Privacybeleid

Regen Studio B.V. (KVK 90337948) is de verwerkingsverantwoordelijke voor persoonsgegevens van betrokkenen in de EU/EER zoals beschreven in dit beleid. Voor Braziliaanse betrokkenen is de verwerkingsverantwoordelijke Regen Studio Consultoria LTDA (CNPJ 57.579.114/0001-55), een afzonderlijke rechtspersoon. Regen Studio is een ontwerp- en innovatiestudio met activiteiten in Berg en Dal, Nederland en São Paulo, Brazilië.

Dit privacybeleid is van toepassing op de websites regenstudio.world en demos.regenstudio.world, en op alle diensten die via deze domeinen worden aangeboden.

Contact: info@regenstudio.world

Dit contactadres fungeert als aangewezen contactpunt voor gegevensbeschermingszaken onder zowel de AVG (functionaris voor gegevensbescherming) als de LGPD (encarregado, art. 41 LGPD).

Wij verzamelen alleen persoonsgegevens wanneer je deze actief verstrekt, of wanneer dit strikt noodzakelijk is om een door je gevraagde dienst te leveren.

Contactformulieren en nieuwsbriefinschrijvingen (regenstudio.world)

• Je naam en e-mailadres
• Je bericht (indien opgegeven)
• De pagina-URL van waaruit je het formulier hebt verstuurd

Doel: om op je vraag te reageren, nieuwsbrieven te verzenden en ons team te informeren. Grondslag: gerechtvaardigd belang (AVG art. 6(1)(f) / LGPD art. 10) en toestemming (AVG art. 6(1)(a) / LGPD art. 7(I)).

Ter voorkoming van misbruik worden contactformulierinzendingen beperkt in aantal. Een eenrichtingshash van je IP-adres (gecombineerd met de huidige datum) wordt tijdelijk tot 24 uur opgeslagen om inzendingen per tijdsvenster te tellen. Het ruwe IP-adres wordt nooit opgeslagen. Grondslag: gerechtvaardigd belang (AVG art. 6(1)(f) / LGPD art. 10).

Onze formulieren gebruiken ook antispammaatregelen aan de clientzijde, waaronder een verborgen veld om geautomatiseerde inzendingen te detecteren, een minimale tijdsdrempel, een visuele uitdaging en een rekenkundige proof-of-work-controle. Deze maatregelen genereren technische metadata (tijdstempels, uitdagingsresultaten) die samen met je formulierinzending worden verstuurd en uitsluitend worden gebruikt om echte bezoekers van bots te onderscheiden. Deze gegevens worden niet aan je identiteit gekoppeld en worden niet bewaard na het inzendingsverzoek. Er worden geen persoonsgegevens door deze maatregelen verzameld.

Demo-toegangsverzoeken en magic links (demos.regenstudio.world)

• Je e-mailadres
• Een cryptografische hash van het toegangstoken (het ruwe token wordt nooit server-side opgeslagen)

Doel: om je identiteit te verifiëren en demo-toegang te verlenen. Grondslag: uitvoering van een overeenkomst (AVG art. 6(1)(b) / LGPD art. 7(V)).

Rapportaankopen (demos.regenstudio.world/cpr-dpp-tracker)

• Je e-mailadres
• Geselecteerd rapporttype en productfamilie
• Kortingscode (indien gebruikt)
• Facturatiegegevens: bedrijfsnaam, btw-nummer, adres (indien opgegeven voor facturering)

Doel: om je bestelling te verwerken, je rapport te genereren, een factuur uit te reiken en downloadtoegang te bieden. Bij het openen van een rapport of factuur moet je je e-mailadres verifiëren om onbedoelde gegevensopenbaring via het delen van URL’s te voorkomen. Grondslag: uitvoering van een overeenkomst (AVG art. 6(1)(b) / LGPD art. 7(V)).

• Wij plaatsen geen cookies op onze websites
• Wij gebruiken geen tracking pixels, fingerprinting of advertentiescripts
• Wij delen geen gegevens met adverteerders, datahandelaren of socialemediaplatformen
• Wij gebruiken je gegevens niet voor profilering of geautomatiseerde besluitvorming
• Wij gebruiken je gegevens niet voor marketing, tenzij je hier expliciet voor kiest (bijv. nieuwsbrief)

Op beide sites zijn alle lettertypen, scripts en stylesheets zelf gehost — er worden geen verzoeken aan externe partijen gedaan wanneer je de pagina bezoekt.

Een klein aantal blogposts bevat ingesloten video’s (Vimeo) of audiospelers (SoundCloud). Deze embeds worden niet automatisch geladen. In plaats daarvan zie je een informed-consent-overlay die precies uitlegt welke gegevens met de derde partij worden gedeeld (IP-adres, browsertype, besturingssysteem, pagina-URL). De embed wordt pas geladen nadat je expliciet op “Ik begrijp het” hebt geklikt.

Zodra je toestemming geeft en de embed wordt geladen, is het privacybeleid van de betreffende derde partij van toepassing op de gegevens die zij ontvangen. Wij hebben geen controle over hun verwerking.

Op beide websites verzamelen wij analytische gegevens om te begrijpen welke pagina’s worden bezocht, hoe bezoekers tussen pagina’s navigeren en hoe zij met de inhoud omgaan. Dit systeem is van de grond af aan ontworpen om privacy te waarborgen:

Omdat wij geen cookies plaatsen, geen ruwe IP-adressen opslaan en een dagelijks wisselende salt gebruiken die tracking over dagen heen voorkomt, vereist dit analytics-systeem geen toestemming op grond van de ePrivacy-richtlijn (art. 5(3)) of de Telecommunicatiewet (art. 11.7a(3)). De grondslag voor deze verwerking is gerechtvaardigd belang (AVG art. 6(1)(f) / LGPD art. 10): inzicht in geaggregeerd websitegebruik om onze inhoud en diensten te verbeteren. Deze architectuur komt overeen met de benadering die door de Franse CNIL als vrijgesteld van cookietoestemming wordt erkend.

Wij gebruiken de localStorage van je browser in de volgende gevallen:

• Demo-toegangstokens — wanneer je een demo opent via een magic link of wachtwoord, slaan wij een sessietoken op dat alleen de demo-identificatie en een vervaltijdstempel bevat. Zo blijf je ingelogd zonder bij elk paginabezoek opnieuw te hoeven inloggen.
• Content-ontgrendelingstokens — wanneer je je e-mailadres verstrekt om toegang te krijgen tot afgeschermde inhoud (bijv. productfamiliegegevens), slaan wij een tijdstempel op van het moment waarop je toegang hebt ontgrendeld.
• Pre-publicatie reviewtool — wanneer je via een privé reviewlink wordt uitgenodigd om op een conceptartikel te reageren, worden de naam (of alias) en optioneel e-mailadres of rol die je invult, je opmerkingen en je toestemmingstijdstempel uitsluitend opgeslagen in de localStorage van je eigen browser. Dit wordt nooit automatisch naar onze servers verzonden — het blijft op je apparaat totdat je ervoor kiest het geëxporteerde rapport naar ons te e-mailen.

In de eerste twee gevallen bevat de opgeslagen waarde geen persoonsgegevens (geen e-mailadres, geen naam). Alle tokens verlopen programmatisch na 24 uur: de code controleert het opgeslagen tijdstempel met de huidige tijd en verwijdert verlopen tokens automatisch.

De gegevens van de pre-publicatie reviewtool zijn wel persoonsgegevens en blijven uitsluitend in je browser. Ze bereiken ons alleen als je het geëxporteerde rapport actief naar ons e-mailt. Doe je dat, dan verwerken wij die feedback — inclusief een eventuele echte naam die je hebt ingevuld — in AI-ondersteunde redactionele workflows (via Anthropic Claude, onze openbaar gemaakte AI-subverwerker) om het concept te verbeteren, op basis van de uitdrukkelijke toestemming die je in de tool geeft. Het invullen van een echte naam stelt die naam alleen bloot aan deze AI-ondersteunde redactionele workflow; hij wordt niet gebruikt om je te crediteren, toe te schrijven of publiekelijk te vermelden. Vul een alias in en laat het e-mailadres weg om anoniem te blijven.

Wij gebruiken ook sessionStorage (beperkt tot het tabblad, automatisch gewist bij het sluiten van het tabblad) om het vorige paginapad binnen dezelfde browsersessie op te slaan. Dit wordt uitsluitend gebruikt om interne navigatiepatronen in geaggregeerde analytics te begrijpen. Er worden geen persoonsgegevens opgeslagen.

Deze opslag is strikt noodzakelijk om de door jou gevraagde dienst te leveren en is vrijgesteld van toestemming op grond van ePrivacy-richtlijn art. 5(3).

Wij maken gebruik van de volgende externe diensten. Elke partij is contractueel gebonden om je gegevens te beschermen in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

De rol van elke subverwerker mapt naar één of meer van de drie scenario's hierboven. Supabase EU en de statische stack gelden voor scenario's 1, 2 en 3. Lettermint, Proton Mail en (waar relevant) Mollie + Exact Online gelden voor scenario's 2 en 3. Anthropic geldt alleen voor scenario 3 — expliciete AI-verwerkingstoestemming.

Interactieve demo's — externe publieke open-data endpoints: Wanneer je onze Spatial Pipeline demo gebruikt (/spatial-pipeline/), maakt je browser directe read-only aanroepen naar publieke Nederlandse open-data API's: Luchtmeetnet (RIVM, NL — live luchtkwaliteit, CC0 licentie), ruimtelijkeplannen.nl (Geonovum/IPLO, NL — IMRO bestemmingsplannen) en 3DBAG (TU Delft 3D Geoinformation Group — 3D-gebouwendata, CC-BY 4.0). Dit zijn publieke API's zonder authenticatie; er worden geen persoonsgegevens verzonden. Verifieerbaar in het DevTools Netwerk-paneel van je browser. Dit zijn geen verwerkers in de zin van de AVG (zij verwerken geen persoonsgegevens namens ons) maar worden hier vermeld voor volledige transparantie over uitgaande netwerkaanroepen.

Je persoonsgegevens (formulierinzendingen, bestellingen) worden opgeslagen in de EU (Frankfurt, Duitsland) via Supabase. Betalingen worden verwerkt door Mollie in Nederland. Facturen worden beheerd via Exact Online (Nederland). E-mail wordt verwerkt door Proton Mail (Zwitserland, dat een adequaatheidsbesluit van de EU heeft).

De statische websites worden gehost op GitHub Pages (Verenigde Staten). GitHub levert alleen statische bestanden en verwerkt geen persoonsgegevens namens ons; standaard HTTP-serverlogboeken (inclusief IP-adressen) kunnen echter tijdelijk door GitHub worden bewaard in overeenstemming met hun privacyverklaring.

Supabase Inc. is gevestigd in de Verenigde Staten; echter, alle projectgegevens van Regen Studio worden gehost in de EU (Frankfurt, Duitsland). Supabase valt onder het EU–VS Data Privacy Framework.

Doorgifte naar de Verenigde Staten (Anthropic, GitHub, Supabase Inc.): gedekt door het EU–VS Data Privacy Framework waar de entiteit gecertificeerd is, aangevuld met Standard Contractual Clauses (2024 herziene versie, Module 2 controller–processor) voor verwerkersrelaties. Voor Anthropic specifiek zijn de SCCs geïncorporeerd in de Anthropic Commercial Terms aanvaard door Regen Studio; een Transfer Impact Assessment is op file in ons interne runbook-register.

Doorgifte tussen de Europese Unie en Brazilië: gedekt door wederzijdse adequaatheid sinds 26 januari 2026 — de Braziliaanse ANPD heeft de EU als adequaat erkend (Resolução CD/ANPD 32/2026), en de Europese Commissie heeft op 27 januari 2026 een wederkerig adequaatheidsbesluit voor Brazilië gepubliceerd. Gegevensstromen EU ↔ BR vereisen geen Standard Contractual Clauses of additionele waarborgen meer.

Doorgifte vanuit Brazilië meer algemeen: behandeld volgens LGPD Art. 33 (en ANPD Resolução 19/2024 voor niet-adequate bestemmingen) met gedocumenteerde waarborgen.

• Om op je vraag of toegangsverzoek te reageren
• Om je bevestigingsmails of magic links te sturen
• Om rapportaankopen te verwerken en het rapport te leveren
• Om facturen op te stellen en te verzenden
• Om nieuwsbrieven te verzenden (alleen met je uitdrukkelijke toestemming)
• Om ons team op de hoogte te stellen van inzendingen en bestellingen
• Om geaggregeerd websitegebruik te begrijpen (privacyvriendelijke analytics, beide sites)

Wij gebruiken je gegevens niet voor marketing (behalve de nieuwsbrief waarvoor je je hebt aangemeld), profilering of geautomatiseerde besluitvorming.

Wij verkopen, verhuren of delen je persoonsgegevens niet met derden buiten de hierboven genoemde verwerkers. Hieronder staat precies wat elke partij kan inzien:

• Regen Studio-team — volledige toegang tot alle gegevens die in onze systemen zijn opgeslagen (contactinzendingen, bestellingen, abonneelijsten, analytics-dashboards).
• Supabase — host alle persoonsgegevens server-side: contactformulierinzendingen (naam, e-mail, bericht), rapportbestellingen (e-mail, factuuradres, btw-nummer, factuurgegevens), abonneelijsten voor de nieuwsbrief, magic link-tokens en analytics-hashes.
• Lettermint — ontvangt e-mailadressen en berichtinhoud voor elke transactionele e-mail die wij verzenden: bevestigingen van contactformulieren, magic links, aankoopbonnen, factuur-PDF’s, downloadlinks en nieuwsbriefedities.
• Mollie — ontvangt uitsluitend betalingsbedragen, een intern bestelnummer en een redirect-URL. Persoonlijke gegevens van de koper (naam, adres, btw-nummer) worden niet naar Mollie verzonden en blijven in onze database.
• Proton Mail — onze team-inbox. Interne meldingsmails (met contactformulierinzendingen, bestelwaarschuwingen en magic link-verzoeken) worden hier door Lettermint afgeleverd. Je antwoorden aan ons worden ook in deze inbox opgeslagen.
• Blended Business (onze accountant, Den Haag) — ontvangt facturatiegegevens (naam, bedrijfsnaam, btw-nummer, bedragen) via Exact Online ten behoeve van de boekhouding en belastingaangifte.
• GitHub Pages — levert alleen statische bestanden (HTML, CSS, JS, lettertypen). Er worden geen persoonsgegevens door onze code naar GitHub verzonden; GitHub kan echter tijdelijk IP-adressen vastleggen in standaard serverlogboeken volgens hun eigen privacyverklaring.

• Contactformulierinzendingen: worden automatisch na 90 dagen verwijderd. Je kunt op elk moment om eerdere verwijdering verzoeken.
• Nieuwsbriefabonnees: worden bewaard tot je je afmeldt. Afgemelde records worden na 30 dagen automatisch verwijderd (AVG-recht op wissing). Je kunt op elk moment om volledige verwijdering verzoeken.
• E-maileventlogboeken: ruwe webhookgegevens van onze e-mailbezorgdienst worden na 90 dagen automatisch verwijderd.
• Magic link-tokens: gehashte tokens verlopen na 15 minuten en kunnen niet meer voor authenticatie worden gebruikt. Gebruikte en verlopen links worden na 7 dagen automatisch verwijderd.
• Rapportbestellingen en facturen: worden minimaal 7 jaar bewaard, zoals vereist door de Nederlandse belastingwetgeving (Algemene wet inzake rijksbelastingen, art. 52).
• Ruwe analytics-events en bezoekers-hashes: worden na 48 uur automatisch verwijderd. Alleen geaggregeerde tellers (zonder detail op bezoekerniveau) blijven langdurig bewaard. De hashing-salt wordt dagelijks geroteerd via een geautomatiseerde geplande functie, waardoor identificatie van bezoekers over dagen heen onmogelijk is.
• localStorage-tokens in de browser: verlopen automatisch na 24 uur, programmatisch afgedwongen.

Afhankelijk van je locatie heb je specifieke rechten met betrekking tot je persoonsgegevens.

Voor bezoekers uit andere rechtsgebieden passen wij dezelfde rechten toe als goede praktijk, ongeacht of lokale wetgeving dit vereist.

Om een van je rechten uit te oefenen, kun je contact met ons opnemen via info@regenstudio.world. Wij bevestigen de ontvangst van je verzoek binnen 5 werkdagen en reageren inhoudelijk binnen 15 dagen voor LGPD-verzoeken (art. 18 §5) of binnen één maand voor AVG-verzoeken (art. 12(3)).

Als je om verwijdering verzoekt, wissen wij alle persoonsgegevens die wij over je bewaren, behalve wanneer bewaring wettelijk verplicht is (bijv. factuurgegevens op grond van de Nederlandse belastingwetgeving).

Onze diensten zijn gericht op bedrijven en professionals.

• Onder AVG (EU/EER-bezoekers): we verzamelen niet bewust persoonsgegevens van kinderen onder de 16. De Nederlandse UAVG stelt de leeftijd voor digitale toestemming op 16.
• Onder LGPD (Braziliaanse bezoekers): gegevens van kinderen onder de 12 vereisen specifieke, prominente toestemming van een ouder of voogd (LGPD Art. 14). We verzamelen niet bewust gegevens van kinderen.

Als je vermoedt dat we per ongeluk gegevens van een kind hebben verzameld, neem dan contact op via info@regenstudio.world en we verwijderen deze direct.

In het kader van transparantie vermelden wij dat AI-ondersteunde hulpmiddelen (waaronder Claude van Anthropic) worden gebruikt bij de ontwikkeling van deze website en bij het maken en redigeren van inhoud. Alle door AI gegenereerde of AI-ondersteunde inhoud wordt door ons team gecontroleerd op juistheid voordat deze wordt gepubliceerd.

Er worden geen persoonsgegevens die je via onze formulieren of diensten verstrekt, gedeeld met AI-hulpmiddelen. AI-ondersteuning beperkt zich tot websiteontwikkeling, het schrijven van inhoud en intern onderzoek. Je gegevens komen nooit in AI-trainingspipelines terecht.

Voor de meest actuele regelgevingsinformatie die op onze blog wordt gepubliceerd, raden wij altijd aan officiële EU-bronnen te raadplegen, zoals het Publicatieblad van de Europese Unie.

Het aanvinken van het “nieuwsbrief”-vakje op een formulier is je expliciete marketingtoestemming onder AVG art. 6(1)(a) / LGPD art. 7(I). We gebruiken je e-mailadres en naam om onze nieuwsbrief te versturen (gemiddelde frequentie: 6–12 edities per jaar) plus incidentele service-updates die aansluiten bij je interesses.

We delen je e-mailadres niet met derde marketingnetwerken, advertentieplatforms of lijst-brokers. We verkopen, verhuren of verhandelen geen marketingdata.

• Subverwerker: Lettermint (Nederland) voor e-mailbezorging.
• Bewaartermijn: tot je je uitschrijft + 30 dagen, daarna wordt je record automatisch verwijderd (AVG art. 17 propagatie-venster).
• Intrekking: direct, via de uitschrijflink in elke nieuwsbrief, of via de self-service consent-pagina (link ook in elke transactionele e-mail).

Marketingtoestemming staat los van je AI-verwerkingstoestemming (hierboven) en van eventuele contract-gebaseerde verwerking (reageren op je vraag). Je kunt elke combinatie aanhouden — bijvoorbeeld opt-in voor marketing zonder AI-verwerking, of andersom.

Wij kunnen dit privacybeleid van tijd tot tijd bijwerken. Wijzigingen worden op deze pagina gepubliceerd met een bijgewerkte datum. Indien wij wezenlijke wijzigingen aanbrengen die van invloed zijn op de manier waarop wij je persoonsgegevens verwerken, stellen wij bestaande nieuwsbriefabonnees per e-mail op de hoogte.