/
Gebruiksbeleid
Subduxion Gebruiksbeleid
Laatst bijgewerkt
1 oktober 2025
Versie: 1.0
Bedrijf: Subduxion B.V. (“Subduxion”)
Hoofdkantoor: High Tech Campus 5, 5656 AE Eindhoven, Nederland
Contact: privacy@subduxion.com | abuse@subduxion.com | security@subduxion.com
Toepasselijk Recht: Wetgeving van Nederland; exclusieve jurisdictie van de Nederlandse rechtbanken
1. Inleiding & Acceptatie
1.1 Deze AUP regelt de toegang tot en het gebruik van Subduxion's beheerde AI-oplossingen en aanverwante professionele diensten, inclusief geïntegreerde componenten, connectors, agents, modellen, plug-ins, tooling of documentatie (samen de “Diensten”).
1.2 Deze AUP bindt elke Subduxion-klant (“Klant”) en zijn gemachtigde eindgebruikers (“Eindgebruikers”). Door gebruik te maken van de Diensten accepteren Klant en Eindgebruikers deze AUP.
1.3 De AUP maakt deel uit van het contractuele kader met Subduxion en dient te worden gelezen naast de Master Services Agreement (“MSA”), de Data Processing Agreement (“DPA”), de Algemene Voorwaarden (“T&C”), het Informatiebeveiligingsbeleid, het Verantwoord AI-beleid, het Privacybeleid en de Cookieverklaring.
In het geval van een conflict of inconsistentie tussen deze documenten geldt de volgende rangorde (van hoog naar laag):
(i) de MSA;
(ii) de DPA;
(iii) de T&C;
(iv) deze AUP;
(v) het Informatiebeveiligingsbeleid;
(vi) het Verantwoord AI-beleid;
(vii) het Privacybeleid en de Cookieverklaring.
2. Definities
“Artefacten”: configuraties, prompts, ketens, agents, ophaalinstellingen, orkestratielogica, en aanverwante implementatiematerialen.
“Vertrouwelijke Informatie”: niet-openbare informatie die door een partij wordt verstrekt, inclusief bedrijfsgeheimen en beveiligingsarchitectuur.
“Verwerkingsverantwoordelijke / Verwerker / Onderverwerker”: zoals gedefinieerd door toepasselijke gegevensbeschermingswetten.
“Klantgegevens”: gegevens die door of namens de Klant aan de Diensten worden verstrekt.
“Eindgebruiker”: een individu dat door de Klant is gemachtigd om de Diensten te gebruiken.
“Schadelijke Activiteit”: activiteiten die naar verwachting schade kunnen veroorzaken aan personen, eigendommen, systemen of rechten.
“Hoge-Risico Gebruik”: toepassingen gedefinieerd in §6 die verbod of voorafgaande schriftelijke goedkeuring vereisen.
“Malware”: code bedoeld om te verstoren, schade toe te brengen of ongeautoriseerde toegang te verkrijgen.
“Output”: inhoud die door de Diensten wordt gegenereerd of geleverd.
“Persoonsgegevens”: informatie die betrekking heeft op een geïdentificeerd of identificeerbaar individu.
“Beveiligingsincident”: ongeautoriseerde toegang tot of acquisitie van Klantgegevens binnen de Diensten.
“Gevoelige Gegevens”: speciale categorieën onder de AVG en vergelijkbare wetten, plus data van kinderen, nauwkeurige geolocatie, financiële rekeningnummers, overheids-ID's, gezondheids-/biometrische sjablonen.
“Diensten”: zie §1.1.
“Upstream Providers”: derden die modellen, hosting, vectoropslag, CDN's en aanverwante componenten leveren die in de Diensten zijn geïntegreerd.
3. Implementatiemodi & Gegevensstroom
3.1 Subduxion kan de Diensten leveren via: (a) Klant-beheerde omgeving; (b) Subduxion-beheerde omgeving; of (c) hybride.
3.2 De Klant is verantwoordelijk voor het goedkeuren van integraties, gegevensbronnen en connectors en voor het valideren van gegevensrechten. Subduxion orkestreert goedgekeurde externe diensten en biedt geen basis funderingsmodel.
3.3 Gegevenslocaties, logging en opslag worden beschreven in de DPA en relevante implementatiedocumentatie.
4. Toepasselijkheid & Flow-Down
4.1 Klant en Eindgebruikers moeten voldoen aan deze AUP en toepasselijke voorwaarden en veiligheidsbeleid van Upstream Providers. Als deze AUP, een beleid van een Upstream Provider, of de AI Act andere eisen stelt, geldt de strengste eis.
4.2 De Klant is verantwoordelijk voor de handelingen en nalatigheden van zijn Eindgebruikers en voor redelijk administratief toezicht (RBAC, SSO/MFA, sleutelbeheer).
5. Verantwoordelijkheden van Klant & Eindgebruiker
5.1 Gebruik de Diensten wettelijk; verstrek nauwkeurige accountgegevens; bescherm inloggegevens en API-sleutels; respecteer limieten; schakel geen beveiligings-, moderatie-, audit- of governancecontroles uit.
5.2 Implementeer mens-in-de-lus beoordelingen voor kritische beslissingen en voordat er op Outputs wordt vertrouwd.
5.3 Configureer gegevensbronnen, ophalen, prompts/agents en integraties verantwoordelijk; zorg ervoor dat er een wettelijke basis en voldoende rechten zijn om gegevens te verwerken.
5.4 Upload geen schadelijke code of verminder de prestaties of belast de Diensten niet.
6. Verboden Inhoud & Activiteiten
De volgende zijn verboden (niet-uitputtend):
a) Illegale activiteit; inbreuk; schrapen van beschermd materiaal zonder rechten.
b) Kinderseksueel misbruik materiaal, uitbuiting, mensenhandel; niet-consensuele intieme beelden.
c) Haat, intimidatie, bedreigingen, aansporing, terrorisme, of extremistisch materiaal.
d) Wapens, explosieven, of CBRN constructie/aankoopsinstructies.
e) Malware, ransomware, spyware; credential aanvallen; prompt-injectie of omzeiling van veiligheidsbeheersmaatregelen.
f) Fraude, oplichting, phishing, identiteitsdiefstal, witwassen van geld.
g) Illegale surveillance, doxxing, of privacy-inbreuk.
h) Bedrieglijke nabootsing of deepfakes zonder wettelijke autoriteit en duidelijke bekendmaking.
i) Reverse engineering of extractie van modellen, embeddings, gewichten, verborgen prompts; benchmarking bedoeld om vertrouwelijke prestatiegegevens te onthullen of manipuleren.
j) Limieten opheffen; prestatie- of penetratietesten zonder voorafgaande schriftelijke goedkeuring van Subduxion.
7. Hoge-Risico Gebruik & Sectorspecifieke Beperkingen
7.1 Verboden of alleen Subduxion goedgekeurd: medische diagnose/behandeling, noodhulp, juridisch/financieel advies, kredietbeoordeling, werkgelegenheids- of huisvestingsgeschiktheid, biometrische identificatie, kritieke infrastructuur, wetshandhaving, migratie/asielbeslissingen, of elk gebruik met juridische of vergelijkbaar significante effecten.
7.2 Als uitdrukkelijk schriftelijk goedgekeurd, moet de Klant verhoogde controles implementeren (menselijke beoordeling, bekendmakingen, audit logs, risicobeoordelingen en gegevensminimalisatie).
7.3 Voor elk gebruik dat valt binnen of analoog is aan de bijlage III hoge-risicogebieden onder de AI Act, is voorafgaande schriftelijke goedkeuring van Subduxion vereist. Waar van toepassing moet de Klant een Fundamentele Rechten Impact Assessments (FRIA) uitvoeren en onderhouden, evenals vereiste transparantie mededelingen, menselijke toezichtmaatregelen en verslaglegging, en afstemmen met een Gegevensbeschermingseffectbeoordeling (DPIA) volgens de AVG.
8. Beperkingen van Gevoelige Gegevens
8.1 Verstrek geen Gevoelige Gegevens tenzij (i) uitdrukkelijk toegestaan in de MSA/DPA en (ii) verwerkt in een gedocumenteerde, conforme omgeving goedgekeurd door Subduxion schriftelijk.
8.2 De Klant moet ervoor zorgen dat er een geldig wettelijke grondslag en alle vereiste kennisgevingen/toestemmingen zijn voor alle Persoonsgegevens die worden ingediend.
8.3 Als de Klant of zijn Eindgebruikers Gevoelige Gegevens indienen of anderszins verwerken in overtreding van deze AUP of het contractuele kader, is de Klant uitsluitend aansprakelijk voor de daaruit voortvloeiende schade, claims, verliezen, boetes of regelgevende maatregelen. Subduxion heeft geen enkele aansprakelijkheid in dit opzicht, en de Klant zal Subduxion vrijwaren en schadeloosstellen van eventuele gerelateerde claims van derden of handhavingsacties.
9. Gegevens, Privacy en Beveiliging
9.1 Rollen: doorgaans Klant = Verwerkingsverantwoordelijke voor Klantgegevens; Subduxion = Verwerker (zie DPA).
9.2 Verwerkingsdetails, bewaartermijn/verwijdering en Subverwerkers worden geregeld door de DPA en actieve lijsten die hierin worden vermeld.
9.3 Telemetrie/logboeken kunnen worden verzameld voor beveiliging, misbruikpreventie, servicekwaliteit en ondersteuning; standaard bewaartermijn: 12 maanden (tenzij anders overeengekomen of wettelijk vereist).
9.4 Beveiliging: encryptie tijdens verzending en bij opslag; industriestandaardbeheersmaatregelen. Incidentensamenwerking volgens DPA (Klant→Subduxion bij vermoedelijke inbreuk; Subduxion→Klant bij bevestigde Beveiligingsincidenten).
10. Uitvoer & Betrouwbaarheid
10.1 Uitvoer kan onnauwkeurig, onvolledig of contextueel ongepast zijn. De Klant moet menselijk toezicht toepassen alvorens te vertrouwen op Uitvoeren, vooral in gereguleerde contexten.
10.2 Presenteer Uitvoeren niet als gereguleerd professioneel advies, tenzij de Klant onafhankelijk voldoet aan alle regelgevende verplichtingen en Subduxion dergelijk gebruik schriftelijk autoriseert.
11. Intellectueel Eigendom & Feedback
11.1 De Klant behoudt de rechten op Klantgegevens. De toewijzing van Uitvoer en Artefacten volgt de MSA. Subduxion zal geen funderingsmodellen trainen op basis van Klantgegevens, tenzij uitdrukkelijk overeengekomen.
11.2 De Klant verleent Subduxion een niet-exclusieve, royaltyvrije, sublicentieerbare licentie om Feedback te gebruiken om de Diensten te verbeteren (onder voorbehoud van enige overeengekomen opt-out).
12. Upstream Providers & Derdepartij Voorwaarden
12.1 De Klant moet voldoen aan de toepasselijke voorwaarden, condities en veiligheidsbeleid van externe aanbieders die in de Diensten geïntegreerd zijn (“Upstream Providers”), waaronder, maar niet beperkt tot, hostingproviders, modelaanbieders van AI en vector database providers.
12.2 Een actuele lijst van relevante Upstream Providers is beschikbaar bij Subduxion en kan op verzoek aan de Klant worden verstrekt. Subduxion kan de lijst van Upstream Providers van tijd tot tijd bijwerken door schriftelijke kennisgeving (inclusief per e-mail of update in de Documentatie). Voortgezet gebruik van de Diensten na dergelijke kennisgeving betekent aanvaarding van dergelijke updates.
12.3 Voor onderbreking, defect of schade veroorzaakt door Upstream Providers is Subduxion niet aansprakelijk, behalve voor zover veroorzaakt door grove nalatigheid of opzettelijk wangedrag van Subduxion.
13. Naleving van AI & Exportwetten
13.1 De Klant moet voldoen aan exportcontrole, sancties, anti-corruptie, en importwetten. Geen gebruik door of voor Beperkte Partijen of in Embargogebieden.
13.2 Wanneer de Diensten worden gebruikt in de EER/VK, moeten de Klant en zijn Eindgebruikers voldoen aan de EU Artificial Intelligence Act (de “AI Act”) zoals toepasbaar voor hun rol (inclusief verplichtingen van de “inzetter”). Als de Klant witlabelt, wezenlijk wijzigt of het beoogde doel van een AI-systeem bepaalt op een manier die de status van “aanbieder” onder de AI Act triggert, zal de Klant voldoen aan alle aanbieder verplichtingen en mag Subduxion niet schaden door de AI Act of enige toepasselijke voorwaarden te overtreden. De Klant zal Subduxion op verzoek gerechtvaardigd bewijs van zijn AI Act-naleving verstrekken.
13.3 De Klant zal Subduxion, haar gelieerde ondernemingen en personeel vrijwaren tegen claims, boetes, sancties, of handhavingsmaatregelen die voortvloeien uit of in verband staan met de niet-naleving door de Klant van verplichtingen onder de EU Artificial Intelligence Act of vergelijkbare regelgeving, in die mate dat dergelijke niet-naleving te wijten is aan het gebruik van de Diensten door de Klant.
14. Monitoring, Handhaving & Opschorting
14.1 Subduxion kan het gebruik controleren voor naleving, vermoedelijke schendingen onderzoeken en informatie opvragen.
14.2 Handhavingstrap: waarschuwing → tijdelijke beperking → opschorting → beëindiging om redenen, naar goeddunken van Subduxion en in verhouding tot het risico.
14.3 Onmiddellijke opschorting kan plaatsvinden bij ernstige schade, juridisch risico, of bedreigingen voor de Diensten of anderen.
14.4 De Klant is verantwoordelijk voor alle kosten, schade, en vorderingen van derden die voortvloeien uit schendingen van deze AUP, inclusief maar niet beperkt tot redelijke herstelkosten, juridische kosten, regelgevende boetes en kosten voor reputatiebehoud die toe te schrijven zijn aan het gedrag van de Klant.
14.5 Elke schending van deze AUP door de Klant of zijn Eindgebruikers vormt een materiële inbreuk op de Algemene Voorwaarden en geeft Subduxion het recht om de Diensten op te schorten of te beëindigen in overeenstemming met de beëindigingsbepalingen van de Algemene Voorwaarden, onverminderd de andere rechten en middelen van Subduxion.
15. Notice-and-Takedown / Herhaalde Inbreukbeleid
15.1 Meld misbruik of inbreuk aan abuse@subduxion.com. Subduxion kan inhoud uitschakelen of verwijderen en toegang opschorten.
15.2 Herhaalde inbreukplegers kunnen worden beëindigd.
16. Wijzigingen in deze AUP
16.1 Subduxion kan deze AUP van tijd tot tijd bijwerken. Essentiële wijzigingen worden ten minste 30 dagen van tevoren aangemeld, tenzij eerdere wijzigingen vereist zijn voor veiligheid, beveiliging of wettelijke naleving. Voortgezet gebruik na de ingangsdatum betekent acceptatie.
17. Contact
Subduxion B.V., High Tech Campus 5, 5656 AE Eindhoven, Nederland
privacy@subduxion.com | abuse@subduxion.com | security@subduxion.com
Annex A - Verboden Inhoud & Activiteiten (Matrix)
Gebied | Verbod | Voorbeelden (niet-uitputtend) |
|---|---|---|
Illegaal & IP | Onwettig gebruik; IP inbreuk; ongeoorloofd schrapen | Omzeilen van betaalmuren; datasets kopiëren zonder licentie |
Veiligheid & Schade | Kinderuitbuiting; haat/intimidatie; aanzetting; terrorisme | Bedreigingen, rekrutering, verheerlijken van geweld |
Wapens/CBRN | Bouw-/aankoopsinstructies | Bomb-making stappen; chemische wapens |
Beveiligingsmisbruik | Malware; credential aanvallen; veiligheidsbypass | Keylogging scripts; prompt-injectie om geheimen te stelen |
Fraude & Misleiding | Oplichting, phishing, identiteitsdiefstal, witwassen | Synthetische identiteiten; wervingsscripts voor geldezels |
Schending van privacy | Illegale surveillance; doxxing; niet-consensuele beelden | Stalkerware; pogingen tot deanonymisatie |
Misrepresentatie | Misleidende imitatie; niet-aangegeven deepfakes | Valse stem van een CEO om een betaling goed te keuren |
Reverse Engineering | Extractie van modellen/gewichten/prompts; vijandige benchmarking | Pogingen om verborgen systeem-prompts te achterhalen |
Integriteit van de Dienst | Omzeilen van snelheidslimieten; niet-goedgekeurde stresstests of penetratietests | Verkeersoverbelasting; geautomatiseerd scrapen boven toegestane limieten |
Bijlage B - High-Risk Use Controls (Voorafgaande Goedkeuring Vereist)
De volgende minimale beheersmaatregelen zijn van toepassing op elk High-Risk Use dat schriftelijk is goedgekeurd door Subduxion. Deze lijst is niet uitputtend; Subduxion kan aanvullende maatregelen eisen op basis van context, wetgeving of voorwaarden van Upstream Providers.
De Klant (als uitvoerder) is verantwoordelijk voor het implementeren en aantonen van naleving van deze controles.
Doel en wettelijke grondslag - Documenteer het beoogde doel, de rechtsgrondslag en een risicobeoordeling; voer een DPIA (Data Protection Impact Assessment) en, indien van toepassing, een Fundamental Rights Impact Assessment (FRIA) uit.
Menselijk toezicht - Wijs gekwalificeerde menselijke beoordelaars aan, definieer escalatiepaden en vereis menselijke goedkeuring voordat acties met wettelijke of significante impact worden uitgevoerd.
Beveiligingsmaatregelen (Guardrails) - Schakel veiligheidsfilters, RBAC (Role-Based Access Control) en dual-control in voor kritieke handelingen; deactiveer geen moderatie- of governancecontroles.
Audit Logging - Onderhoud onveranderbare, tijdgestempelde logs die voldoende zijn voor traceerbaarheid en onderzoek; bewaar deze gedurende de langste periode van: de wettelijke/regulatoire vereiste termijn of de in de MSA/DPA overeengekomen periode.
Transparantie - Verstrek vereiste kennisgevingen en openbaarmakingen aan betrokkenen en belanghebbenden; bied opt-outmogelijkheden aan waar wettelijk verplicht.
Dataminimalisatie en bewaring - Beperk invoer en uitvoer tot wat noodzakelijk is; stem bewaartermijnen af op wettelijke en contractuele vereisten.
Testen en kwaliteit - Voer pre-deployment- en periodieke tests uit in verhouding tot het risico (bijv. bias-/fairnesscontroles, red-teaming); onderhoud een rollbackplan.
Incidentparaathheid - Behoud draaiboeken voor detectie, beheersing, meldingstermijnen en herstel; werk samen met Subduxion bij onderzoeken.
Subduxion kan goedkeuring weigeren of een High-Risk Use opschorten indien deze controles niet worden nageleefd, of indien dit wettelijk, veiligheidsmatig of door verplichtingen van Upstream Providers vereist is.
Bijlage C - Flow-Down-Verplichtingen van Upstream Providers
Subduxion onderhoudt een interne lijst van Upstream Providers die relevant zijn voor de geleverde diensten. Deze lijst bevat:
de identiteit van de provider,
een beschrijving van de betreffende dienst, en
de voornaamste verplichtingen die door deze provider worden opgelegd.
Subduxion zal de actuele lijst op verzoek aan de Klant verstrekken en de Klant schriftelijk informeren over materiële wijzigingen. De Klant moet te allen tijde voldoen aan deze door Subduxion gecommuniceerde flow-downverplichtingen.
Kernverplichtingen:
Volg contentveiligheidsbeleid; omzeil geen filters of snelheidslimieten.
Doe geen pogingen om trainingsdata, embeddings, gewichten of verborgen prompts te extraheren.
Voldoe aan toepasselijke export- en sanctiewetgeving.
Respecteer intellectuele eigendomsrechten en rechtmatige datasourcing.
Gebruik de diensten niet voor het genereren van malware of het faciliteren van onwettige activiteiten.
(De actuele lijst bevat de huidige providers, beleidslinks en relevante beperkingen. Subduxion kan deze lijst bijwerken via kennisgeving.)
Bijlage D – Jurisdictionele Bijlage
EU/VK (GDPR & ePrivacy)
Rollen: Klant = Verwerkingsverantwoordelijke; Subduxion = Verwerker (zie DPA).
Internationale doorgiften: SCC’s en/of UK Addendum zijn van toepassing waar relevant.
Cookies en trackingtechnologieën: vallen onder het Cookiebeleid.
EU AI Act: Indien van toepassing op de Klant als deployer, moet deze voldoen aan deployerverplichtingen (risicobeheer, menselijk toezicht, documentatie, transparantie) in verhouding tot het risico en de use case.
Verenigde Staten
Voldoen aan relevante sectorale en staatswetgeving (bijv. consumentenprivacy, oneerlijke of misleidende handelspraktijken).
COPPA is niet van toepassing; de diensten zijn uitsluitend B2B en niet gericht op kinderen.
Overige regio’s
Indien lokale wetgeving strengere eisen stelt, prevaleert de strengste norm.
Bijlage E – “AUP in één oogopslag”
Toepassing:
Subduxion-klanten en hun geautoriseerde gebruikers.
Gouden regels:
Gebruik de diensten op een rechtmatige manier, houd inloggegevens veilig, schakel veiligheidscontroles niet uit, en controleer AI-uitvoer vóór je actie onderneemt.
Nooit toegestaan:
Illegale inhoud, schending van intellectuele eigendom, kinderuitbuiting, haat of geweld, wapen-/CBRN-instructies, malware of veiligheidsmisbruik, fraude, privacyschending, misleidende imitatie, extractie van verborgen modelgegevens of omzeilen van snelheidslimieten.
High-Risk Uses:
Medische, juridische, financiële, biometrische of kritieke infrastructuurtoepassingen, evenals handhavings- of vergelijkbare toepassingen, zijn verboden of vereisen schriftelijke goedkeuring van Subduxion met aanvullende controles.
Gevoelige gegevens:
Dien geen bijzondere persoonsgegevens, kindergegevens, ID’s of biometrische data in, tenzij dit expliciet is toegestaan in de MSA/DPA en verwerkt wordt binnen een conforme omgeving.
Data & beveiliging:
De Klant is Verwerkingsverantwoordelijke; Subduxion is Verwerker. Wij behouden beveiligingslogs en kunnen optreden bij misbruik.
Handhaving:
Bij overtredingen kunnen wij waarschuwingen geven, toegang beperken, opschorten of beëindigen - onmiddellijk bij ernstig risico.
Hulp nodig of misbruik melden?