CarbCam – Privacyverklaring

Verwerkingsverantwoordelijke in de zin van de Algemene verordening gegevensbescherming (AVG) is:

Geschäftsführer: Martin Schiftan · Handelsregister: Amtsgericht Freiburg i. Br., HRB724192 · USt-ID: DE343662047

Voor privacygerelateerde verzoeken (inzage, verwijdering, rectificatie, bezwaar) kunt u gebruikmaken van de hierboven vermelde contactgegevens of het contactformulier.

CarbCam is een smartphone-app waarmee gebruikers foto’s van maaltijden kunnen maken. De app stuurt deze foto’s ter analyse naar het serverbackend van ns.10be.de. Daar wordt het beeld doorgestuurd naar een door de gebruiker of serverbeheerder gekozen externe AI-interface (momenteel ondersteund: Anthropic Claude API, Google Gemini API, OpenAI API, Zhipu GLM API, Microsoft Azure OpenAI). De geretourneerde voedingswaardeschattingen (koolhydraten, vet, eiwit, FPE, glycemische index) worden aan de app geleverd en daar weergegeven.

CarbCam vereist geen registratie met naam of e-mailadres. Voor de koppeling van apparaat en tegoed/abonnement wordt een anonieme installatie-ID (24-cijferige hex-string) gebruikt, die bij de eerste keer opstarten lokaal wordt gegenereerd en bij elk verzoek wordt meegestuurd.

3.1 Automatisch verzamelde gegevens bij elk verzoek

• Installatie-ID: 24-cijferige hex-string, bij de eerste keer opstarten lokaal gegenereerd. Niet herleidbaar tot een natuurlijk persoon.
• IP-adres: door de webserver vastgelegd in standaardlogs (max. 7 dagen, daarna geanonimiseerd).
• User-Agent/app-versie: voor compatibiliteitscontrole en foutanalyse.
• Tijdstempel en HTTP-statuscode van het verzoek.

3.2 Inhoud die door het gebruik van de app ontstaat

• Foto van de maaltijd (tijdelijk): wordt naar de server en van daaruit naar de AI-interface gestuurd. Het originele beeld wordt na de analyse niet permanent opgeslagen.
• Foto-hash & verkleinde voorbeeldafbeelding: SHA-512 over het beeld en een sterk verkleinde thumbnail worden in de analysecache opgeslagen, zodat identieke of vergelijkbare foto’s sneller en kostenefficiënter kunnen worden beantwoord (perceptual-hash-matching).
• Analyseresultaat: het AI-antwoord (levensmiddelnamen, portiegroottes, voedingswaarden) wordt samen met de hash in de cache opgeslagen.
• Analyse-events: per verzoek (food-scan en BG-verloopanalyse) wordt een regel met installatie-ID, tijdstempel, provider, model en type cachetreffer in een eventtabel opgeslagen. Deze tabel dient voor de tegoed-telling (het aantal maandelijks beschikbare analyses is afhankelijk van het gekozen tarief; scans en BG-analyses tellen gezamenlijk mee voor het maandlimiet) en fraudepreventie.
• Fotoverlauf (optioneel): verkleinde foto’s kunnen op verzoek van de gebruiker via de installatie-ID aan een persoonlijk fotooverzicht worden gekoppeld, zodat de gebruiker na herinstallatie van de app zijn historie weer kan opvragen.
• Feedback: beoordelingen en opmerkingen die de gebruiker bij een analyse achterlaat, worden gekoppeld aan de installatie-ID en het betreffende cache-item.

3.3 Gegevens in het kader van betalingen

• Stripe Customer-ID en Subscription-ID voor de koppeling van de installatie met het abonnement.
• Tarief, status, looptijd en factureringsperioden van het abonnement.
• Betalingsgerelateerde stamgegevens (naam, adres, betaalmiddel) worden uitsluitend bij Stripe verwerkt en zijn bij ons niet beschikbaar.
• Facturen worden via Stripe in het klantenportaal beschikbaar gesteld.

3.4 Optioneel: Bring Your Own Key (BYOK)

• Eigen API-sleutel van de gebruiker voor Anthropic/Google wordt op de server uitsluitend gebruikt voor doorgifte aan de AI en wordt niet permanent opgeslagen (alleen in het RAM-geheugen voor de duur van het verzoek).
• Optioneel kan een contact-e-mailadres voor BYOK-ondersteuningsverzoeken worden opgegeven.
• Bij BYOK-verzoeken (Bring-Your-Own-Key) worden gebruiksgegevens niet in mindering gebracht op het het tegoed van het gekozen pakket.

• Levering van de kernfunctie (foto-analyse, cache, feedback): art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst of precontractuele maatregelen).
• Caching en kwaliteitsverbetering (bijv. perceptual-hash-matching, admin-correcties tegen terugkerende AI-fouten): art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij een efficiënte en kosteneffectieve levering van de dienst; het belang van de betrokkenen bij een kleinere beeldafdruk wordt gewaarborgd door het gebruik van sterk verkleinde voorbeeldafbeeldingen en de automatische verwijdering na 30 dagen).
• Facturering en betalingsafhandeling: art. 6 lid 1 sub b AVG en art. 6 lid 1 sub c AVG (wettelijke bewaarplichten).
• Fraudepreventie en misbruikbestrijding (tegoed, rate-limits): art. 6 lid 1 sub f AVG.
• Serverlogs en beveiliging: art. 6 lid 1 sub f AVG.

Er vindt geen geautomatiseerde besluitvorming in de zin van art. 22 AVG met rechtsgevolgen voor de betrokkenen plaats. De AI-gestuurde voedingswaardeschattingen zijn uitsluitend informatieve gegevens en nemen geen beslissingen in juridische zin.

Voor de levering van de dienst worden gegevens aan de volgende verwerkers en derden doorgegeven:

5.1 Anthropic PBC (Claude API)

Vestiging: San Francisco, CA, VS. De foto’s en een tekstuele prompt worden ter analyse naar de Anthropic Claude API verzonden. Anthropic is contractueel verplicht de verzonden gegevens niet voor trainingsdoeleinden te gebruiken (Zero-Retention-Policy voor API-klanten). Grondslag voor de doorgifte: EU-standaardcontractbepalingen (SCC). Privacyverklaring: anthropic.com/privacy.

5.2 Google LLC (Gemini API, optioneel)

Vestiging: Mountain View, CA, VS. Optioneel kan de beheerder de server zo configureren dat verzoeken via de Google Gemini API worden beantwoord. In dat geval worden foto’s en prompt naar Google verzonden. Grondslag: EU-standaardcontractbepalingen. Privacyverklaring: policies.google.com/privacy.

5.3 OpenAI, L.L.C.

Vestiging: San Francisco, CA, VS. Optioneel kan de gebruiker (via Settings) of de beheerder verzoeken naar de OpenAI-API sturen. In dat geval worden foto’s en prompt naar OpenAI verzonden. Grondslag: EU-standaardcontractbepalingen. Privacyverklaring: openai.com/policies.

5.4 Zhipu AI

Vestiging: Peking, Volksrepubliek China. Optioneel kan de gebruiker verzoeken naar de Zhipu GLM API sturen. Belangrijk: De Volksrepubliek China geldt onder de AVG als onveilig derde land zonder adequaatheidsbesluit. Het gebruik van deze provider geschiedt op uitdrukkelijke keuze van de gebruiker en op eigen risico; standaardcontractbepalingen zijn met de aanbieder afgesloten. Privacyverklaring: bigmodel.cn/dev/api/security/privacy.

5.5 Microsoft Azure (OpenAI Service)

Vestiging van de contractpartij: Microsoft Ireland Operations Ltd., Dublin, Ierland. Gegevensverwerking in Azure-EU-regio’s. Grondslag: Microsoft-contractwerk (DPA) en EU-standaardcontractbepalingen, voor zover gegevens naar derde landen worden doorgegeven. Privacyverklaring: privacy.microsoft.com.

5.6 Stripe Payments Europe, Ltd.

Vestiging: Dublin, Ierland. Betalingsafhandeling, abonnementsbeheer, facturering, Customer Portal. Bij betalingen worden naam, adres, betaalmiddel en e-mailadres rechtstreeks aan Stripe verzonden en niet aan ons doorgegeven. Privacyverklaring: stripe.com/nl/privacy.

5.7 Open Food Facts & USDA FoodData Central

Voor een aanvullende kwaliteitscontrole (Refine-Cross-Check) kan de server na een AI-analyse een tekstgebaseerde vergelijking uitvoeren tegen de openbare databases van Open Food Facts (Frankrijk) en USDA FoodData Central (VS). Daarbij worden geen foto’s, maar uitsluitend levensmiddelnamen als tekstquery verzonden.

5.8 Hosting en servers

De ns.10be.de-servers bevinden zich in Duitsland, Finland en Frankrijk. CarbCam-gegevens worden op de servers in Duitsland verwerkt en opgeslagen.

• Analysecache (hash, thumbnail, AI-antwoord): 30 dagen, daarna automatische verwijdering.
• Perceptual-hash-index: 30 dagen (gekoppeld aan de cache).
• Analyse-events (tegoed-telling): ten minste voor de huidige facturerings-/tegoedperiode (30 dagen bij Free), daarna geaggregeerd voor statistische doeleinden.
• Fotooverzicht (optioneel, gekoppeld aan installatie-ID): tot verwijdering door de gebruiker of tot de dienst wordt beëindigd.
• Feedback: tot verwerking door de beheerder plus een redelijke aanvullende termijn voor kwaliteitscontrole.
• Abonnements-/betalingsgegevens: voor de duur van de contractuele relatie en daarnaast voor de wettelijke bewaartermijnen (doorgaans 10 jaar op grond van handels- en belastingrecht).
• Webserverlogs: max. 7 dagen, daarna automatische anonimisering.
• BYOK-sleutel: niet persistent opgeslagen, alleen in het RAM-geheugen voor de duur van een enkel verzoek.

Op grond van de AVG heeft u met name de volgende rechten:

• Inzage (art. 15 AVG) in de gegevens die bij uw installatie-ID zijn opgeslagen.
• Rectificatie van onjuiste gegevens (art. 16 AVG).
• Verwijdering (art. 17 AVG), voor zover geen wettelijke bewaarplichten daaraan in de weg staan.
• Beperking van de verwerking: CarbCam biedt geen gedetailleerde beperking van afzonderlijke verwerkingsdoeleinden. U kunt de gegevensverwerking in zijn geheel accepteren of beëindigen door de app te verwijderen of uw installatie-ID te resetten.
• Gegevensoverdraagbaarheid (art. 20 AVG): Maaltijdgegevens (koolhydraten, voedingswaarden, tijdstempels) worden via Nightscout gesynchroniseerd en zijn daar en in de ns.10be.de-back-ups beschikbaar. Foto's worden niet op de server gearchiveerd – schakel “Foto's opslaan in galerij” in de app-instellingen in om lokale kopieën te bewaren.
• Bezwaar tegen verwerkingen op basis van gerechtvaardigde belangen (art. 21 AVG).
• Klacht bij een toezichthoudende autoriteit (art. 77 AVG). Bevoegd is bijv. de Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Voor het uitoefenen van uw rechten of bij vragen over gegevensbescherming kunt u ons te allen tijde bereiken via support@ns.10be.de of via het contactformulier. Bij een verwijderingsverzoek zonder login dient de 24-cijferige installatie-ID te worden opgegeven, zodat de betreffende gegevens kunnen worden geïdentificeerd.

• De gegevensoverdracht tussen app en server vindt uitsluitend plaats via HTTPS (TLS).
• De toegang tot de servers is beperkt tot de aanbieder en vindt plaats via SSH met public-key-authenticatie.
• Databases zijn van buitenaf niet rechtstreeks bereikbaar.
• Back-ups worden versleuteld aangemaakt en na maximaal drie dagen overschreven, voor zover het niet de kerndatabase betreft.
• BYOK-sleutels worden uitsluitend in het werkgeheugen bewaard voor de duur van een verzoek en worden nooit op schijf opgeslagen of gelogd.

Aangezien CarbCam zich in actieve BETA-ontwikkeling bevindt, kan deze privacyverklaring worden aangepast wanneer er nieuwe functies worden toegevoegd, verwerkers wijzigen of wettelijke vereisten dit noodzakelijk maken. De meest actuele versie is beschikbaar op ns.10be.de/nl/carbcam-privacy.html. Wezenlijke wijzigingen worden in de app of via de nieuwsbrief gecommuniceerd.