Privacy
Last updated: 11 June 2026
Nederlands
Wie zijn we
Tributi (Thomas Thijs, gevestigd in Nederland) levert een SaaS-platform waarmee bedrijven hun statische intake-formulieren vervangen door een AI-gestuurde chat. Voor jouw bedrijfsaccount treden wij op als verwerkingsverantwoordelijke. Voor de gegevens die jouw klanten via een Tributi-intake invullen zijn jullie de verwerkingsverantwoordelijke en wij de verwerker.
Wat we opslaan
- Account-data: e-mailadres, naam, gekozen plan, Stripe customer id. Bewaard zolang je account bestaat.
- Bot-configuratie: bedrijfsnaam, branding, vragen, tone-of-voice. Bewaard zolang de bot bestaat.
- Intake-data: antwoorden van jouw klanten, eventuele naam/e-mail van de klant, en het AI-gegenereerde rapport. Per bot kun je kiezen voor tijdelijke verwerking met e-maillevering, korte bewaring met automatische cleanup, of portalgeschiedenis met een gekozen bewaartermijn. Je kunt sessies exporteren of verwijderen via de Sessions-tab in het portal.
- Operationele logs: webserver-logs (IP, request path, user agent) maximaal 30 dagen, voor security en debugging.
Rechtsgrond
Voor jouw eigen account: uitvoering van de overeenkomst (Art. 6 lid 1 sub b AVG). Voor klantgegevens die via de intake binnenkomen: uitdrukkelijke toestemming van de klant via de consent-stap (Art. 6 lid 1 sub a). Voor de operationele logs: gerechtvaardigd belang (Art. 6 lid 1 sub f).
Verwerkers
We schakelen de volgende sub-verwerkers in. Alle data wordt in de EU (Frankfurt of Amsterdam) opgeslagen, behalve waar anders aangegeven.
- Supabase (eu-central-1) — database + auth + storage
- Vercel — hosting, EU edge regio's
- Anthropic (US) — AI follow-ups en rapportgeneratie. Tributi traint geen modellen op klantdata, en Anthropic mag op grond van haar TOS evenmin op API-verkeer trainen.
- Resend (US/EU) — verzending van notificatie-e-mails
- Stripe (US) — betalingen, factureren
Voor een schriftelijke verwerkersovereenkomst (DPA), e-mail hello@tributi.ai.
Bewaartermijnen
- E-mail-only modus: antwoorden en rapport worden binnen 1 dag na e-maillevering automatisch verwijderd; de sessie wordt geanonimiseerd.
- Korte bewaring: automatische cleanup na het door jou per bot ingestelde aantal dagen.
- Portalgeschiedenis: bewaard volgens de door jou gekozen termijn; altijd zelf te exporteren of verwijderen.
- Operationele logs: maximaal 30 dagen.
Beroepsgeheim (advocatuur, zorg en andere gereguleerde praktijken)
Intakes voor advocaten (zoals immigratiepraktijken) bevatten vaak uiterst gevoelige informatie. Daarvoor geldt: de intake vindt plaats vóór het aangaan van de opdracht; de advocaat is en blijft eigenaar van de gegevens; Tributi gebruikt ze uitsluitend om het voorbereidingsrapport te genereren en te leveren. Met de e-mail-only modus raken de gegevens onze servers slechts seconden en worden ze direct na levering verwijderd. Voor intakes met gezondheidsgegevens is een aparte verwerkersovereenkomst vereist — mail hello@tributi.ai.
Wat we NIET doen
- We trainen geen AI-modellen op de intake-data van jouw klanten.
- We verkopen geen gegevens aan derden, ooit.
- We delen geen data tussen accounts — RLS isoleert elk account.
- We bewaren geen creditcardgegevens — die staan bij Stripe, niet bij ons.
Jouw rechten
Je hebt de gebruikelijke AVG-rechten: inzage, rectificatie, verwijdering, dataportabiliteit, en bezwaar. Je kunt je hele workspace zelf verwijderen via Settings → Danger zone → Delete account of je rechten uitoefenen via hello@tributi.ai.
English
Who we are
Tributi (Thomas Thijs, established in the Netherlands) operates a SaaS platform that replaces businesses’ static intake forms with an AI-driven chat. For your business account we act as data controller. For the data your clients submit through a Tributi intake, your business is the controller and Tributi is the processor.
What we store
- Account data: email, name, plan tier, Stripe customer id. Retained as long as your account exists.
- Bot configuration: business name, branding, questions, tone. Retained as long as the bot exists.
- Intake data: your clients’ answers, optionally their name and email, and the AI-generated report. Per bot, you can choose temporary processing with email delivery, short retention with automatic cleanup, or portal history with a selected retention period. Export or delete sessions any time from the Sessions tab.
- Operational logs: webserver logs (IP, request path, user agent) for up to 30 days, for security and debugging.
Legal basis
For your own account: performance of contract (Art. 6(1)(b) GDPR). For client data submitted via the intake: explicit consent collected at the consent step (Art. 6(1)(a)). For operational logs: legitimate interest (Art. 6(1)(f)).
Sub-processors
We rely on the processors below. All data is stored in the EU (Frankfurt or Amsterdam) unless noted otherwise.
- Supabase (eu-central-1) — database + auth + storage
- Vercel — hosting, EU edge regions
- Anthropic (US) — AI follow-ups and report generation. Tributi does not train models on customer data, and per Anthropic’s TOS they do not train on API traffic either.
- Resend (US/EU) — transactional email delivery
- Stripe (US) — payments and invoicing
For a signed Data Processing Addendum (DPA), email hello@tributi.ai.
Retention schedule
- Email-only mode: answers and the report are automatically deleted within 1 day of email delivery, and the session is anonymised.
- Short retention: automatic cleanup after the number of days you configure per bot.
- Portal history: retained for the period you select; you can export or delete sessions at any time.
- Operational logs: up to 30 days.
Professional confidentiality (legal, health, and other regulated practices)
Intakes for law firms (immigration practices in particular) often contain highly sensitive disclosures — immigration status, prior proceedings, criminal history. For those: the intake happens before an engagement is formed; the attorney owns the data; and Tributi uses it solely to generate and deliver the consultation-prep report. Tributi staff do not access client intake content except when you ask us to for support. With email-only mode the data touches our servers only long enough to generate the report and is deleted immediately after delivery. Intakes collecting health data require a separate DPA — email hello@tributi.ai.
What we don’t do
- We never train AI models on your clients’ intake data.
- We don’t sell data to third parties, ever.
- We don’t share data across accounts — RLS isolates each.
- We don’t store credit card details — those live at Stripe.
Your rights
You have the usual GDPR rights: access, rectification, erasure, portability, and objection. You can delete your entire workspace yourself from Settings → Danger zone → Delete account or exercise other rights by emailing hello@tributi.ai.
Tributi · Thomas Thijs · The Netherlands · hello@tributi.ai