Ga naar hoofdinhoud
WAIMAKERS
Over onsCarrièresContact
|
Plan een gesprek
Terug naar overzicht

Lovable

Lovable Labs

PartialEU: AvailableOpt-out AvailableCustomMulti-region

Statusbadges zijn voorwaardelijk: valideer het exacte abonnement, DPA, subprocessors, bewaartermijn, dataresidentie en feature-instellingen voordat u de tool gebruikt met persoonsgegevens of vertrouwelijke data.

Prijs / Contractroute

USD pricing varies by plan

Enterprise Functies

EU/US/AU hosting regions, ISO 27001:2022, SOC 2 Type II, SAML/OIDC SSO, SCIM, DPO appointed

Laatst bijgewerkt

June 23, 2026

Lovable - GDPR & Gegevensprivacy Overzicht voor Europese Klanten

Versie: juni 2026 - opgesteld door WAIMAKERS B.V.

1 Doel

Dit overzicht legt uit hoe Lovable (Free, Pro, Business, Enterprise) omgaat met gegevens in relatie tot de GDPR, met de nadruk op Europese klanten. Lovable is een AI-gestuurd platform van Lovable Labs Incorporated (Delaware, USA / Stockholm, Zweden) waarmee gebruikers via natuurlijke-taalprompten volledige webapplicaties kunnen bouwen.

2 Vergelijking van Lovable-niveaus (EU-focus)

Niveau Training op uw gegevens? Gegevensbewaring EU-residentie Compliance Prijs
Free ⚠️ Kan worden gebruikt tenzij opt-out via support is aangevraagd 90 dagen logs, 30 dagen na beëindiging ✅ EU selecteerbaar SOC 2 Type II, ISO 27001:2022 $0 (5 credits/dag, projecten privé in uw werkruimte)
Pro ⚠️ Kan worden gebruikt tenzij opt-out via support is aangevraagd 90 dagen logs, 30 dagen na beëindiging ✅ EU selecteerbaar SOC 2 Type II, ISO 27001:2022 $25/maand (100 credits, privéprojecten)
Business ⚠️ Kan worden gebruikt tenzij workspace-opt-out is ingeschakeld 90 dagen logs, 30 dagen na beëindiging ✅ EU selecteerbaar SOC 2 Type II, ISO 27001:2022 $50/maand (SSO, gedeelde werkruimtes)
Enterprise ⚠️ Kan worden gebruikt tenzij workspace-opt-out of contractuele uitsluiting is ingeschakeld Maatwerk ✅ EU selecteerbaar SOC 2 Type II, ISO 27001:2022, DPA met SCCs Aangepaste prijsstelling

Aandachtspunten voor Europa

  • Trainingsbeleid: De Security- en Privacy-pagina's van Lovable stellen dat het klantprompts, code, workspace-gegevens en ruwe/identificeerbare persoonsgegevens niet gebruikt om zijn modellen te trainen. De opt-out-documentatie voegt toe dat alleen geanonimiseerde/geaggregeerde klantgegevens (gegevens die u niet identificeren) voor modeltraining en andere bedrijfsdoeleinden kunnen worden gebruikt tenzij u opt-out. Free- en Pro-klanten vragen opt-out aan via Lovable Support; Business- en Enterprise-beheerders kunnen workspace-brede "Data collection opt out" inschakelen onder Privacy & security.
  • AI-providers van derden: OpenAI, Google Gemini en OpenRouter opereren onder contractuele beperkingen voor datatraining en -bewaring. Zij trainen niet op klantgegevens die via Lovable worden verwerkt.
  • EU-hosting: Lovable Cloud-gegevens (de backend van uw app, gehost op Supabase) blijven in de regio die u selecteert (EU, US of AU) en worden niet verplaatst tussen regio's. Let op: kern-platform-/servicepersoonsgegevens (account, prompts, telemetrie) kunnen volgens het Lovable-privacybeleid alsnog onder SCCs naar de VS worden overgedragen, dus het selecteren van een EU-Cloudregio verwijdert op zichzelf niet alle VS-overdrachten.
  • Beveiliging: SAML/OIDC (Okta, Azure AD, Google), SCIM-provisioning, geautomatiseerde kwetsbaarheidsscanners, WAF, multi-tenant architectuur met logische isolatie.
  • DPO: Data Protection Officer aangesteld via dpo@lovable.dev.
  • Security Checker 2.0 (aug. 2025): Lovable lanceerde Security Checker 2.0 nadat 170+ apps met blootgestelde inloggegevens werden ontdekt. De tool scant projecten automatisch op databasemisconfiguraties en blootgestelde API-sleutels.
  • Lovable 2.0 / Chat Mode: Lovable lanceerde Lovable 2.0 met Chat Mode en AI-agents, waarmee het platform verder gaat dan codegeneratie.
  • Gegevensbewaring:
    • Loggegevens: 90 dagen
    • Klantgegevens: 30 dagen na accountbeëindiging
    • Back-ups: tot 90 dagen
    • Servicegegevens: bewaard voor legitieme bedrijfsdoeleinden
  • DPA beschikbaarheid: Verwerkersovereenkomst met EU Standard Contractual Clauses (Module 2 en 3) en VK-addendum beschikbaar via lovable.dev/data-processing-agreement
  • Prijsstelling: Globale prijsstelling in USD.

3 Is Lovable GDPR-Compliant?

Kort antwoord: ⚠️ Gedeeltelijk / configuratie-afhankelijk. Lovable biedt regionale hosting, ISO 27001:2022 en SOC 2 Type II-certificeringen en een DPA met EU-SCCs, maar hoewel de Security-pagina stelt dat het niet traint op klantprompts, code of identificeerbare gegevens, vermeldt de opt-out-documentatie dat geanonimiseerde/geaggregeerde klantgegevens voor modeltraining en bedrijfsdoeleinden kunnen worden gebruikt tenzij opt-out is ingeschakeld. Opt-out moet zijn aangevraagd of ingeschakeld voordat Lovable voor EU-persoonsgegevens of bedrijfseigen code wordt gebruikt.

Van toepassing op alle abonnementen:

  • Training opt-out beschikbaar - Klantgegevens kunnen voor modeltraining worden gebruikt tenzij opt-out is ingeschakeld; Free/Pro via support en Business/Enterprise via workspace-instellingen
  • EU-gegevensresidentie - Kies EU-, US- of AU-hosting; gegevens blijven in de geselecteerde regio
  • DPA met EU-SCCs - Verwerkersovereenkomst met Standard Contractual Clauses (Module 2: Controller-naar-Processor, Module 3: Processor-naar-Sub-Processor) en VK-addendum beschikbaar
  • Sterke certificeringen - ISO 27001:2022 en SOC 2 Type II bevestigd
  • Transparante subverwerkers - Volledige lijst op trust.lovable.dev, inclusief OpenAI, Anthropic, Google Gemini, OpenRouter, Supabase, GitHub
  • Meldingsplicht bij inbreuk - Toezegging van melding binnen 72 uur
  • DPO aangesteld - Contact via dpo@lovable.dev

Afhankelijk van het abonnement:

  • Maatwerk bewaring - Enterprise kan bewaringstermijnen onderhandelen
  • Verbeterde contractuele bescherming - Robuustere SLA-garanties, meldingen bij wijzigingen in subverwerkers en on-premise opties op Enterprise-niveau
  • SSO/SCIM - SAML/OIDC en SCIM-provisioning beschikbaar; controleer de toepasselijkheid per niveau met Lovable

Wat dit in de praktijk betekent:

  • Voor niet-gevoelige ontwikkelprojecten: Free of Pro kan geschikt zijn met geselecteerde EU-hosting en aangevraagde training opt-out
  • Voor bedrijfseigen code of EU-persoonsgegevens: Business of Enterprise met geselecteerde EU-hosting, uitgevoerde DPA en ingeschakelde workspace-brede training opt-out
  • Voor gereguleerde sectoren (financiën, zorg, overheid): Enterprise aanbevolen voor volledige contractuele bescherming en aangepaste controles

Aandachtspunt voor inkopers: Lovable is alleen geschikt na setup-controles: (1) EU-regio geselecteerd bij het instellen van de werkruimte, (2) DPA met SCCs uitgevoerd waar nodig, (3) training/data-collection opt-out bevestigd, en (4) geen strengere sectorspecifieke beperkingen van toepassing.

4 Details per Aanbieding

Free Plan ($0)

  • Training: Kan worden gebruikt voor training tenzij opt-out via Lovable Support is aangevraagd
  • Gegevensverzameling: Prompts, gegenereerde code, projectartefacten, gebruikstelemetrie, IP-adressen
  • Bewaring: 90 dagen (logs), 30 dagen na beëindiging (klantgegevens), 90 dagen (back-ups)
  • Prijs: Gratis (5 credits/dag, projecten privé in uw werkruimte)
  • Wanneer te gebruiken: Leren, open-source- en persoonlijke projecten, niet-gevoelig experimenteren met geselecteerde EU-hosting
  • Wanneer niet te gebruiken: Bedrijfseigen code of EU-persoonsgegevens waarvoor een contractuele DPA vereist is (gebruik Pro of hoger)

Pro Plan ($25/maand)

  • Training: Kan worden gebruikt voor training tenzij opt-out via Lovable Support is aangevraagd
  • Functies: 100 credits/maand, privéprojecten, aangepaste domeinen, prioritaire ondersteuning, EU-hosting selecteerbaar
  • Prijs: $25/maand
  • Wanneer te gebruiken: Individuele ontwikkelaars met privé- of bedrijfseigen projecten; verwerking van EU-persoonsgegevens met uitgevoerde DPA
  • Wanneer niet te gebruiken: Grote teams of organisaties die gedeelde werkruimtes vereisen (gebruik Business) of geavanceerde contractuele bescherming (gebruik Enterprise)

Business Plan ($50/maand)

  • Training: Kan worden gebruikt voor training tenzij workspace-brede data collection opt-out is ingeschakeld
  • Functies: Gedeelde werkruimtes, teamsamenwerking, geavanceerde machtigingen, SSO (SAML/OIDC), EU-hosting selecteerbaar
  • Prijs: $50/maand
  • Wanneer te gebruiken: Ontwikkelteams die gedeelde werkruimtes, SSO en EU-datacompliance met uitgevoerde DPA vereisen
  • Wanneer niet te gebruiken: Organisaties die maatwerk-SLA's, aangepaste credits of on-premise opties vereisen (gebruik Enterprise)

Enterprise Plan (Aangepaste Prijsstelling)

  • Training: Kan worden gebruikt voor training tenzij workspace-brede data collection opt-out is ingeschakeld of contractueel is uitgesloten; uitgebreide gegevensbeheercontroles onderhandelbaar
  • Extra functies: Aangepaste credits, DPA met EU-SCCs en VK-addendum, meldingen bij wijzigingen in subverwerkers, on-premise implementatieopties, SLA-garanties, 24/7 ondersteuning, SCIM-provisioning
  • Compliance: Volledige DPA met Standard Contractual Clauses; ISO 27001:2022; SOC 2 Type II
  • Prijs: Maatwerk (contact opnemen met Lovable Sales)
  • Wanneer te gebruiken: Gereguleerde sectoren, sterk bedrijfseigen ontwikkeling, grote organisaties met strenge inkoopvereisten
  • Wanneer niet te gebruiken: Organisaties met absoluut datalokalisatiebeleid dat uitsluitend on-premise vereist (bevestig implementatiemodel met Lovable)

5 Gegevensverwerkingsstroom

[Gebruiker beschrijft app via natuurlijke-taalprompt]
  ↓
[Lovable Platform - regio naar keuze: EU / US / AU]
  ↓
[AI-verwerkingslaag]
  ├─ OpenAI (contractuele beperkingen: geen training op klantgegevens)
  ├─ OpenRouter (contractuele beperkingen: geen training op klantgegevens)
  └─ Google Gemini (contractuele beperkingen: geen training op klantgegevens)
  ↓
[Codegeneratie & Compilatie]
  ├─ Modal Sandboxes (code-uitvoering)
  ├─ GitHub-integratie (optioneel)
  └─ Supabase (database/auth voor Lovable Cloud)
  ↓
[Gegevensresidentie]
  ├─ EU-regio: gegevens blijven in de EU
  ├─ US-regio: gegevens blijven in de VS
  └─ AU-regio: gegevens blijven in Australië
  ↓
[Implementatie]
  ├─ Lovable Cloud (gehost via Supabase/AWS in geselecteerde regio)
  ├─ GitHub-export
  └─ Hosting door derden (Netlify, Vercel, etc.)

*EU-hosting beschikbaar; gegevens worden niet verplaatst tussen regio's*

6 Aanbevelingen (GDPR-first)

  • Selecteer EU-regio bij het instellen van de werkruimte voordat u persoonlijke of bedrijfseigen gegevens uploadt.
  • Schakel training opt-out in of vraag deze aan voordat u persoonlijke of bedrijfseigen gegevens uploadt: Free/Pro via Lovable Support; Business/Enterprise via workspace-instellingen voor Privacy & security.
  • Sluit een DPA met Standard Contractual Clauses (beschikbaar via lovable.dev/data-processing-agreement).
  • Voor US- of AU-hosting: voer een Transfer Impact Assessment (TIA) uit om overdrachtsrisico's en -waarborgen te documenteren.
  • Gebruik Lovable niet voor bijzondere categorieën persoonsgegevens (Art. 9 GDPR) zonder bevestiging van geschiktheid bij uw DPO.
  • Neem contact op met de Lovable DPO via dpo@lovable.dev voor gegevensbeschermingsvragen.

7 EU-implementatie Checklist (Praktisch)

  1. Selecteer EU-hostingregio - Configureer EU-gegevensresidentie bij het instellen van de werkruimte VOORDAT u gegevens uploadt
  2. Training opt-out bevestigen - Free/Pro via Support; Business/Enterprise via workspace-brede Data collection opt out
  3. DPA met SCCs ondertekenen - Download en onderteken de DPA via lovable.dev/data-processing-agreement
  4. Subverwerkers beoordelen - Controleer de lijst op trust.lovable.dev; abonneer u op meldingen bij wijzigingen
  5. Art. 30-registers bijhouden - Voeg Lovable toe aan verwerkingsregisters; documenteer EU-hosting en SCCs als overdrachtsgronden
  6. SSO/SCIM configureren (Business/Enterprise) - Stel SAML/OIDC in via Okta, Azure AD of Google voor toegangsbeheer

8 Snelle Antwoorden voor EU-inkoop

Is Lovable GDPR-compliant?

Gedeeltelijk, afhankelijk van configuratie. Lovable biedt EU-gegevensresidentieopties, ISO 27001:2022 en SOC 2 Type II, en een DPA met EU-SCCs, maar klanten moeten EU-hosting en training/data-collection opt-out bevestigen vóór gevoelig EU-gebruik.

Mogen wij het gebruiken voor EU-persoonsgegevens?

✅ Ja, met de juiste instellingen: (1) EU-regio geselecteerd, (2) DPA met SCCs uitgevoerd, (3) gegevens op passende wijze geclassificeerd. Enterprise aanbevolen voor gereguleerde sectoren.

Is er EU-gegevensresidentie?

✅ Ja. EU-, US- en AU-regio's zijn selecteerbaar. Gegevens blijven in de geselecteerde regio en worden niet verplaatst tussen regio's.

Trainen zij op onze gegevens?

Nee, niet op identificeerbare gegevens. Lovable stelt dat het geen klantprompts, code of identificeerbare persoonsgegevens gebruikt om zijn modellen te trainen; de opt-out-documentatie zegt dat alleen geanonimiseerde/geaggregeerde klantgegevens voor modeltraining en andere bedrijfsdoeleinden kunnen worden gebruikt tenzij opt-out is ingeschakeld. Free/Pro-gebruikers vragen opt-out aan via Support; Business/Enterprise-beheerders kunnen workspace-brede data collection opt-out inschakelen.

Wie is de DPO?

dpo@lovable.dev

Wat zijn de subverwerkers?

AWS, GCP, Fly.io (infrastructuur), OpenAI, Anthropic, Google Gemini, OpenRouter (AI), Supabase (database), GitHub, Cloudflare, ClickHouse, PostHog, Sentry. Volledige lijst: trust.lovable.dev

Wat gebeurt er met onze gegevens na beëindiging?

Klantgegevens worden binnen 30 dagen verwijderd; back-ups worden tot 90 dagen bewaard; logs worden 90 dagen bewaard.

9 Aandachtspunten & Voorbehouden

  • Training opt-out vereist - Lovable stelt dat het geen identificeerbare persoonsgegevens, klantprompts of code gebruikt om zijn modellen te trainen; de opt-out-documentatie zegt dat geanonimiseerde/geaggregeerde klantgegevens voor modeltraining en andere bedrijfsdoeleinden kunnen worden gebruikt tenzij opt-out is ingeschakeld. Bevestig opt-out vóór gebruik voor EU-persoonsgegevens of bedrijfseigen code.
  • EU-hosting is opt-in - EU-gegevensresidentie moet worden geselecteerd bij het instellen van de werkruimte. Het is niet de standaardinstelling voor alle accounts; bevestig uw regio-instelling.
  • AI-providers van derden - OpenAI, Google Gemini en OpenRouter verwerken AI-verzoeken onder contractuele beperkingen die training op klantgegevens verbieden.
  • Security Checker 2.0 - Gelanceerd in augustus 2025 nadat 170+ door Lovable gebouwde apps met blootgestelde inloggegevens werden ontdekt. Scant automatisch op databasemisconfiguraties en blootgestelde API-sleutels. Relevant voor teams die Lovable-apps in productie uitrollen.
  • Lovable 2.0 (Chat Mode) - AI-agents en Chat Mode geïntroduceerd; vergroot het oppervlak van gegevens die door het platform worden verwerkt.
  • Supabase-integratie - Lovable Cloud gebruikt Supabase voor database/auth; gegevens vallen onder het privacybeleid van Supabase (supabase.com/privacy).
  • AI Gateway pass-through - Bij gebruik van AI Gateway worden prompts rechtstreeks naar externe providers verzonden; Lovable slaat deze niet op, tenzij expliciet opgeslagen.
  • Servicegegevens - Lovable verwerkt gebruiksanalyses, telemetrie en operationele statistieken als onafhankelijke verwerkingsverantwoordelijke voor productontwikkeling.

10 Disclaimer

Dit overzicht is uitsluitend bedoeld als informatief hulpmiddel. Wij adviseren klanten dringend om alle verwerkersovereenkomsten (DPA's) en privacydocumentatie grondig te bestuderen alvorens Lovable in productieomgevingen in te zetten - met name bij de verwerking van EU-persoonsgegevens of bedrijfseigen code. WAIMAKERS past dit principe ook intern toe; alle tools die wij gebruiken zijn grondig beoordeeld en opgenomen in onze eigen privacy- en beveiligingsdocumentatie. Klanten dienen altijd zorgvuldig de officiële documentatie, voorwaarden en DPA's van elke AI-aanbieder die zij gebruiken te evalueren. WAIMAKERS kan niet juridisch aansprakelijk worden gesteld voor fouten, onnauwkeurigheden of voor de juistheid, actualiteit of volledigheid van de informatie in dit document; de uiteindelijke verantwoordelijkheid voor GDPR-compliance berust bij de klant.

Opgesteld en uitgegeven door WAIMAKERS B.V. - juni 2026.

Referenties

  • Lovable - Privacybeleid - https://lovable.dev/privacy
  • Lovable - Verwerkersovereenkomst - https://lovable.dev/data-processing-agreement
  • Lovable - Beveiliging & Compliance - https://lovable.dev/security
  • Lovable - Subverwerkers - https://trust.lovable.dev
  • Lovable - Manage training data and privacy - https://docs.lovable.dev/features/business/data-opt-out

Hulp nodig bij AI?

Plan een gesprek
WAIMAKERS

Learn. Lead. Make.

AI Transformation Boutique · Amsterdam

Maak werk inspirerend, maak bedrijven onstuitbaar.

Wie we helpen

Bekijk alle rollen & sectorenCEO's & BestuursledenPE & InvesteringsmanagersCFO's & Financieel LeidersInnovatiedirecteurenCTO's & IT-leidersCommercieel Directeuren

Wat we doen

Bekijk alle servicesOnze aanpakLearnMaatwerktrainingenAI Champions ProgrammaAgentic Way of WorkingE-learningLeadMake

Bedrijf

Over onsKennisbankContactCarrièresPodcast ↗

© 2026 WAIMAKERS. Alle rechten voorbehouden.

PrivacybeleidCookiebeleid