Privacybeleid
Laatst bijgewerkt: 15 mei 2026
Versie 2.0
1. Verwerkingsverantwoordelijke
Meenu, Inc. (“Meenu”, “wij”, “ons”) is verantwoordelijk voor de verwerking van persoonsgegevens via aiwaiter.app, het Meenu-dashboard en het AI-bestelplatform. Wij zijn bereikbaar via support@meino.io.
Voor restaurants die Meenu gebruiken om bestellingen van hun gasten te verwerken, treedt Meenu op als verwerker in de zin van artikel 28 AVG. In dat geval is het restaurant zelf verwerkingsverantwoordelijke voor de gastgegevens. De voorwaarden hiervan zijn vastgelegd in onze verwerkersovereenkomst (DPA), die onderdeel uitmaakt van de algemene voorwaarden.
2. Welke gegevens we verwerken
We verwerken de volgende categorieën persoonsgegevens:
- Accountgegevens — naam, e-mailadres, telefoonnummer, organisatie, functie en gehashte wachtwoorden.
- Restaurantgegevens — vestigingsadres, menukaarten, tafelindelingen, openingstijden en logo.
- Bestelgegevens — gekozen items, allergeneninformatie, bestelnotities, bestelstatus en gekoppelde tafel.
- Betaalgegevens — Stripe-klant-ID, transactie-ID en laatste vier cijfers van de kaart. Wij ontvangen of bewaren geen volledige kaartnummers.
- Chatberichten — vragen en antwoorden tussen gasten en de AI-ober tijdens een bestelsessie.
- Technische gegevens — IP-adres, browser-user-agent, apparaattype, sessie-identifier en logbestanden.
- Gebruiksgegevens — geanonimiseerde statistieken over paginabezoeken, klikgedrag en feature-gebruik.
3. Doeleinden en rechtsgronden
Wij verwerken persoonsgegevens op basis van de volgende rechtsgronden uit artikel 6 AVG:
| Doel | Rechtsgrond |
|---|---|
| Leveren van het Meenu-platform | Uitvoering overeenkomst (art. 6.1.b) |
| Verwerken van bestellingen en betalingen | Uitvoering overeenkomst (art. 6.1.b) |
| Fraudepreventie en beveiliging | Gerechtvaardigd belang (art. 6.1.f) |
| Product- en service-verbetering | Gerechtvaardigd belang (art. 6.1.f) |
| Marketing en nieuwsbrieven | Toestemming (art. 6.1.a) |
| Wettelijke verplichtingen (fiscaal) | Wettelijke plicht (art. 6.1.c) |
4. Subverwerkers en derde partijen
We schakelen zorgvuldig geselecteerde subverwerkers in om onze dienst te leveren. Met elke partij hebben we een verwerkersovereenkomst gesloten.
| Partij | Doel | Regio |
|---|---|---|
| Supabase, Inc. | Database, authenticatie, opslag | EU (Frankfurt) |
| Stripe Payments Europe Ltd. | Betalingen en abonnementen | EU / VS (SCCs) |
| OpenAI Ireland Ltd. | AI-ober chatverwerking | EU / VS (SCCs) |
| Vercel, Inc. | Hosting en analytics | EU / VS (SCCs) |
| Google LLC | OAuth-inloggen (optioneel) | EU / VS (SCCs) |
5. Internationale doorgiften
Een aantal subverwerkers is gevestigd in de Verenigde Staten. Voor deze doorgiften baseren wij ons op de Standard Contractual Clauses (SCCs) van de Europese Commissie, aangevuld met aanvullende technische en organisatorische maatregelen zoals encryptie in rust en tijdens transport.
6. Bewaartermijnen
| Gegevenscategorie | Bewaartermijn |
|---|---|
| Accountgegevens | Duur abonnement + 12 maanden |
| Bestel- en betaalgegevens | 7 jaar (fiscale bewaarplicht) |
| Chatberichten met AI-ober | 30 dagen |
| Technische logs | 90 dagen |
| Marketing-toestemmingen | Tot intrekking |
7. Beveiliging
Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, waaronder TLS-versleuteling van al het verkeer, AES-256-encryptie van data in rust, Row Level Security op databaseniveau, two-factor authentication voor medewerkers, periodieke penetratietests en een incident response procedure.
8. Jouw rechten
Op grond van de AVG heb je de volgende rechten:
- Recht op inzage in jouw persoonsgegevens (art. 15).
- Recht op rectificatie van onjuiste gegevens (art. 16).
- Recht op verwijdering (“recht om vergeten te worden”, art. 17).
- Recht op beperking van de verwerking (art. 18).
- Recht op overdraagbaarheid van gegevens (art. 20).
- Recht van bezwaar tegen verwerking op basis van gerechtvaardigd belang (art. 21).
- Recht om toestemming op elk moment in te trekken (art. 7 lid 3).
Stuur een verzoek naar support@meino.io. We reageren binnen één maand. Ter verificatie kunnen we om aanvullende identificatie vragen.
9. Klachtrecht
Mocht je niet tevreden zijn over hoe wij met jouw gegevens omgaan, dan kun je een klacht indienen bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens.
10. Wijzigingen
Wij kunnen dit privacybeleid van tijd tot tijd aanpassen. Substantiële wijzigingen kondigen wij minimaal 30 dagen vooraf aan via e-mail of via het dashboard. De meest actuele versie is altijd te vinden op deze pagina.
11. Contact
Heb je vragen over dit privacybeleid of over de verwerking van persoonsgegevens? Neem contact op met onze Privacy Officer via support@meino.io.