AVG · Art. 13/14

Hoe we omgaan met jouw gegevens.

Laatst bijgewerkt · 6 mei 2026

This policy applies to tablario.com and the restaurant portal. The separate per-restaurant privacy notice — the one callers hear on the phone — lives at tablario.com/datenschutz/<restaurant-id>.

Verwerkingsverantwoordelijke

Wie jouw gegevens verwerkt

Staqmind UG (haftungsbeschränkt)
Saalfelder Strasse 11 · 51103 Keulen · Duitsland
Vertegenwoordigd door
Mirko Rossbach, Montassar Zaroui

Controller within the meaning of GDPR is Staqmind UG. No data protection officer is appointed — the conditions of § 38 BDSG are not met.

Verzameling & rechtsgronden

Wat we verzamelen — en waarom

Serverlogs

Elke toegang tot onze website genereert automatisch informatie op onze webserver:

Vastgelegde velden
IP-adres (geanonimiseerd) · datum/tijd · opgevraagde URL · HTTP-status · referrer · user agent
Rechtsgrond
AVG art. 6(1)(f) (gerechtvaardigd belang: operationele beveiliging, foutanalyse)
Bewaartermijn
7 dagen

Demo-aanvragen / contactformulier

Voor formulieraanvragen verzamelen we naam, e-mail en optioneel telefoon/restaurantnaam.

Rechtsgrond
AVG art. 6(1)(b) (precontractuele maatregelen)
Bewaartermijn
12 maanden na afhandeling

Accountgegevens (restaurantportaal)

Voor de uitvoering van de overeenkomst bewaren we de stamgegevens van het restaurant en betaalgegevens (Stripe).

Rechtsgrond
AVG art. 6(1)(b) (uitvoering van de overeenkomst)
Bewaartermijn
Tot 30 dagen na einde overeenkomst; facturen 10 jaar (§ 147 AO)

AI-telefoongesprekken (verwerking)

Tablario verwerkt bellergegevens namens het restaurant (telefoonnummer, audio, transcript, reserveringsgegevens). Tablario is hierbij verwerker volgens AVG art. 28; de verwerkingsverantwoordelijke is het betreffende restaurant. Gespreksaudio wordt niet opgeslagen, maar uitsluitend vluchtig verwerkt voor realtime-transcriptie. Alleen het tekst-transcript wordt opgeslagen; dit wordt standaard na 30 dagen geanonimiseerd.

Rechtsgrond
AVG art. 6(1)(b) (uitvoering van de overeenkomst van het restaurant jegens de gast); AVG art. 6(1)(a) (toestemming via de AI-melding aan het begin van het gesprek)
Bewaartermijn
Audio: niet opgeslagen · transcripten: standaard 30 dagen, daarna geanonimiseerd

Live spraakdemo (tablario.com/demo)

Bezoekers die de gratis spraakdemo aanvragen, geven hun e-mail, telefoonnummer en UI-taal op. We sturen een bevestigingsmail (dubbele opt-in); de demo start pas nadat op de link is geklikt. Demo-audio en transcripten worden NIET bewaard — verwerking gebeurt alleen in realtime. Per geverifieerde identiteit (e-mail of telefoon) zijn 3 minuten per dag beschikbaar.

Rechtsgrond
AVG art. 6(1)(a) (toestemming). Toestemming is vrijwillig en op elk moment intrekbaar (verwijderlink in elke bevestigingsmail).
Bewaartermijn
Onbevestigde leads: max. 24 uur, daarna verwijderd. Bevestigde leads: 30 dagen, daarna geanonimiseerd (hash behouden voor quotabewaking). Demo-audio + transcript: niet bewaard.
Cookies & tracking

Wat er in de browser draait

We gebruiken strikt noodzakelijke cookies (sessiecookies, CSRF-bescherming) en voor webanalyse Plausible Analytics — cookieloos, zonder persoonsgegevens, zonder cross-site tracking (geen toestemming vereist). Om onze advertenties te meten gebruiken we daarnaast Google Ads conversietracking: het registreert aanmeldingen uit onze advertenties en plaatst hiervoor een cookie (_gcl_aw) — uitsluitend na uw voorafgaande toestemming via onze cookiebanner. Als u weigert of geen keuze maakt, wordt er geen Google-cookie geplaatst en worden er geen gegevens naar Google verzonden. Via Google Consent Mode v2 worden alleen de voor conversiemeting noodzakelijke signalen gezet (ad_storage, ad_user_data); er vindt geen remarketing plaats (ad_personalization blijft uitgeschakeld). De verwerking gebeurt door Google (ook in de VS) op basis van uw toestemming (art. 6 lid 1 sub a AVG; § 25 lid 1 TDDDG). U kunt uw toestemming op elk moment met werking voor de toekomst intrekken door de cookies in uw browser te verwijderen. Gegevensoverdracht versleuteld via SSL/TLS.

Subverwerkers

Wie er nog meer bij betrokken zijn

We zetten de volgende dienstverleners in om onze diensten te leveren. Met allen is een verwerkersovereenkomst (AVG art. 28) gesloten. De AI-spraakverwerking vindt plaats in de EU. Doorgifte naar de VS vindt alleen plaats bij de overeenkomstig aangeduide diensten en uitsluitend op basis van het EU-VS Data Privacy Framework (DPF) of de modelcontractbepalingen (SCC's).

AanbiederDoelLocatieGrondslag derde land
Amazon Web Services EMEA SARLCloudhosting, compute, database, CDN, authenticatie (Cognito), AI-spraakmodel-inferentie (Claude via AWS Bedrock), zelf-gehoste media-orkestratie (LiveKit)eu-central-1 · Frankfurt
Telnyx Ireland LimitedTelefonierouting, telefoonnummers, sms-verzendingEU · gegevensopslag Duitsland
Soniox, Inc.Spraakherkenning (speech-to-text) van de AI-telefonieEU-regioSCC's / DPF (Amerikaanse vennootschap, verwerking op EU-eindpunt)
ElevenLabs, Inc.Spraaksynthese (text-to-speech) — ontvangt uitsluitend de gesproken antwoordtekst (incl. gastnaam), geen telefoonnummer/identificatieVSSCC's / DPF + verwerkersovereenkomst
Resend, Inc.Verzending van transactionele e-mailsVSDPF / SCC's
Stripe Payments Europe Ltd.Betalingsverwerking van de aanbiedersvergoedingDublin, Ierland (EU/VS)DPF / SCC's
Sentry (Functional Software, Inc.)Technische fout-trackingVSDPF / SCC's
Plausible AnalyticsWebanalyse (cookieloos)EU
Google Ireland Ltd. / Google LLCGoogle Ads conversietracking (alleen met toestemming)VSToestemming; DPF

Soniox en ElevenLabs verwerken gegevens uitsluitend in het kader van de AI-gestuurde telefoonassistentie namens onze restaurantklanten. De AI-spraakmodel-inferentie (Claude) verloopt via AWS Bedrock in de EU; de media-orkestratie (LiveKit) beheren we zelf op AWS in de EU.

Bewaartermijnen

Hoe lang we dingen bewaren

Serverlogs
7 dagen
Contactaanvragen
12 maanden na afhandeling
Facturen
10 jaar · § 147 AO
Zakelijke correspondentie
6 jaar · § 257 HGB
Gespreksaudio
Niet opgeslagen (alleen realtime-verwerking)
Gesprekstranscripten
Standaard 30 dagen · daarna geanonimiseerd
Demo-leads (e-mail/telefoon)
Onbevestigd: max. 24 u · Bevestigd: 30 dagen, daarna geanonimiseerd · Demo-audio/transcript: niet bewaard
Jouw rechten

Waar je recht op hebt

Je hebt recht op inzage (art. 15), rectificatie (art. 16), wissing (art. 17), beperking (art. 18), gegevensoverdraagbaarheid (art. 20) en bezwaar (art. 21 AVG). Neem contact met ons op via:

datenschutz@tablario.com

Recht om een klacht in te dienen

Je hebt het recht om een klacht in te dienen bij een toezichthoudende autoriteit. Onze bevoegde autoriteit is:

Functionaris voor gegevensbescherming van Noordrijn-Westfalen (LDI NRW)
Kavalleriestr. 2-4 · 40213 Düsseldorf
www.ldi.nrw.de
Geautomatiseerde besluitvorming

Geautomatiseerde reserveringsbeslissing met waarborgen

Er vindt geen profilering plaats (AVG art. 4 lid 4). De geautomatiseerde acceptatie of afwijzing van een reservering door de AI-assistent gebeurt met het oog op het sluiten van de overeenkomst (AVG art. 22 lid 2 onder a) — met de waarborgen van art. 22 lid 3: bellers kunnen op elk moment om menselijke behandeling vragen (doorverbinden naar het opgeslagen personeelsnummer), hun standpunt kenbaar maken en de beslissing aanvechten; het restaurant behoudt volledige controle over de reserveringsregels en kan reserveringen handmatig aanpassen.

Gegevensbeveiliging

Technische & organisatorische maatregelen

We nemen passende maatregelen volgens AVG art. 32:

  • SSL/TLS-versleuteling voor alle gegevensoverdrachten
  • Serverlocatie EU · AWS Frankfurt (eu-central-1)
  • Versleuteling in rust · Aurora PostgreSQL, S3, Secrets Manager · KMS
  • Toegangscontrole op need-to-know-basis
  • MFA afgedwongen op platformaccounts · adaptieve auth (Cognito Threat Protection)
  • Web Application Firewall (AWS WAF) met rate limiting en reputatiefilters
  • Regelmatige beveiligingsupdates en containerscanning
  • Geen betaalgegevens opgeslagen op onze servers
Beveiligingsincidenten

Wat er gebeurt bij een datalek

We verbinden ons ertoe inbreuken op persoonsgegevens zonder onnodige vertraging te detecteren, te onderzoeken en te melden. Voor meldplichtige inbreuken volgens AVG art. 33 melden we dit binnen 72 uur aan de toezichthoudende autoriteit. Wanneer inbreuken met hoog risico betrokkenen treffen, informeren we hen onverwijld (art. 34 AVG). Restaurantklanten ontvangen ook een verwerkersmelding.

Detectie
Monitoring & waarschuwingen (AWS GuardDuty, Sentry, WAF-logs)
Melding autoriteit
Binnen 72 u · AVG art. 33
Info betrokkenen
Onverwijld bij hoog risico · AVG art. 34
Melding klant
Meldplicht verwerker aan restaurants · AVG art. 33(2)
Updates

Wijzigingen in dit beleid

We werken dit beleid bij telkens wanneer onze diensten of wettelijke vereisten veranderen. De actuele versie is altijd hier beschikbaar.

Reactie binnen 1 werkdag
Op werkdagen tussen 9 en 18 uur (CET)
AVG-conform
Servers in Duitsland · geen verkoop van gegevens
Made in Germany
Ondersteuning door de oprichters, rechtstreeks vanuit Keulen
Maandelijks opzegbaar
Geen contract, geen instelkosten

Vragen die we niet hebben behandeld?

Stuur ons een bericht — we reageren binnen één werkdag.