door subverwerkers worden gebruikt voor het trainen of verbeteren van modellen die voor derden beschikbaar zijn. Verwerker verplicht subverwerkers contractueel tot dit ‘no‑training’‑regime en blijft jegens Klant verantwoordelijk voor naleving hiervan. Op verzoek verstrekt Verwerker redelijke informatie over de relevante contractuele waarborgen en configuratie‑instellingen.

6. Doorgiften buiten de EER

Indien doorgifte buiten de EER plaatsvindt, past verwerker passende waarborgen toe (zoals de EU‑standaardcontractbepalingen (SCC’s) of – indien van toepassing – het Data Privacy Framework) en neemt aanvullende maatregelen waar nodig. Op verzoek verstrekt verwerker een beschrijving of kopie van de relevante waarborgen en, waar mogelijk, informatie over de betrokken derde landen.

Externe zoekdienst. Indien Klant “internet‑zoeken” activeert, kan verwerking via Google Programmable Search / Custom Search JSON API plaatsvinden. Dat kan een doorgifte buiten de EER meebrengen. Voor dergelijke doorgiften baseert Verwerker zich op de EU‑U.S. Data Privacy Framework‑certificering van Google LLC en/of, waar nodig, de EU‑Standaardcontractbepalingen (SCC’s). Verdere informatie: Google’s verklaring over internationale overdrachten en DPF‑certificering. 

7. Datalekken en assistentie

Verwerker meldt zonder onredelijke vertraging iedere inbreuk in verband met persoonsgegevens aan klant met relevante informatie. Verwerker verleent redelijke assistentie bij verzoeken van betrokkenen, DPIA’s en contacten met toezichthouders. Verwerker reageert niet zelfstandig op verzoeken van betrokkenen, tenzij klant daartoe schriftelijk instructies geeft of verwerker daartoe wettelijk verplicht is; in dat geval informeert verwerker klant, tenzij de wet dit verbiedt.

8. Audits en informatie

Verwerker stelt alle informatie ter beschikking om naleving aan te tonen en staat audits toe (max. 1 per 12 maanden, met redelijke aankondiging, zonder onevenredige verstoring). Third‑party assurance‑rapporten (bijv. ISO/SOC) kunnen audits deels vervangen.

9. Verwijderen of retourneren

Na afloop van de dienstverlening verwijdert verwerker alle persoonsgegevens of retourneert deze op verzoek binnen 90 dagen; back‑ups worden conform retentiebeleid overschreven. Embeddings in de vector‑DB worden binnen 72 uur na opdracht tot verwijdering verwijderd.

10. Aansprakelijkheid en rangorde

Aansprakelijkheid volgt uit de onderliggende overeenkomst (incl. beperkingen/uitsluitingen). Bij strijdigheid prevaleert deze DPA voor zover het de verwerking van persoonsgegevens betreft. Nederlands recht en de rechtbank van het arrondissement van de statutaire zetel van verwerker zijn van toepassing.

11. Wijzigingen van deze DPA

Verwerker kan deze verwerkersovereenkomst aanpassen. Bij materiële wijzigingen informeert verwerker klant per e‑mail aan de bij verwerker bekende beheer- of accountcontacten en/of via de Dienst, ten minste dertig (30) dagen vóór de ingangsdatum van de wijziging, tenzij een kortere termijn noodzakelijk is wegens wet- of regelgeving of beveiligingsredenen. De actuele versie is beschikbaar via de Dienst of op de website van verwerker.

Bijlage A – Kernmaatregelen (TOM’s)

Beleid & governance (ISMS), least‑privilege, MFA; infrastructuur op Azure (EU‑regio’s), netwerksegmentatie, WAF/DDoS; encryptie (TLS 1.2+, AES‑256); app‑security (secret‑management, code‑review, dependency‑scans); web-search PII-guard (filtert PII uit zoekopdrachten); data‑management (Blob/embeddings, deletion workflows); monitoring (SIEM/alerts); BCP/DR (back‑ups/restore‑tests); security awareness en NDA’s; incidentrespons en datalekmelding.

Bijlage B – Subverwerkers

Microsoft (Azure) – compute, opslag en AI
• Azure Blob Storage (EU‑regio’s): opslag van door klant geüploade documenten en gegenereerde afgeleiden (bijv. tekstextracties/metadata).
• Azure Cognitive Search (vector index) (EU‑regio’s): opslag en doorzoekbaar maken van embeddings. Verwijderingen uit Blob worden binnen 72 uur uit de index doorgevoerd (via indexer). 
• Azure OpenAI (EU‑regio’s): inferencing op prompts en context; geen training op klantdata. 
• Azure Document Intelligence (EU‑regio’s, indien geactiveerd): machine‑lezen van documenten t.b.v. tekstextractie.
• Bot Framework Direct Line (EU‑endpoint): transport van chatberichten tussen webapp en bot (geen modeltraining).
• Google LLC – Programmable Search / Custom Search JSON API: levert webresultaten om antwoorden te gronden wanneer internet‑zoeken is ingeschakeld (optioneel). Verwerking kan buiten de EER plaatsvinden; Verwerker steunt op Google’s EU‑U.S. Data Privacy Framework en/of SCC’s voor rechtmatige doorgifte. Zie Google’s privacy‑/transfer‑kaders.

Clerk – authenticatie/identity (EU/EER datacenters waar mogelijk; alternatieve waarborgen bij doorgifte buiten EER)

Stripe Payments Europe – betalingen/facturatie

Wijzigingen: Verwerker informeert klant vooraf over relevante wijzigingen; klant kan binnen 30 dagen bezwaar maken (zie DPA, art. 5).