Kaiku
LEGAL

Security

Laatst bijgewerkt: 17 mei 2026

1. Overzicht

Kaiku verwerkt gevoelige welzijnsgegevens: gesprekken, stemming, gezondheidsmetingen en relatie-overwegingen. We beschermen deze gegevens in meerdere lagen, zodat zelfs als de database zou lekken, je berichten zonder versleutelingssleutel onleesbaar blijven. Op deze pagina beschrijven we de concrete technische beveiligingslagen die we continu onderhouden.

AES-256-GCM Encryption

Messages, memories and other sensitive content are encrypted using AES-256-GCM.

Automatic Anonymization

Summaries are anonymized. Real names never stored in titles.

Access Control

74 Row Level Security rules protect user data.

AI Security

Your messages are not used to train AI models.

You Are in Control

Download data, set auto-deletion, or delete everything.

7. Datalocatie — EU

Alle database- en analyticsgegevens worden opgeslagen op servers in de EU. AI-leveranciers staan deels in de Verenigde Staten, maar overdrachten gebruiken Standard Contractual Clauses (Commissiebesluit EU 2021/914) en waar van toepassing het EU-US Data Privacy Framework. Voor de exacte lijst met leveranciers: zie het Privacybeleid.

8. Welke gegevens worden verzameld

Zo min mogelijk — alleen wat nodig is om te functioneren. We verzamelen gesprekken, gebruikersinstellingen en gezondheidsgegevens als je een wearable koppelt. Locatie wordt niet verzameld, tenzij je zelf een GPS-route van een training deelt. Contacten worden niet verzameld, tenzij je ze zelf toevoegt. Productanalytics draait alleen met jouw toestemming en verzamelt pseudonieme gebruiksstatistieken (paginaweergaven, functiegebruik) — zonder je naam of berichtinhoud; zie het Cookiebeleid.

9. Naleving

Waar we ons aan committeren:

  • AVG art. 9 — uitdrukkelijke toestemming voor het verwerken van gevoelige gegevens
  • AES-256-GCM — versleuteling in rust
  • TLS 1.3 — versleuteling tijdens overdracht
  • Datalocatie in de EU
  • DPIA — gegevensbeschermingseffectbeoordeling uitgevoerd
  • Rate limiting — DDoS-bescherming
  • Audit logs — toegang wordt vastgelegd
  • Definitieve verwijdering binnen 30 dagen na verzoek

10. Datalekken

Als een datalek met persoonsgegevens waarschijnlijk een risico vormt voor je rechten, melden we dit zonder onnodige vertraging en waar mogelijk binnen 72 uur na ontdekking bij de toezichthoudende autoriteit (AVG art. 33) en informeren we jou zonder onnodige vertraging als het lek waarschijnlijk een hoog risico vormt voor je rechten (art. 34) — in duidelijke taal. We beschrijven daarbij de aard van het lek, de waarschijnlijke gevolgen, de genomen maatregelen en een contactpersoon.