1. Inleiding
GREYDOLL Technology ("wij," "ons," of "onze") hecht groot belang aan uw privacy. Dit Privacybeleid legt uit hoe wij uw gegevens verzamelen, gebruiken, openbaar maken en beschermen wanneer u gebruik maakt van onze AI-spraakassistent diensten.
Bedrijfsgegevens:
- Bedrijfsnaam: GREYDOLL Technology
- Adres: Bernadottelaan 22, 3527GB Utrecht, Nederland
- KVK: 98789934
- E-mail: [email protected]
Dit beleid voldoet aan de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de EU AI Act.
2. Onze Twee Rollen: Websitebezoekers versus Gebruikers van het Spraakproduct
GREYDOLL treedt op in twee verschillende hoedanigheden, afhankelijk van hoe u met ons in contact komt, en op elke hoedanigheid zijn andere regels van toepassing:
Als Websitebezoeker
- Wanneer u deze website bezoekt, ons contact- of vacatureformulier invult, of gebruikmaakt van interactieve tools zoals de omzetcalculator, is GREYDOLL de Verwerkingsverantwoordelijke voor die gegevens.
Als Eindklant van een GREYDOLL-Klant
- Wanneer u contact heeft met een AI-spraakagent die is ingezet door een van onze zakelijke Klanten (bijvoorbeeld om een tafel te reserveren of een bestelling te plaatsen), is het bedrijf waarmee u contact had de Verwerkingsverantwoordelijke, en treedt GREYDOLL uitsluitend op als Verwerker, die uw gegevens uitsluitend verwerkt op instructie van dat bedrijf. Verzoeken met betrekking tot die gegevens (inzage, verwijdering, etc.) dienen te worden gericht aan het bedrijf waarmee u contact had; GREYDOLL ondersteunt dat bedrijf bij het afhandelen van dergelijke verzoeken zoals vereist onder onze verwerkersovereenkomst.
3. Gegevens die wij verzamelen
Persoonlijke Informatie
- Contactgegevens (Naam, E-mail, Telefoonnummer) wanneer u een aanvraag doet of zich aanmeldt.
- Stemgegevens en gespreksopnamen verwerkt door onze AI om uw verzoeken uit te voeren.
- Factuurgegevens via onze beveiligde betalingsverwerkers.
- Technische gegevens (IP-adres, browsertype) voor service-optimalisatie.
Website- en Aanvraaggegevens
- Naam, e-mailadres, telefoonnummer en bedrijfsnaam die u indient via ons contact- of vacatureformulier.
- Informatie die u vrijwillig verstrekt bij het solliciteren naar een functie bij ons, inclusief uw cv en motivatiebrief indien ingediend.
- Gebruiksgegevens die worden gegenereerd wanneer u interactieve tools op onze website gebruikt, zoals de omzetcalculator.
Wij verwerken deze websitegegevens op basis van uw toestemming (wanneer u een formulier indient), om stappen te zetten voorafgaand aan het sluiten van een overeenkomst met u, of op basis van ons gerechtvaardigd belang om aanvragen te beantwoorden en onze website te exploiteren.
4. Status van Gegevensverwerker & Naleving
Voor de doeleinden van de AVG is de Klant (Gebruiker) de 'Verwerkingsverantwoordelijke' en is GREYDOLL de 'Verwerker.' GREYDOLL verwerkt gegevens van eindklanten uitsluitend op basis van de instructies van de Klant.
AI Transparantie (EU AI Act)
In overeenstemming met Artikel 50 van de EU AI Act moeten alle eindgebruikers (bellers) aan het begin van de interactie expliciet worden geïnformeerd dat zij communiceren met een AI-systeem. De Klant is verantwoordelijk voor de AI-begroeting.
Gespreksopname (Telecommunicatiewet)
Onder de Nederlandse Telecommunicatiewet is de Klant als enige verantwoordelijk voor het verkrijgen van toestemming voor opnamen en transcripties.
5. Subverwerkers
De Klant verleent algemene toestemming aan GREYDOLL om de volgende subverwerkers in te schakelen:
Goedgekeurde Subverwerkers
- Retell AI / Twilio: Spraakverwerking en Telefonie-infrastructuur.
- Railway / Supabase: Hosting, Serveromgevingen en Databasebeheer.
- Mollie / Wise: Betalingsverwerking en Uitbetalingen.
- OpenAI / Anthropic: Large Language Model (LLM) intelligentie.
6. Internationale Gegevensoverdracht
Uw gegevens kunnen worden verwerkt met behulp van in de VS gevestigde AI-engines. Wij zorgen ervoor dat deze overdrachten worden beschermd door passende waarborgen, zoals de door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC's).
7. Beveiliging & Bewaring
Wij passen versleuteling (TLS/SSL) toe om persoonsgegevens te beschermen.
Bij beëindiging bewaart GREYDOLL de gegevens maximaal 30 dagen voor export. Daarna worden ze definitief verwijderd, behalve financiële gegevens (7 jaar bewaarplicht voor de Belastingdienst).
Wij informeren de Gebruiker binnen 48 uur na ontdekking van een bevestigd datalek om te helpen bij de 72-uurs meldingsplicht aan de Autoriteit Persoonsgegevens.
Gegevens uit contact- en vacatureformulieren worden maximaal 24 maanden bewaard na uw laatste contact met ons, of totdat u ons vraagt deze te verwijderen, tenzij een langere bewaartermijn vereist is om juridische aanspraken vast te stellen, uit te oefenen of te verdedigen.
8. Uw Rechten
Indien GREYDOLL de Verwerkingsverantwoordelijke is voor uw gegevens (zie 'Onze Twee Rollen' hierboven), heeft u, met inachtneming van de toepasselijke wetgeving, het recht om:
U Heeft het Recht Om
- Inzage te vragen in de persoonsgegevens die wij van u verwerken.
- Correctie van onjuiste gegevens te vragen.
- Verwijdering van uw gegevens te vragen.
- Bepaalde verwerkingen te beperken of hiertegen bezwaar te maken.
- Een kopie van uw gegevens in een overdraagbaar formaat te ontvangen.
- Uw toestemming te allen tijde in te trekken, indien de verwerking op toestemming is gebaseerd.
Om deze rechten uit te oefenen, kunt u contact met ons opnemen via [email protected]. U heeft ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens of uw lokale toezichthoudende autoriteit.
Indien GREYDOLL uitsluitend optreedt als Verwerker voor uw gegevens, richt u uw verzoek dan tot het bedrijf waarmee u contact had; wij ondersteunen dat bedrijf bij het beantwoorden van uw verzoek zoals vereist onder onze verwerkersovereenkomst.
9. Privacy van Kinderen
Onze website en diensten zijn niet gericht op personen jonger dan 16 jaar. Wij verzamelen niet bewust persoonsgegevens van kinderen. Indien u vermoedt dat een kind ons persoonsgegevens heeft verstrekt, neem dan contact met ons op via [email protected], zodat wij deze kunnen verwijderen.
10. Wijzigingen in dit Beleid
Wij kunnen dit Privacybeleid van tijd tot tijd bijwerken om wijzigingen in onze praktijken of om juridische, operationele of wettelijke redenen te weerspiegelen. Wij plaatsen de bijgewerkte versie op deze pagina met een herziene datum van 'laatst bijgewerkt.' Materiële wijzigingen worden waar vereist rechtstreeks aan Klanten gecommuniceerd.
Restaurant Data Protection Agreement
Article X to the GREYDOLL Restaurant Agreement
X.1 — DEFINITIONS
"Consumer Data" means all data relating to end consumers who interact with the GREYDOLL platform, including but not limited to: telephone numbers in raw or hashed form, loyalty wallet balances, visit history across venues, WhatsApp consent records, dining preferences, location signals, and cross-venue behavioural patterns. Consumer Data is distinct from Booking Data defined in Article X.3.
X.2 — DATA CONTROLLER
The parties acknowledge that GREYDOLL Technologies B.V. (KVK 85799934) is the sole Data Controller with respect to all Consumer Data under Regulation (EU) 2016/679 (GDPR). Restaurant Operator acts as Data Processor only with respect to the limited Booking Data specified in Article X.3, and solely for the purpose of fulfilling individual reservations.
X.3 — MINIMUM NECESSARY DATA
GREYDOLL shall provide Restaurant Operator only with the following data elements required to fulfil individual bookings:
- Guest first name only;
- Party size;
- Booking date and time;
- Dietary requirements and special requests relevant to service;
- Visit count at Restaurant Operator's own venue (aggregate count only — no cross-venue data, no contact details).
Restaurant Operator shall receive no other Consumer Data. GREYDOLL shall implement technical controls to enforce this limitation.
X.4 — PROHIBITED USES
Restaurant Operator shall not, directly or indirectly:
- Attempt to obtain, derive, reconstruct, or infer any Consumer Data beyond Booking Data provided under Article X.3;
- Contact, market to, or communicate with any consumer using data received through the GREYDOLL platform for any purpose other than the immediate service context of a confirmed booking;
- Store telephone numbers, email addresses, or other personal contact details of consumers unless independently and lawfully obtained through means wholly unrelated to the GREYDOLL platform;
- Share, sell, license, or transfer Consumer Data or Booking Data to any third party;
- Use any data received through the GREYDOLL platform for profiling, automated decision-making, or any purpose other than fulfilling the specific confirmed booking for which the data was provided.
X.5 — DATA DELETION ON TERMINATION
Upon termination or expiry of this Agreement for any reason:
- Restaurant Operator shall permanently and irreversibly delete all Consumer Data and Booking Data received through the GREYDOLL platform within thirty (30) calendar days of the termination date;
- Restaurant Operator shall provide written confirmation of deletion to GREYDOLL at [email protected] within thirty-five (35) calendar days;
- GREYDOLL shall anonymise all booking records linked to Restaurant Operator's venue within ninety (90) days, subject to applicable legal retention obligations under Dutch and EU law.
X.6 — SECURITY
Restaurant Operator shall implement appropriate technical and organisational measures to protect Booking Data received under Article X.3 against unauthorised access, disclosure, alteration, or loss, in accordance with Article 32 GDPR. At minimum, access to booking records shall be restricted to staff directly involved in service delivery.
X.7 — DATA SUBJECT RIGHTS
Upon receipt of any request from a consumer exercising rights under GDPR Chapter III (including rights of access, rectification, erasure, portability, or restriction), Restaurant Operator shall immediately — and in any event within forty-eight (48) hours — forward such request to GREYDOLL at [email protected]. Restaurant Operator shall not independently respond to, process, or refuse any such request relating to Consumer Data or Booking Data originating from the GREYDOLL platform.
X.8 — BREACH NOTIFICATION
Restaurant Operator shall notify GREYDOLL without undue delay, and in any event within twenty-four (24) hours, upon becoming aware of any actual or suspected personal data breach involving Consumer Data or Booking Data, by email to: [email protected]. Notification shall include a description of the nature of the breach, categories of data affected, and any remedial steps taken.
X.9 — AUDIT RIGHTS
GREYDOLL reserves the right to audit Restaurant Operator's compliance with this Article X upon written notice of not less than five (5) business days. Restaurant Operator shall provide reasonable cooperation, access to relevant systems, records, and personnel. Costs of audit shall be borne by GREYDOLL unless material non-compliance is found, in which case costs shall be borne by Restaurant Operator.
X.10 — CONSUMER-FACING PRIVACY COMMITMENT
Restaurant Operator acknowledges that GREYDOLL's consumer privacy policy states that end consumers' telephone numbers and personal profiles are never shared with restaurant operators. Restaurant Operator agrees not to take any action that would cause GREYDOLL to be in breach of this commitment.