CAI Studio

Secure Development Policy

CAI Academy B.V.

Versie 1.0 – Januari 2026

1. Inleiding

CAI Academy B.V. (hierna: CAI) biedt ondernemers via het Platform een omgeving waar zij gebruik kunnen maken van verschillende AI-functionaliteiten, waaronder het ontwikkelen van maatwerk AI-assistenten (AI-Studios), advies over AI-integratie, en het aanbieden van AI-tools, content, trainingen en overige diensten.

Via het Platform kunnen ondernemers gebruik maken van een breed scala aan AI-functionaliteiten die speciaal zijn ontworpen om het werk van ondernemers efficiënter en effectiever te maken. Het Platform helpt ondernemers tijd te besparen en processen te optimaliseren, zodat zij zich kunnen concentreren op hun kernactiviteiten.

Om het Platform en de diensten veilig, integer en betrouwbaar te leveren, hanteert CAI deze Secure Development Policy (hierna: Beleid). Dit Beleid legt helder vast welke verantwoordelijkheden, maatregelen en werkwijzen noodzakelijk zijn om de integriteit, beschikbaarheid en vertrouwelijkheid van het Platform en de gegevens van Gebruikers te waarborgen.

Dit Beleid is opgesteld om:

  • gegevens van Gebruikers te beschermen;
  • risico's op datalekken en ongeoorloofde toegang te minimaliseren;
  • naleving van relevante wet- en regelgeving te waarborgen, waaronder de AVG en de AI-Verordening;
  • continuïteit en betrouwbaarheid van het Platform en de aangeboden Diensten te garanderen.

2. Definities

In dit Beleid worden de hiernavolgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven. Deze definities sluiten aan bij de definities zoals gehanteerd in de Algemene Voorwaarden en het Privacy Statement van CAI.

Term

Betekenis

AI-Verordening

De Verordening (EU) 2024/1689 van het Europees Parlement en de Raad van 13 juni 2024 betreffende artificiële intelligentie.

AVG

Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming).

Beleid

Deze Secure Development Policy.

CAI

CAI Academy B.V., gevestigd aan de Selwerderstraat 25, 9717GJ te Groningen, ingeschreven bij de KvK onder nummer 97553786.

Gebruiker

De natuurlijke of rechtspersoon die een Abonnement heeft afgesloten en/of gebruikmaakt van het Platform.

Eindgebruiker

Personen die via een gepubliceerde Studio interacteren met de AI-assistenten van een Gebruiker.

Platform

De door CAI aangeboden digitale omgeving op cai-academy.circle.so, waaronder alle functionaliteiten, tools, AI-assistenten, content en overige technische voorzieningen.

Studio (AI-Studio)

Een door een Gebruiker geconfigureerde omgeving binnen het Platform waarin één of meerdere AI-assistenten worden gebundeld, voorzien van een eigen URL, landingspagina en optioneel verdienmodel.

AI-assistent

Een individuele, geconfigureerde AI-chatbot binnen een Studio, voorzien van naam, beschrijving, instructies (system prompt) en optioneel een Kennisbank.

Kennisbank

Verzameling van geüploade bestanden (.docx, .pdf) die door een AI-assistent worden gebruikt om antwoorden te genereren.

System prompt

De instructieset die bepaalt hoe een AI-assistent zich gedraagt en reageert.

Conversatiegegevens

De berichten en interacties tussen Eindgebruikers en AI-assistenten.

Website

www.caiacademy.nl

3. Toepassingsgebied

Dit Beleid is van toepassing op CAI en alle werknemers, opdrachtnemers, leveranciers en overige geautoriseerde gebruikers die toegang hebben tot het Platform en betrokken zijn bij de ontwikkeling, implementatie, exploitatie, onderhoud of het beheer van het Platform.

Dit Beleid is tevens van toepassing op de verwerking van gegevens in het kader van AI-Studios, inclusief de Kennisbank, configuratiegegevens en Conversatiegegevens.

4. Verantwoordelijkheden

4.1 Verantwoordelijkheden van CAI

CAI is verantwoordelijk voor:

  • het bieden van een veilig en stabiel Platform voor het aanmaken en hosten van Studios;
  • het verwerken van gegevens conform de AVG, de AI-Verordening en overige toepasselijke wetgeving;
  • het beveiligen van geüploade Kennisbankbestanden, configuratiegegevens en Conversatiegegevens;
  • het informeren van Gebruikers bij beveiligingsincidenten;
  • het faciliteren van de technische infrastructuur voor AI-verwerking;
  • het beheren van de relatie met subverwerkers.

4.2 Verantwoordelijkheden van de Gebruiker

Conform de Algemene Voorwaarden is de Gebruiker verantwoordelijk voor:

  • het rechtmatig verkrijgen van content die wordt geüpload naar de Kennisbank;
  • het correct informeren van Eindgebruikers over de werking van de AI-assistenten en de opslag van Conversatiegegevens;
  • het naleven van auteursrechten bij geüploade bestanden;
  • de controle, toetsing en validatie van AI-output voordat deze wordt gebruikt;
  • het opstellen van passende instructies die geen schadelijke of misleidende output genereren;
  • het handelen in overeenstemming met de AI-Verordening, waaronder het verbod op handelingen die onder artikel 5 als verboden AI-praktijken worden aangemerkt.

5. AI-Studios: aanmaken en beheer

5.1 Proces voor het aanmaken van een Studio

Het aanmaken van een Studio verloopt als volgt:

  • Configuratie via Co-Founder: De Gebruiker doorloopt de AI-Team Builder om een eerste set van AI-assistenten te definiëren.
  • Studio-instellingen: De Gebruiker configureert naam, URL-slug, beschrijving en verdienmodel (gratis of betaald).
  • AI-assistent configuratie: Per assistent worden naam, beschrijving, system prompt en Kennisbank ingesteld.
  • Landingspagina: De Gebruiker selecteert een thema en past teksten en visuele elementen aan.
  • Publicatie: Na klikken op 'Publiceer Studio' wordt de Studio openbaar toegankelijk.

5.2 Isolatie van Studios

  • Elke Studio is technisch geïsoleerd van andere Studios.
  • Kennisbankbestanden zijn uitsluitend toegankelijk voor de betreffende AI-assistenten binnen die Studio.
  • System prompts en configuraties zijn niet zichtbaar voor Eindgebruikers.
  • Conversatiegegevens van één Studio zijn niet toegankelijk voor andere Gebruikers.

5.3 Verdienmodellen

Gebruikers kunnen kiezen uit:

  • Gratis: Eindgebruikers krijgen kosteloos toegang tot de AI-assistenten.
  • Betaald: Betalingen worden volledig verwerkt via Stripe. CAI slaat geen creditcardgegevens op.

6. Gegevensverwerking binnen Studios

6.1 Categorieën gegevens

Binnen een Studio kunnen de volgende gegevenstypen worden verwerkt:

Categorie

Voorbeelden

Accountgegevens

E-mail, naam, wachtwoord (gehasht)

Studio-configuratie

Naam, URL, beschrijving, thema, verdienmodel

AI-assistent configuratie

System prompt, naam, beschrijving

Kennisbank

Geüploade .docx en .pdf-bestanden

Conversatiegegevens

Chats tussen Eindgebruiker en AI-assistent

Eindgebruikersgegevens

E-mail, naam (indien account vereist)

Betalingsgegevens

Transactie-ID, bedrag (via Stripe)

6.2 Conversatiegegevens

Gesprekken tussen Eindgebruikers en AI-assistenten worden opgeslagen. Zowel de Gebruiker (Studio-eigenaar) als CAI hebben toegang tot deze Conversatiegegevens. CAI gebruikt deze gegevens uitsluitend voor technisch beheer, ondersteuning, het opsporen van problemen en het verbeteren van het Platform (geanonimiseerd en geaggregeerd).

CAI gebruikt Conversatiegegevens niet voor het trainen van eigen AI-modellen zonder expliciete toestemming van de Gebruiker.

6.3 Doelbinding

Gegevens worden uitsluitend verwerkt voor:

  • het functioneren van de geconfigureerde AI-assistenten;
  • het genereren van antwoorden op basis van de Kennisbank en conversatiecontext;
  • het bieden van inzicht aan Gebruikers in het gebruik van hun Studio;
  • het verwerken van betalingen (indien van toepassing);
  • het bieden van ondersteuning;
  • het voldoen aan wettelijke verplichtingen.

7. Kennisbank en bestandsuploads

7.1 Ondersteunde bestandstypen

  • Microsoft Word (.docx)
  • PDF (.pdf)

7.2 Verwerking

Geüploade bestanden worden:

  • versleuteld opgeslagen op servers binnen de EU;
  • geïndexeerd en verwerkt voor gebruik door de AI-assistent via de OpenAI API;
  • niet gedeeld met andere Studios of Gebruikers;
  • niet door CAI gebruikt voor het trainen van eigen modellen.

7.3 Verboden content

Conform de Algemene Voorwaarden is het niet toegestaan om content te uploaden die:

  • pornografisch of erotisch van aard is;
  • gewelddadig is of geweld promoot;
  • discriminerend is op basis van ras, geslacht, politieke gezindheid, godsdienst of levensovertuiging;
  • illegale activiteiten aanmoedigt of promoot;
  • in strijd is met artikel 5 van de AI-Verordening (verboden AI-praktijken).

CAI behoudt zich het recht voor om Studios die deze regels overtreden te deactiveren.

8. Privacy by Design

8.1 Uitgangspunten

Bij het ontwerp en de doorontwikkeling van het Platform hanteert CAI de volgende Privacy by Design-principes:

  • Dataminimalisatie: alleen noodzakelijke gegevens worden verzameld en verwerkt.
  • Doelbinding: gegevens worden alleen gebruikt voor het beoogde en gecommuniceerde doel.
  • Opslagbeperking: gegevens worden niet langer bewaard dan noodzakelijk.
  • Transparantie: Gebruikers en Eindgebruikers worden duidelijk geïnformeerd over gegevensverwerking.
  • Privacy als standaard: nieuwe Studios worden geconfigureerd met privacy-vriendelijke standaardinstellingen.

8.2 Verwerkersrelatie

  • CAI treedt op als verwerker voor gegevens die Gebruikers verwerken binnen hun Studio.
  • De Gebruiker is verwerkingsverantwoordelijke voor de Kennisbankinhoud en de verwerking van Eindgebruikersgegevens binnen hun Studio.
  • Een verwerkersovereenkomst wordt aangeboden aan alle Gebruikers die persoonsgegevens verwerken.

9. Security by Design

9.1 Technische beveiligingsmaatregelen

Versleuteling

  • Alle dataverkeer wordt versleuteld via TLS 1.2 of hoger.
  • Kennisbankbestanden worden versleuteld opgeslagen (encryption at rest).
  • Wachtwoorden worden gehasht opgeslagen met moderne hashing-algoritmen.

Toegangscontrole

  • Strikte scheiding tussen Studios op infrastructuurniveau.
  • Rolgebaseerde toegang tot beheerfuncties.
  • Automatische sessie-time-out na inactiviteit.
  • Logging van alle configuratiewijzigingen en toegang tot gevoelige gegevens.

Monitoring

  • Continue beschikbaarheidsmonitoring van het Platform.
  • Detectie van afwijkend gedrag en mogelijke aanvallen.
  • Crashrapportage en foutanalyse.

9.2 Veilige standaardinstellingen

  • System prompts zijn niet zichtbaar voor Eindgebruikers.
  • Kennisbankbestanden zijn niet downloadbaar voor Eindgebruikers.
  • Externe integraties vereisen expliciete activatie.

10. Externe diensten en subverwerkers

10.1 OpenAI (AI-verwerking)

CAI maakt gebruik van de OpenAI API voor het verwerken van conversaties en het genereren van antwoorden door AI-assistenten. Conversaties worden verwerkt door OpenAI conform hun Data Processing Agreement. Gegevens die via de API worden verzonden, worden door OpenAI niet gebruikt voor het trainen van hun modellen.

10.2 Digital Ocean (Hosting)

De infrastructuur van het Platform wordt gehost bij Digital Ocean, beheerd door Coddin B.V. Servers bevinden zich binnen de Europese Unie.

10.3 Stripe (Betalingsverwerking)

Betalingen voor betaalde Studios worden verwerkt via Stripe. CAI ontvangt uitsluitend transactie-informatie (transactie-ID, bedrag, status). Creditcardgegevens worden niet door CAI opgeslagen. Stripe is PCI-DSS gecertificeerd.

10.4 Coddin B.V. (Technisch beheer)

De technische ontwikkeling en het beheer van het Platform wordt uitgevoerd door Coddin B.V., conform hun Secure Development Policy. Dit omvat code reviews, automatische tests, en Privacy by Design en Security by Design principes.

11. Gegevensopslag en -retentie

11.1 Opslaglocatie

Alle gegevens worden primair opgeslagen binnen de Europese Unie. Bij verwerking door OpenAI kunnen gegevens tijdelijk worden verwerkt in de Verenigde Staten, conform de geldende EU-VS doorgifte-afspraken.

11.2 Retentiebeleid

Conform het Privacy Statement bewaart CAI persoonsgegevens niet langer dan noodzakelijk:

Gegevenstype

Retentieperiode

Accountgegevens

Tot 12 maanden na verwijdering account

Studio-configuratie

Zolang de Studio bestaat

Kennisbankbestanden

Zolang de Studio bestaat, tenzij eerder verwijderd

Conversatiegegevens

Zolang de Studio bestaat, tenzij eerder verwijderd

Betalingstransacties

7 jaar (wettelijke bewaarplicht)

Logging en audittrails

12 maanden

11.3 Back-ups

  • Dagelijkse back-ups van alle Studio-gegevens.
  • Back-ups worden versleuteld opgeslagen.
  • Retentieperiode back-ups: 30 dagen.
  • Back-ups worden opgeslagen binnen de EU.

12. Rechten van Gebruikers en Eindgebruikers

12.1 Rechten van Gebruikers

Conform het Privacy Statement en de AVG hebben Gebruikers recht op:

  • inzage in alle opgeslagen gegevens van hun Studio;
  • correctie van onjuiste gegevens;
  • verwijdering van Kennisbankbestanden en gegevens;
  • overdracht (dataportabiliteit) van hun gegevens;
  • beperking van of bezwaar tegen verwerking.

Verzoeken kunnen worden ingediend via support@caiacademy.nl en worden binnen 30 dagen afgehandeld.

12.2 Rechten van Eindgebruikers

Eindgebruikers kunnen bij de Gebruiker (Studio-eigenaar) inzage vragen in hun Conversatiegegevens en verwijdering daarvan verzoeken. De Gebruiker is primair verantwoordelijk voor het afhandelen van deze verzoeken. CAI ondersteunt de Gebruiker technisch bij het uitvoeren van verzoeken.

13. Beëindiging en verwijdering van Studios

13.1 Vrijwillige beëindiging

Een Gebruiker kan op elk moment verzoeken om een Studio te beëindigen. Bij beëindiging:

  • wordt de Studio direct offline;
  • heeft de Gebruiker 30 dagen om een export aan te vragen;
  • Worden na 30 dagen alle gegevens definitief verwijderd;
  • Worden Back-ups conform het retentiebeleid automatisch verwijderd.

13.2 Beëindiging door CAI

Conform de Algemene Voorwaarden behoudt CAI zich het recht voor om een Studio te deactiveren bij:

  • ernstige of herhaalde schending van de Algemene Voorwaarden;
  • gebruik van de Studio voor illegale activiteiten of verboden AI-praktijken;
  • uploaden van verboden content;
  • niet-betaling van verschuldigde bedragen;
  • op last van een bevoegde autoriteit.

14. Incidentbeheer

14.1 Melden van incidenten

Beveiligingsincidenten, vermoedens van datalekken of kwetsbaarheden kunnen worden gemeld via security@caiacademy.nl of via het supportkanaal in het Platform.

14.2 Responsprocedure

Bij een gemeld of geconstateerd incident:

  • Beoordeling (binnen 24 uur): CAI beoordeelt de ernst en impact.
  • Containment (direct): Maatregelen om verdere schade te voorkomen.
  • Notificatie (binnen 72 uur): Bij een bevestigd datalek worden getroffen Gebruikers geïnformeerd.
  • Melding AP (indien vereist): Bij een meldingsplichtig datalek wordt de Autoriteit Persoonsgegevens geïnformeerd.
  • Evaluatie: Na afhandeling volgt een evaluatie en worden preventieve maatregelen genomen.

15. Wijzigingen en contact

15.1 Wijzigingen

CAI behoudt zich het recht voor om dit Beleid te wijzigen. Wijzigingen worden minimaal 30 dagen voor inwerkingtreding gecommuniceerd aan Gebruikers. Voortgezet gebruik van het Platform na inwerkingtreding geldt als acceptatie.

15.2 Contact

Voor vragen over dit Beleid, het uitoefenen van rechten of het melden van incidenten:

CAI Academy B.V.

Selwerderstraat 25

9717GJ Groningen

Nederland

Algemene vragen: support@caiacademy.nl

Privacy en AVG: privacy@caiacademy.nl

Beveiliging: security@caiacademy.nl

— Einde document —