1. Controller

The data controller for this website and platform is:

• Legal entity: HSR Agency (trade name: Vocito.ai)
• Legal form: Sole proprietorship (eenmanszaak)
• Registered in: The Netherlands
• Email: privacy@vocito.ai

2. Scope

This Privacy Policy applies to all visitors of vocito.ai, users of the Vocito AI platform, and callers whose calls are handled by our AI voice agents on behalf of our customers. It applies worldwide.

3. Data We Collect

3.1 Account & Business Data

• Name, email address, company name
• Authentication credentials (hashed & salted)
• Phone number (verified via SMS during registration. see Section 3.4)
• Business registration data (verified via national trade registers. see Section 3.5)
• Billing details (processed by Stripe; we do not store card numbers)

3.4 Phone Verification Data

During registration, we require SMS phone verification to prevent fraud and ensure account security. This is processed via Twilio Verify. We collect and store:

• Phone number (stored permanently for account identification and fraud prevention)
• Verification status (verified / unverified)
• Verification timestamp

SMS verification codes are temporary and are not stored after verification is complete. Twilio Verify processes the phone number solely for delivery of the verification SMS and does not retain data beyond delivery confirmation.

3.5 Business Verification Data (KYC)

Before purchasing a phone number, customers must complete business verification (Know Your Customer). We verify business identity against national trade registers, including but not limited to:

• Netherlands: Kamer van Koophandel (KvK)
• Belgium: Kruispuntbank van Ondernemingen (KBO)
• France: SIRENE / INSEE
• United Kingdom: Companies House
• Germany: Handelsregister

Data collected: company name, registration number, registered address, legal form, and active/inactive status. This data is obtained from publicly accessible government databases and does not constitute special category personal data.

3.2 Call & Communication Data

Depending on customer configuration, we may process:

• Call metadata (caller number, timestamp, duration, direction)
• Call recordings (if enabled by the customer)
• Speech-to-text transcripts
• AI-generated call summaries, classifications, and sentiment scores
• Caller contact information (name, phone number)

All call features (recording, transcription, storage) are controlled by the customer. Vocito AI acts as a data processor for call data.

3.3 Technical & Usage Data

• IP address, browser type, operating system
• Pages visited, timestamps, referral source
• Cookies and similar technologies (see Section 10)

4. Purposes of Processing

Purpose	Legal Basis (GDPR)
Provide and operate the platform	Art. 6(1)(b). Contract
Process calls on behalf of customers	Art. 6(1)(b). Contract + Art. 28 (processor)
Billing and payment processing	Art. 6(1)(b). Contract
Customer support	Art. 6(1)(b). Contract
Phone verification (SMS)	Art. 6(1)(b). Contract (registration requirement)
Business verification (KYC)	Art. 6(1)(b). Contract + Art. 6(1)(c). Legal Obligation
Security, fraud prevention & blacklist	Art. 6(1)(f). Legitimate Interest
Product improvement & analytics	Art. 6(1)(f). Legitimate Interest
Marketing (only with consent)	Art. 6(1)(a). Consent
Legal and regulatory compliance	Art. 6(1)(c). Legal Obligation

5. AI Processing

Vocito AI uses artificial intelligence for speech-to-text transcription, natural language understanding, call summarization, lead qualification, and voice synthesis. AI processing is performed by third-party subprocessors (see Section 7).

No automated decision-making with legal effects takes place. All AI outputs are advisory and can be reviewed by the customer.

Anonymized and aggregated data may be used to improve our AI models. Customers may opt out of model training by emailing privacy@vocito.ai.

6. Data Retention

• Account data: Retained for the duration of your subscription + 12 months after deletion
• Call recordings & transcripts: Retention period is configured by the customer (default: 90 days)
• Billing records: 7 years (Dutch fiscal obligation)
• Website analytics: 26 months
• Phone verification data: Retained for the duration of the account + retained on blacklist after deletion (see below)
• Business verification data: Retained for the duration of the account + 12 months

6.1 Account Deletion & Grace Period

Upon account deletion, a 60-day grace period applies. During this period, account data is deactivated but not permanently deleted, allowing recovery if the deletion was accidental or disputed. After 60 days, all personal data is permanently removed, except as noted below.

6.2 Fraud Prevention Blacklist

After account deletion or banning, we retain the following data on an internal blacklist for fraud prevention purposes:

• Email address (hashed)
• Phone number (hashed)

This data is stored in an irreversible hashed format and is used solely to prevent re-registration by previously banned or fraudulent accounts. The blacklist is maintained indefinitely under Art. 6(1)(f) GDPR. Legitimate Interest (fraud prevention). No other personal data is retained on the blacklist.

You may request review of a blacklist entry by contacting privacy@vocito.ai.

7. Third-Party Subprocessors

Subprocessor	Purpose	Location
Twilio	Telephony infrastructure (SIP, phone numbers)	US (EU data region)
Twilio Verify	SMS phone verification during registration	US (EU-US DPF)
OpenAI	AI language model processing	US (DPA in place)
ElevenLabs	AI voice synthesis (text-to-speech)	US/EU
Google Cloud	AI audio models	EU
Supabase	Database, authentication, storage	EU (Frankfurt)
Stripe	Payment processing	US/EU (PCI-DSS)
Netlify	Website hosting	US/EU (CDN)

All subprocessors are bound by data processing agreements. For transfers outside the EEA, Standard Contractual Clauses (SCCs) are in place.

8. International Data Transfers

Some subprocessors are based in the United States. For these transfers we rely on:

• EU–US Data Privacy Framework (where certified)
• Standard Contractual Clauses (SCCs) approved by the European Commission
• Supplementary technical measures (encryption in transit and at rest)

9. Data Security

• TLS 1.3 encryption for all data in transit
• AES-256 encryption for data at rest
• Role-based access controls
• Regular security audits and penetration testing
• Incident response procedures with 72-hour notification

No system is 100% secure. We will notify affected users and the relevant supervisory authority within 72 hours of a confirmed data breach, as required by GDPR Art. 33.

10. Cookies

We use the following cookies:

Cookie	Purpose	Duration
vocito_cookie_consent	Stores your cookie preference	1 year
Session cookies	Authentication and security	Session
Analytics (if accepted)	Usage statistics (Google Analytics)	26 months

Non-essential cookies are only placed after your explicit consent.

11. Your Rights (GDPR)

If you are located in the EEA, UK, or Switzerland, you have the following rights:

• Access. Request a copy of your personal data
• Rectification. Correct inaccurate data
• Erasure. Request deletion ("right to be forgotten")
• Restriction. Limit how we process your data
• Portability. Receive your data in a structured format
• Objection. Object to processing based on legitimate interest
• Withdraw consent. At any time, without affecting prior processing

To exercise your rights, email privacy@vocito.ai. We will respond within 30 days.

You also have the right to lodge a complaint with your local supervisory authority. In the Netherlands: Autoriteit Persoonsgegevens.

12. Children

Vocito AI is a business-to-business service. We do not knowingly collect data from individuals under 16. If we learn that we have collected data from a child, we will delete it immediately.

13. Changes to This Policy

We may update this Privacy Policy from time to time. Material changes will be communicated via email or an in-app notification at least 14 days before they take effect. Continued use of the Services after notification constitutes acceptance.

14. Contact

• Privacy inquiries: privacy@vocito.ai
• General: keanu@vocito.ai

1. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke voor deze website en het platform is:

• Onderneming: HSR Agency (handelsnaam: Vocito.ai)
• Rechtsvorm: Eenmanszaak
• Gevestigd in: Nederland
• E-mail: privacy@vocito.ai

2. Toepassingsgebied

Dit privacybeleid is van toepassing op alle bezoekers van vocito.ai, gebruikers van het Vocito AI-platform en bellers wiens gesprekken door onze AI-spraakagenten worden afgehandeld namens onze klanten. Het geldt wereldwijd.

3. Gegevens die wij verzamelen

3.1 Account- & bedrijfsgegevens

• Naam, e-mailadres, bedrijfsnaam
• Inloggegevens (gehasht & gezouten)
• Telefoonnummer (geverifieerd via SMS bij registratie. zie Sectie 3.4)
• Bedrijfsregistratiegegevens (geverifieerd via handelsregisters. zie Sectie 3.5)
• Facturatiegegevens (verwerkt door Stripe; wij slaan geen kaartnummers op)

3.4 Telefoonverificatiegegevens

Bij registratie is SMS-telefoonverificatie vereist ter voorkoming van fraude. Dit wordt verwerkt via Twilio Verify. Wij verzamelen:

• Telefoonnummer (permanent opgeslagen voor accountidentificatie en fraudepreventie)
• Verificatiestatus en tijdstip

SMS-verificatiecodes zijn tijdelijk en worden niet opgeslagen na verificatie.

3.5 Bedrijfsverificatiegegevens (KYC)

Vóór aankoop van een telefoonnummer is bedrijfsverificatie (Know Your Customer) verplicht. Wij verifiëren de bedrijfsidentiteit via nationale handelsregisters:

• Nederland: Kamer van Koophandel (KvK)
• België: Kruispuntbank van Ondernemingen (KBO)
• Frankrijk: SIRENE / INSEE
• Verenigd Koninkrijk: Companies House
• Duitsland: Handelsregister

Verzamelde gegevens: bedrijfsnaam, registratienummer, vestigingsadres, rechtsvorm en actief/inactief status. Dit betreft openbare overheidsdata.

3.2 Gespreks- & communicatiegegevens

Afhankelijk van de configuratie door de klant kunnen wij verwerken:

• Gespreksmetadata (nummer, tijdstip, duur, richting)
• Gespreksopnames (indien door de klant ingeschakeld)
• Spraak-naar-tekst transcripties
• AI-gegenereerde samenvattingen, classificaties en sentimentscores
• Contactgegevens van bellers (naam, telefoonnummer)

Alle gespreksfuncties worden beheerd door de klant. Vocito AI treedt op als verwerker voor gespreksdata.

3.3 Technische gegevens

• IP-adres, browsertype, besturingssysteem
• Bezochte pagina's, tijdstempels, verwijzingsbron
• Cookies en vergelijkbare technologieën (zie Sectie 10)

4. Doeleinden van verwerking

Doel	Rechtsgrond (AVG)
Platform leveren en beheren	Art. 6(1)(b). Overeenkomst
Gesprekken verwerken namens klanten	Art. 6(1)(b) + Art. 28 (verwerker)
Facturatie en betalingsverwerking	Art. 6(1)(b). Overeenkomst
Klantenservice	Art. 6(1)(b). Overeenkomst
Telefoonverificatie (SMS)	Art. 6(1)(b). Overeenkomst (registratievereiste)
Bedrijfsverificatie (KYC)	Art. 6(1)(b). Overeenkomst + Art. 6(1)(c). Wettelijke verplichting
Beveiliging, fraudepreventie & blacklist	Art. 6(1)(f). Gerechtvaardigd belang
Productverbetering & analyse	Art. 6(1)(f). Gerechtvaardigd belang
Marketing (alleen met toestemming)	Art. 6(1)(a). Toestemming
Wettelijke verplichtingen	Art. 6(1)(c). Wettelijke verplichting

5. AI-verwerking

Vocito AI gebruikt kunstmatige intelligentie voor spraak-naar-tekst, natuurlijk taalbegrip, gesprekssamenvattingen, leadkwalificatie en spraaksynthese.

Er vindt geen geautomatiseerde besluitvorming met rechtsgevolgen plaats. Alle AI-uitvoer is adviserend en kan door de klant worden beoordeeld.

Geanonimiseerde en geaggregeerde gegevens kunnen worden gebruikt om onze AI-modellen te verbeteren. Klanten kunnen zich afmelden voor modeltraining door te mailen naar privacy@vocito.ai.

6. Bewaartermijnen

• Accountgegevens: Duur van het abonnement + 12 maanden na verwijdering
• Opnames & transcripties: Configureerbaar door de klant (standaard: 90 dagen)
• Factuurgegevens: 7 jaar (fiscale bewaarplicht)
• Website-analyse: 26 maanden
• Telefoonverificatiegegevens: Duur van het account + bewaard op blacklist na verwijdering (zie hieronder)
• Bedrijfsverificatiegegevens: Duur van het account + 12 maanden

6.1 Accountverwijdering & wachttijd

Bij accountverwijdering geldt een wachttijd van 60 dagen. Gedurende deze periode worden accountgegevens gedeactiveerd maar niet permanent verwijderd, voor het geval de verwijdering per ongeluk was. Na 60 dagen worden alle persoonsgegevens permanent verwijderd, behalve zoals hieronder vermeld.

6.2 Fraudepreventie blacklist

Na accountverwijdering of -blokkering bewaren wij de volgende gegevens op een interne blacklist ter voorkoming van fraude:

• E-mailadres (gehasht)
• Telefoonnummer (gehasht)

Deze gegevens worden opgeslagen in een onomkeerbaar gehasht formaat en uitsluitend gebruikt om herregistratie door eerder geblokkeerde of frauduleuze accounts te voorkomen. De blacklist wordt onbeperkt bijgehouden op basis van Art. 6(1)(f) AVG. Gerechtvaardigd belang (fraudepreventie).

U kunt een herbeoordeling van een blacklist-vermelding aanvragen via privacy@vocito.ai.

7. Subverwerkers

Subverwerker	Doel	Locatie
Twilio	Telefonie-infrastructuur	VS (EU-data regio)
Twilio Verify	SMS-telefoonverificatie bij registratie	VS (EU-US DPF)
OpenAI	AI-taalmodelverwerking	VS (DPA aanwezig)
ElevenLabs	AI-spraaksynthese	VS/EU
Google Cloud	AI-audiomodellen	EU
Supabase	Database, authenticatie, opslag	EU (Frankfurt)
Stripe	Betalingsverwerking	VS/EU (PCI-DSS)
Netlify	Websitehosting	VS/EU (CDN)

Alle subverwerkers zijn gebonden aan verwerkersovereenkomsten. Voor doorgifte buiten de EER zijn Standaard Contractbepalingen (SCC's) van toepassing.

8. Internationale doorgifte

Sommige subverwerkers zijn gevestigd in de Verenigde Staten. Voor deze doorgiften baseren wij ons op:

• EU-VS Data Privacy Framework (waar gecertificeerd)
• Standaard Contractbepalingen (SCC's) goedgekeurd door de Europese Commissie
• Aanvullende technische maatregelen (encryptie in transit en at rest)

9. Beveiliging

• TLS 1.3-encryptie voor alle data in transit
• AES-256-encryptie voor data at rest
• Rolgebaseerde toegangscontrole
• Regelmatige beveiligingsaudits en penetratietests
• Incidentresponsprocedures met 72-uurs melding

10. Cookies

Cookie	Doel	Duur
vocito_cookie_consent	Slaat uw cookievoorkeur op	1 jaar
Sessiecookies	Authenticatie en beveiliging	Sessie
Analyse (indien geaccepteerd)	Gebruiksstatistieken	26 maanden

Niet-essentiële cookies worden alleen geplaatst na uw uitdrukkelijke toestemming.

11. Uw rechten (AVG)

• Inzage. Vraag een kopie van uw persoonsgegevens op
• Rectificatie. Corrigeer onjuiste gegevens
• Wissing. Vraag verwijdering aan ("recht op vergetelheid")
• Beperking. Beperk hoe wij uw gegevens verwerken
• Dataportabiliteit. Ontvang uw gegevens in een gestructureerd formaat
• Bezwaar. Maak bezwaar tegen verwerking op basis van gerechtvaardigd belang
• Toestemming intrekken. Op elk moment, zonder gevolgen voor eerdere verwerking

Mail naar privacy@vocito.ai. Wij reageren binnen 30 dagen.

U kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.

12. Kinderen

Vocito AI is een B2B-dienst. Wij verzamelen niet bewust gegevens van personen onder de 16 jaar.

13. Wijzigingen

Wezenlijke wijzigingen worden minimaal 14 dagen van tevoren per e-mail of in-app meegedeeld. Voortgezet gebruik na kennisgeving geldt als acceptatie.

14. Contact

• Privacy: privacy@vocito.ai
• Algemeen: keanu@vocito.ai

1. Verantwortlicher

• Unternehmen: HSR Agency (Handelsname: Vocito.ai)
• Rechtsform: Einzelunternehmen (eenmanszaak)
• Sitz: Niederlande
• E-Mail: privacy@vocito.ai

2. Geltungsbereich

Diese Datenschutzrichtlinie gilt für alle Besucher von vocito.ai, Nutzer der Vocito-AI-Plattform und Anrufer, deren Gespräche von unseren KI-Sprachagenten im Auftrag unserer Kunden bearbeitet werden. Sie gilt weltweit.

3. Erhobene Daten

3.1 Konto- & Unternehmensdaten

• Name, E-Mail-Adresse, Firmenname
• Anmeldedaten (gehasht & gesalzen)
• Rechnungsdaten (verarbeitet über Stripe; wir speichern keine Kartennummern)

3.2 Anruf- & Kommunikationsdaten

Je nach Kundeneinstellung können wir verarbeiten: Anrufmetadaten, Aufzeichnungen (sofern aktiviert), Transkriptionen, KI-generierte Zusammenfassungen und Kontaktdaten von Anrufern.

Vocito AI handelt als Auftragsverarbeiter für Anrufdaten.

3.3 Technische Daten

• IP-Adresse, Browsertyp, Betriebssystem
• Besuchte Seiten, Zeitstempel, Verweisquelle
• Cookies (siehe Abschnitt 10)

4. Verarbeitungszwecke & Rechtsgrundlagen (DSGVO)

Zweck	Rechtsgrundlage
Plattform bereitstellen und betreiben	Art. 6(1)(b). Vertrag
Anrufe im Kundenauftrag verarbeiten	Art. 6(1)(b) + Art. 28
Abrechnung und Zahlungsabwicklung	Art. 6(1)(b). Vertrag
Sicherheit & Betrugsprävention	Art. 6(1)(f). Berechtigtes Interesse
Produktverbesserung & Analytik	Art. 6(1)(f). Berechtigtes Interesse
Marketing (nur mit Einwilligung)	Art. 6(1)(a). Einwilligung
Gesetzliche Pflichten	Art. 6(1)(c). Rechtliche Verpflichtung

5. KI-Verarbeitung

Es erfolgt keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung. Alle KI-Ergebnisse sind beratend. Kunden können sich vom Modelltraining abmelden: privacy@vocito.ai.

6. Speicherdauer

• Kontodaten: Dauer des Abonnements + 12 Monate
• Aufzeichnungen: Vom Kunden konfigurierbar (Standard: 90 Tage)
• Rechnungsdaten: 7 Jahre

7. Unterauftragsverarbeiter

Twilio (Telefonie), OpenAI (KI-Sprachmodell), ElevenLabs (Sprachsynthese), Google Cloud (KI-Audio), Supabase (Datenbank, EU Frankfurt), Stripe (Zahlungen), Netlify (Webhosting). Alle durch Auftragsverarbeitungsverträge und SCCs abgesichert.

8. Ihre Rechte (DSGVO)

• Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf der Einwilligung

Kontakt: privacy@vocito.ai (Antwort innerhalb von 30 Tagen). Beschwerden: zuständige Aufsichtsbehörde.

9. Kontakt

• Datenschutz: privacy@vocito.ai
• Allgemein: keanu@vocito.ai

1. Responsable du traitement

• Entité : HSR Agency (nom commercial : Vocito.ai)
• Forme juridique : Entreprise individuelle (eenmanszaak)
• Siège : Pays-Bas
• E-mail : privacy@vocito.ai

2. Champ d'application

La présente politique s'applique à tous les visiteurs de vocito.ai, aux utilisateurs de la plateforme et aux appelants dont les appels sont traités par nos agents IA pour le compte de nos clients. Elle s'applique dans le monde entier.

3. Données collectées

3.1 Données de compte

• Nom, adresse e-mail, nom d'entreprise
• Identifiants de connexion (hachés et salés)
• Données de facturation (traitées par Stripe)

3.2 Données d'appels

Selon la configuration du client : métadonnées d'appels, enregistrements (si activés), transcriptions, résumés IA et coordonnées des appelants. Vocito AI agit en tant que sous-traitant.

3.3 Données techniques

• Adresse IP, navigateur, système d'exploitation
• Pages visitées, horodatages, source de référence
• Cookies (voir Section 10)

4. Finalités et bases juridiques (RGPD)

Finalité	Base juridique
Fournir et gérer la plateforme	Art. 6(1)(b). Contrat
Traiter les appels pour les clients	Art. 6(1)(b) + Art. 28
Facturation et paiements	Art. 6(1)(b). Contrat
Sécurité et prévention de la fraude	Art. 6(1)(f). Intérêt légitime
Amélioration et analyse du produit	Art. 6(1)(f). Intérêt légitime
Marketing (uniquement avec consentement)	Art. 6(1)(a). Consentement
Obligations légales	Art. 6(1)(c). Obligation légale

5. Traitement par IA

Aucune prise de décision automatisée ayant des effets juridiques. Tous les résultats de l'IA sont consultatifs. Désinscription de l'entraînement des modèles : privacy@vocito.ai.

6. Durée de conservation

• Données de compte : Durée de l'abonnement + 12 mois
• Enregistrements : Configurable par le client (défaut : 90 jours)
• Données de facturation : 7 ans

7. Sous-traitants

Twilio (téléphonie), OpenAI (modèle IA), ElevenLabs (synthèse vocale), Google Cloud (audio IA), Supabase (base de données, UE Francfort), Stripe (paiements), Netlify (hébergement). Tous liés par des accords de traitement et des CCT.

8. Vos droits (RGPD)

• Accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement

Contact : privacy@vocito.ai (réponse sous 30 jours). Réclamations : autorité de contrôle compétente.

9. Contact

• Confidentialité : privacy@vocito.ai
• Général : keanu@vocito.ai