Notu.laNotu.la
privacyprivacy

Jouw vergadering blijft van jou.Your meeting stays yours.

Notu.la verwerkt gevoelige gesprekken - daar gaan we zorgvuldig mee om. Alles in Europa, niets bij een hyperscaler, geen tracking en geen verkoop van je gegevens. Hieronder staat precies hoe.Notu.la handles sensitive conversations - we treat them with care. Everything in Europe, nothing at a hyperscaler, no tracking and no selling of your data. Here's exactly how.

Laatst bijgewerkt: 18 juni 2026Last updated: 18 June 2026

01Wie is verantwoordelijkWho is responsible

Notu.la is een product van SCRTY B.V., handelend onder de naam Cauldron One Development, gevestigd in Nederland. SCRTY B.V. is de verwerkingsverantwoordelijke voor de persoonsgegevens die via Notu.la worden verwerkt.Notu.la is a product of SCRTY B.V., trading as Cauldron One Development, established in the Netherlands. SCRTY B.V. is the data controller for the personal data processed through Notu.la.

Privacyvragen? Mail privacy@cauldron.one - we reageren binnen 30 dagen.Privacy questions? Email privacy@cauldron.one - we respond within 30 days.

02Welke gegevens we verwerkenWhat data we process

  • Accountgegevens: naam, e-mailadres, organisatie en een versleuteld (gehasht) wachtwoord.Account data: name, email address, organisation and an encrypted (hashed) password.
  • Je vergaderingen: de opnames, transcripten en notulen die je maakt. Die horen bij jou; wij gebruiken ze niet voor iets anders dan het leveren van de dienst.Your meetings: the recordings, transcripts and minutes you create. These belong to you; we don't use them for anything other than delivering the service.
  • Gebruiksgegevens: beperkte technische gegevens zoals IP-adres en tijdstippen, voor beveiliging en het oplossen van fouten.Usage data: limited technical data such as IP address and timestamps, for security and troubleshooting.
  • Abonnement: je abonnementsstatus (Notula Pro) en het aantal gebruikte minuten per maand. Betalingen lopen via Apple (App Store); wij ontvangen of bewaren geen betaalkaartgegevens.Subscription: your subscription status (Notula Pro) and the number of minutes used per month. Payments are handled by Apple (the App Store); we never receive or store card details.
Belangrijk: de notulen worden gemaakt met Mistral, een Europees AI-model. Wij trainen geen AI-modellen op jouw vergaderingen, en je gesprekken worden niet gebruikt om iets te verbeteren voor anderen.Important: the minutes are produced with Mistral, a European AI model. We do not train AI models on your meetings, and your conversations are never used to improve anything for anyone else.
Opnemen met toestemming: jij bent verantwoordelijk voor het verkrijgen van de toestemming van alle deelnemers voordat je een gesprek opneemt. Regels over het opnemen van gesprekken verschillen per land.Recording with consent: you are responsible for obtaining the consent of all participants before recording a conversation. Rules on recording conversations vary by country.

03Waarom we het verwerkenWhy we process it

We verwerken gegevens op de volgende grondslagen uit de AVG (artikel 6):We process data on the following GDPR (Article 6) grounds:

  • Uitvoering van de overeenkomst - om de dienst en ondersteuning te leveren.Performance of the contract - to deliver the service and support.
  • Gerechtvaardigd belang - beveiliging, fraudepreventie en verbetering van de dienst.Legitimate interest - security, fraud prevention and improving the service.
  • Wettelijke verplichting - bijvoorbeeld voor belasting en boekhouding.Legal obligation - for example, tax and accounting.
  • Toestemming - voor optionele berichten; altijd in te trekken.Consent - for optional communications; withdrawable at any time.

04Waar je gegevens staanWhere your data lives

Je opnames, transcripten en notulen worden opgeslagen op infrastructuur die SCRTY B.V. zelf beheert in Europese datacenters. Voor het schrijven van de samenvattingen gebruiken we de API van Mistral AI in Frankrijk - ook binnen de EU. Zo blijft alle verwerking binnen de Europese Unie.Your recordings, transcripts and minutes are stored on infrastructure SCRTY B.V. operates itself in European data centres. To write the summaries we use the API of Mistral AI in France - also within the EU. All processing therefore stays within the European Union.

We gebruiken geen Amerikaanse cloudaanbieders zoals AWS, Microsoft Azure of Google Cloud. Je gegevens vallen daarmee niet onder de Amerikaanse CLOUD Act en gaan nooit de oceaan over.We use no US cloud providers such as AWS, Microsoft Azure or Google Cloud. Your data therefore isn't subject to the US CLOUD Act and never crosses the ocean.

05Met wie we delenWho we share with

We verkopen nooit persoonsgegevens. We werken met een klein aantal EU-verwerkers, allemaal met een verwerkersovereenkomst:We never sell personal data. We work with a small set of EU processors, each under a data processing agreement:

PartijPartyWaarvoorFor whatLocatieLocation
Mistral AISamenvattingen (AI)Summaries (AI)FrankrijkFrance
Apple Distribution InternationalBetalingen via de App StorePayments via the App StoreIerlandIreland
Scaleway SASTransactionele e-mailTransactional emailFrankrijkFrance

Alleen de transcripttekst wordt naar Mistral gestuurd om je notulen te maken - je audio verlaat onze eigen infrastructuur niet. Mistral traint niet op je gegevens. Daarnaast delen we gegevens alleen als de Nederlandse of EU-wet ons daartoe verplicht.Only the transcript text is sent to Mistral to produce your minutes - your audio never leaves our own infrastructure. Mistral does not train on your data. Beyond that, we only share data when Dutch or EU law requires us to.

06Hoe lang we bewarenHow long we keep it

  • Je gegevens worden bewaard zolang je account actief is, en binnen 30 dagen na verwijdering van je account gewist.Your data is kept while your account is active, and deleted within 30 days of account deletion.
  • Uitzondering: gegevens die we wettelijk moeten bewaren, zoals facturen (7 jaar volgens de Nederlandse fiscale wet).Exception: data we're legally required to keep, such as invoices (7 years under Dutch fiscal law).
  • Je kunt je opnames, transcripten en notulen op elk moment zelf verwijderen. Verwijderen in de app is definitief.You can delete your recordings, transcripts and minutes yourself at any time. Deleting in the app is permanent.
Je account verwijderen. Je kunt op elk moment vragen om je account en alle bijbehorende gegevens volledig te verwijderen. Mail privacy@cauldron.one; we wissen alles binnen 30 dagen, behalve wat we wettelijk moeten bewaren.Delete your account. You can ask us at any time to delete your account and all associated data. Email privacy@cauldron.one; we erase everything within 30 days, except what we're legally required to keep.

07Jouw rechtenYour rights

Onder de AVG heb je recht op:Under the GDPR you have the right to:

  • Inzage in je persoonsgegevens.Access your personal data.
  • Correctie van onjuiste gegevens.Rectify inaccurate data.
  • Verwijdering ("recht om vergeten te worden").Erasure ("right to be forgotten").
  • Beperking van de verwerking.Restrict processing.
  • Overdraagbaarheid - je gegevens in een bruikbaar formaat.Portability - your data in a usable format.
  • Bezwaar tegen verwerking op grond van gerechtvaardigd belang.Object to processing based on legitimate interest.
Je gegevens opvragen of een recht uitoefenen. Wil je weten welke gegevens we van je hebben, een kopie ontvangen, of een van bovenstaande rechten uitoefenen? Mail privacy@cauldron.one - we reageren binnen 30 dagen.Request your data or exercise a right. Want to know what data we hold about you, receive a copy, or exercise any of the rights above? Email privacy@cauldron.one - we respond within 30 days.

08Cookies en trackingCookies and tracking

We gebruiken alleen strikt noodzakelijke cookies om je ingelogd te houden. Geen advertentiecookies, geen trackers, geen Google of Meta. Daarom is er ook geen cookiebanner nodig.We only use strictly necessary cookies to keep you signed in. No advertising cookies, no trackers, no Google or Meta. That's also why there's no cookie banner.

Houden we statistieken bij om de dienst te verbeteren, dan doen we dat zelf-gehost, cookieloos en anoniem (Umami) - zonder persoonsgegevens en zonder volgen over websites heen. De marketingsite die je nu bekijkt laadt zelfs dát niet: nul verzoeken naar derden.If we keep statistics to improve the service, we do so self-hosted, cookieless and anonymous (Umami) - no personal data, no cross-site tracking. The marketing site you're viewing now doesn't even load that: zero third-party requests.

09BeveiligingSecurity

Beveiliging zit in het ontwerp: versleuteling onderweg en in rust, strikte toegangscontrole en volledige logging. De details staan op onze beveiligingspagina.Security is built in: encryption in transit and at rest, strict access control and full logging. The details are on our security page.

10Enhanced Security (door de klant beheerde versleuteling)Enhanced Security (customer-managed encryption)

Enhanced Security is een optionele functie die je vergaderingen versleutelt in rust, met een sleutel die jij beheert.Enhanced Security is an opt-in feature that adds at-rest encryption to your meetings using a key you control.

Hoe het werktHow it works

Als je het inschakelt, maakt je apparaat een willekeurige 256-bits datasleutel (AES-256-GCM) die je vergaderinhoud in rust versleutelt. De versleutelde velden zijn: transcriptsegmenten, AI-samenvattingen, vergadertitels, sprekersnamen, contextnotities en mapnamen. Die datasleutel wordt verpakt met een sleutel die is afgeleid (HKDF-SHA256) van een herstelsleutel met hoge entropie die je één keer te zien krijgt. Wij bewaren alleen de verpakte datasleutel, de bijbehorende salt en de afleidingsparameters - nooit de herstelsleutel zelf - zodat wij je inhoud niet kunnen uitpakken.When you enable it, your device generates a random 256-bit data key (AES-256-GCM) that encrypts your meeting content at rest. The encrypted fields are: transcript segments, AI summaries, meeting titles, speaker names, context notes, and folder names. That data key is wrapped by a key derived (HKDF-SHA256) from a high-entropy recovery key shown to you once. We store only the wrapped data key, its salt, and the key-derivation parameters - never the recovery key itself - so we cannot unwrap your content.

Waartegen dit beschermtWhat this protects against

Versleuteling in rust betekent dat je opgeslagen inhoud als versleutelde gegevens (cijfertekst) in onze systemen ligt. Het beschermt tegen database-dumps, gestolen of gelekte back-ups, diefstal van schijven en volumes, en iedereen met operationele toegang die in onze opslag rondkijkt - die allemaal alleen versleutelde gegevens zien.At-rest encryption means your stored content is held as ciphertext in our systems. It protects against database dumps, stolen or leaked backups, disk and volume theft, and anyone with operational access browsing our storage - all of which see only encrypted data.

Wat dit niet isWhat this is not

Enhanced Security is geen end-to-end-versleuteling en geen zero-knowledge. Om je transcript en AI-samenvattingen te maken, verwerken onze GPU-transcriptie en onze AI-samenvattingsprovider (Mistral) je inhoud noodzakelijkerwijs in platte tekst terwijl het resultaat wordt gegenereerd, en houdt onze gateway je inhoud kortstondig in het geheugen voor de duur van een verzoek. Wij beweren niet dat wij je inhoud nooit kunnen zien.Enhanced Security is not end-to-end encryption and not zero-knowledge. To produce your transcript and AI summaries, our GPU transcription and our AI summarization provider (Mistral) necessarily process your content in plaintext while the result is being generated, and our gateway holds your content in memory transiently for the duration of a request. We do not claim that we can never see your content.

Hoe je sleutel wordt gebruiktHow your key is used

Zodat we bij het schrijven kunnen versleutelen en bij het lezen kunnen ontsleutelen, stuurt je app de onverpakte datasleutel via TLS in een header per verzoek naar onze gateway. De gateway gebruikt hem alleen in het geheugen voor dat verzoek en schrijft hem nooit naar opslag of logs.So we can encrypt on write and decrypt on read, your app sends the raw data key to our gateway over TLS in a per-request header. The gateway uses it only in memory for that request and never writes it to storage or logs.

Wanneer inhoud wordt verzegeldWhen content is sealed

Omdat transcriptie asynchroon draait, is een vergadering pas volledig verwerkt zodra je app synchroniseert met je sleutel en de inhoud verzegelt. Tot dat moment bevindt een net getranscribeerde vergadering zich nog in deze verwerkingsfase - het transcript staat dan in platte tekst, zoals beschreven onder "Wat dit niet is" - en wordt het bij de volgende synchronisatie versleuteld in rust.Because transcription runs asynchronously, a meeting is not finished being processed until your app syncs with your key and seals it. Until then, a freshly transcribed meeting is still within this processing stage - its transcript is held in plaintext, as covered under "What this is not" - and is encrypted at rest once your app seals it on the next sync.

AudioAudio

Je opnames worden nooit op onze servers opgeslagen. Audio wordt alleen geüpload om te worden getranscribeerd en direct daarna verwijderd.Your recordings are never stored on our servers. Audio is uploaded only to be transcribed and is discarded immediately afterward.

HerstelRecovery

Je herstelsleutel is de enige manier om je datasleutel uit te pakken. Raak je hem kwijt, dan zijn je versleutelde vergaderingen cryptografisch onherstelbaar - niemand, ook Notu.la niet, kan ze terughalen.Your recovery key is the only way to unwrap your data key. If you lose it, your encrypted meetings are cryptographically unrecoverable - no one, including Notu.la, can restore them.

11Wijzigingen en contactChanges and contact

Belangrijke wijzigingen melden we per e-mail of in de app. Vragen of een klacht? Mail privacy@cauldron.one. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens.We'll announce material changes by email or in the app. Questions or a complaint? Email privacy@cauldron.one. You can also lodge a complaint with the Dutch DPA, the Autoriteit Persoonsgegevens.

Notu.la is niet gericht op kinderen onder de 16. Zie ook onze gebruiksvoorwaarden.Notu.la is not directed at children under 16. See also our terms of use.

Terug naar Notu.laBack to Notu.la