Terug naar overzicht
Cursor
Cursor (Anysphere)
PartialEU: Not AvailableNo TrainingZero RetentionUS Only
Zakelijk Abonnement
$20/mo (Pro), $40/user (Teams) - billed in USD
Enterprise Functies
Enforced Privacy Mode, zero-retention contracts, Ghost Mode (local-only), CMEK (Enterprise)
Laatst bijgewerkt
March 23, 2026
Cursor - GDPR & Gegevensprivacy Overzicht voor Europese Klanten
Versie: maart 2026 - opgesteld door WAIMAKERS B.V.
1 Doel
Dit overzicht legt uit hoe de Cursor-abonnementen (Hobby, Pro, Teams) omgaan met gegevens in relatie tot de GDPR, met een focus op Europese klanten. Cursor is een AI-ondersteunde code-editor van Anysphere, Inc., die opereert vanuit VS-infrastructuur. Cursor 2.0 werd uitgebracht in 2025 en introduceert multi-agent mogelijkheden en Ghost Mode (volledig lokale verwerking zonder internetverbinding). Cursor heeft een geanticipeerde omzet run rate van meer dan $2 miljard per jaar (gemeld begin maart 2026) en meer dan 1 miljoen dagelijkse actieve gebruikers.
2 Vergelijking van Cursor-abonnementen (EU-focus)
| Abonnement | Privacy Mode | Modelretentie | Training op code? | EU-residentie | Compliance | Prijs |
|---|---|---|---|---|---|---|
| Hobby | ❌ Niet beschikbaar | ⚠️ Standaardbeleid (30 dagen) | ⚠️ Ja | ❌ Nee (VS-infrastructuur) | Basis | Gratis |
| Pro | ⚠️ Optioneel | ⚠️ Niet hetzelfde als Teams; aanbieders bewaren tot 30 dagen | ✅ Nee (indien ingeschakeld) | ❌ Nee (VS-infrastructuur) | SOC 2 Type II | $20/maand (inclusief maandelijks creditbudget van $20) |
| Pro+ | ⚠️ Optioneel | ⚠️ Niet hetzelfde als Teams; aanbieders bewaren tot 30 dagen | ✅ Nee (indien ingeschakeld) | ❌ Nee (VS-infrastructuur) | SOC 2 Type II | $60/maand (inclusief maandelijks creditbudget van $60) |
| Ultra | ⚠️ Optioneel | ⚠️ Niet hetzelfde als Teams; aanbieders bewaren tot 30 dagen | ✅ Nee (indien ingeschakeld) | ❌ Nee (VS-infrastructuur) | SOC 2 Type II | $200/maand (inclusief maandelijks creditbudget van $200) |
| Teams | ✅ Verplicht | ✅ Nul-retentie (contractueel) | ✅ Nee | ❌ Nee (VS-infrastructuur) | SOC 2 Type II | $40/gebruiker/maand (inclusief creditbudget van $40/gebruiker/maand; min. 5 = $200/maand) |
| Enterprise | ✅ Verplicht | ✅ Nul-retentie (contractueel) | ✅ Nee | ❌ Nee (VS-infrastructuur) | SOC 2 Type II + CMEK | Aangepaste prijsstelling |
Opmerkingen voor Europa
- Privacy Mode (Teams/Enterprise): Verplicht en kan niet worden uitgeschakeld. Nul-retentie contractueel gegarandeerd met modelaanbieders (OpenAI, Anthropic, enz.). Code wordt nooit opgeslagen door modelaanbieders en nooit gebruikt voor training. Let op: het abonnement is hernoemd van "Business" naar "Teams" voor dezelfde prijs van $40/gebruiker/maand.
- Privacy Mode (Pro/Pro+/Ultra): Optioneel en door de gebruiker instelbaar. Wanneer ingeschakeld, wordt code nooit opgeslagen door modelaanbieders en nooit gebruikt voor training. Modelaanbieders kunnen echter nog steeds gegevens tot 30 dagen bewaren — dit biedt niet dezelfde contractuele nul-retentiegaranties als de Teams/Enterprise-abonnementen.
- Versleuteling: TLS 1.2+ in transit; AES-256 in rust.
- Op credits gebaseerde facturering (juni 2025): Cursor maakt nu gebruik van credits voor toegang tot AI-modellen. Claude-modellen kosten circa 2,4 keer meer credits dan GPT-4o. Monitor het creditverbruik om meerkosten te voorkomen.
- Cursor 2.0-functies: Multi-agent orkestratie en Ghost Mode (volledig lokaal, zonder internet - geen AI-functies maar maximale privacy voor gevoelige code) zijn beschikbaar in Cursor 2.0.
- Ghost Mode: Volledig lokale modus zonder netwerkverbindingen. Geschikt voor het beoordelen van sterk gevoelige of vertrouwelijke code zonder dat gegevens het apparaat verlaten.
- Infrastructuur: Alle Cursor-verwerking vindt plaats in VS-infrastructuur beheerd door Anysphere, Inc. Geen EU-gegevensresidentie beschikbaar.
- Backend-routing: Alle verzoeken worden via de VS-backend van Cursor gerouteerd voor de definitieve promptopbouw, ook wanneer u uw eigen API-sleutels gebruikt (OpenAI, Anthropic, enz.).
- Codebase-indexering: Bij het indexeren van uw codebase wordt leesbare code in blokken geüpload om embeddings te berekenen, maar wordt verwijderd na de aanvraagcyclus. Alleen embeddings en metadata (hashes, geanonimiseerde bestandsnamen) worden opgeslagen; er blijft geen code-inhoud bewaard.
- Prijzen: Vermeld in USD. Geen EUR-specifieke prijzen beschikbaar. Abonnementen: Pro $20/maand, Pro+ $60/maand, Ultra $200/maand, Teams $40/gebruiker/maand, Enterprise aangepast. Alle betaalde abonnementen bevatten een maandelijks creditbudget gelijk aan de abonnementsprijs in dollars. Jaarlijkse facturering bespaart 20%. Teams-abonnement vereist minimaal 5 seats ($200/maand minimum). CMEK (Customer Managed Encryption Keys) beschikbaar voor Enterprise.
3 Is Cursor GDPR-compliant?
Kort antwoord: Cursor kan GDPR-compliance ondersteunen, maar vereist het Teams- of Enterprise-abonnement en het accepteren van uitsluitend VS-infrastructuur zonder EU-gegevensresidentie.
Wat van toepassing is op alle abonnementen (met Privacy Mode ingeschakeld):
- Nul training - Code wordt nooit gebruikt om Cursor's modellen of LLM's van derden te trainen.
- Nul-retentie bij modelaanbieders - Prompts/aanvullingen worden niet opgeslagen door OpenAI, Anthropic, enz.
- Codebase-indexering - Alleen embeddings/metadata opgeslagen; geen leesbare code.
Wat abonnementsafhankelijk is:
- Teams/Enterprise-abonnementen: Privacy Mode verplicht (kan niet worden uitgeschakeld), nul-retentiecontracten met modelaanbieders. Enterprise biedt aanvullend CMEK.
- Pro/Pro+/Ultra-abonnementen: Privacy Mode optioneel, biedt niet dezelfde nul-retentiegaranties zelfs wanneer ingeschakeld. Aanbieders kunnen gegevens tot 30 dagen bewaren.
Infrastructuurbeperkingen (alle abonnementen):
- Geen EU-gegevensresidentie - Alle verwerking/opslag in de VS.
- Backend-routing - Alle verzoeken (ook met eigen API-sleutels) via Cursor VS-backend gerouteerd.
Wat dit in de praktijk betekent:
- Niet-gevoelige ontwikkeling: Pro-abonnement met Privacy Mode kan aanvaardbaar zijn met de juiste waarborgen (DPA, SCCs, DPIA). Let op: aanbieders kunnen nog steeds tot 30 dagen gegevens bewaren, ook met Privacy Mode ingeschakeld.
- Gereguleerde sectoren (gezondheidszorg, financiën, publieke sector): Teams-abonnement vereist, maar VS-infrastructuur kan nog steeds compliance-uitdagingen opleveren.
- Strengste GDPR-vereisten (datalokaliseringsmandaten): Cursor voldoet mogelijk niet aan de vereisten vanwege uitsluitend VS-infrastructuur. Overweeg Ghost Mode voor het beoordelen van gevoelige code lokaal.
Opmerking voor inkopers: Teams/Enterprise = GDPR-capabel met voorbehouden (VS-infrastructuur, geen EU-residentie); Pro/Pro+/Ultra = Hoger residueel risico (tot 30 dagen bewaring door aanbieder, ook met Privacy Mode).
4 Details per abonnement
Cursor Hobby (Gratis)
- Privacy Mode: Niet beschikbaar.
- Gegevensverzameling: Telemetrie, gebruiksdata, codefragmenten verzameld om Cursor te verbeteren. Code kan worden gebruikt voor training.
- Wanneer te gebruiken: Persoonlijke projecten, leren, niet-commercieel gebruik.
- Wanneer niet te gebruiken: Commerciële ontwikkeling of eigen codebases.
Cursor Pro
- Privacy Mode: Optioneel (gebruiker moet dit handmatig inschakelen). Wanneer ingeschakeld, wordt code nooit opgeslagen door modelaanbieders en nooit gebruikt voor training.
- Belangrijke beperking: Zelfs met Privacy Mode ingeschakeld, biedt dit niet dezelfde nul-retentiegaranties als het Teams/Enterprise-abonnement. Aanbieders kunnen gegevens tot 30 dagen bewaren.
- Prijs: $20/maand (inclusief maandelijks creditbudget van $20; jaarlijkse facturering bespaart 20%).
- Wanneer te gebruiken: Individuele ontwikkelaars op niet-gereguleerde projecten.
- Wanneer niet te gebruiken: Gereguleerde sectoren, klant-NDA's, contractuele nul-retentievereisten.
Cursor Pro+
- Privacy Mode: Optioneel (gebruiker moet dit handmatig inschakelen). Wanneer ingeschakeld, wordt code nooit opgeslagen door modelaanbieders en nooit gebruikt voor training.
- Belangrijke beperking: Zelfde residueel risico als Pro — geen contractuele nul-retentiegaranties, ook niet met Privacy Mode ingeschakeld.
- Prijs: $60/maand (inclusief maandelijks creditbudget van $60; jaarlijkse facturering bespaart 20%).
- Wanneer te gebruiken: Intensieve gebruikers met hogere creditlimieten op niet-gereguleerde projecten.
- Wanneer niet te gebruiken: Gereguleerde sectoren, klant-NDA's, contractuele nul-retentievereisten.
Cursor Ultra
- Privacy Mode: Optioneel (gebruiker moet dit handmatig inschakelen). Wanneer ingeschakeld, wordt code nooit opgeslagen door modelaanbieders en nooit gebruikt voor training.
- Belangrijke beperking: Zelfde residueel risico als Pro/Pro+ — geen contractuele nul-retentiegaranties, ook niet met Privacy Mode ingeschakeld.
- Prijs: $200/maand (inclusief maandelijks creditbudget van $200; jaarlijkse facturering bespaart 20%).
- Wanneer te gebruiken: Intensieve individuele gebruikers op niet-gereguleerde projecten.
- Wanneer niet te gebruiken: Gereguleerde sectoren, klant-NDA's, contractuele nul-retentievereisten.
Cursor Teams (voorheen Business)
- Privacy Mode: Verplicht (kan niet worden uitgeschakeld). Code wordt nooit opgeslagen door modelaanbieders en nooit gebruikt voor training.
- Modelretentie: Nul-retentie contractueel gegarandeerd met OpenAI, Anthropic en andere aanbieders.
- Codebase-indexering: Leesbare code verwijderd na berekening van embeddings; alleen embeddings/metadata opgeslagen.
- Beheerderscontroles: Gecentraliseerde facturering, gebruikersbeheer, gebruiksanalytics.
- Compliance: SOC 2 Type II gecertificeerd. DPA beschikbaar op aanvraag.
- Prijs: $40/gebruiker/maand (inclusief creditbudget van $40/gebruiker/maand; minimaal 5 seats = $200/maand; jaarlijkse facturering bespaart 20%). Op credits gebaseerde facturering voor AI-modellen; Claude-modellen kosten ca. 2,4 keer meer credits dan GPT-4o.
- Cursor 2.0-functies: Multi-agent workflows en Ghost Mode (volledig lokaal, zonder internet) beschikbaar.
Cursor Enterprise
- Privacy Mode: Verplicht (kan niet worden uitgeschakeld). Code wordt nooit opgeslagen door modelaanbieders en nooit gebruikt voor training.
- Modelretentie: Nul-retentie contractueel gegarandeerd bij alle modelaanbieders.
- Versleuteling: TLS 1.2+ in transit, AES-256 in rust. CMEK (Customer Managed Encryption Keys) beschikbaar voor maximale gegevenssoevereiniteit.
- Beheerderscontroles: Geavanceerde SSO, auditlogs, gecentraliseerde facturering en gebruikersbeheer.
- Compliance: SOC 2 Type II gecertificeerd. DPA beschikbaar. CMEK voor sleutelbeheercontrole.
- Prijs: Aangepast (contact opnemen via enterprise@cursor.com).
- Wanneer te gebruiken: Grote organisaties met strenge beveiligings-, compliance- of sleutelbeheersvereisten.
5 Gegevensverwerkingsstroom
Gebruikersprompt/code in editor
↓
Cursor-backend (VS-gebaseerd)
├─ Definitieve promptopbouw
├─ (Optioneel) Codebase-indexering → embeddings opgeslagen, leesbare code verwijderd
├─ LLM-aanroep (OpenAI, Anthropic, enz.)
│ ├─ Teams/Enterprise: nul-retentie bij aanbieder (contractueel)
│ └─ Pro/Pro+/Ultra (Privacy Mode): code niet opgeslagen/getraind, maar NIET dezelfde contractuele garantie
└─ Antwoord geretourneerd aan editor
*Alle verzoeken worden via Cursor-backend gerouteerd, ook met eigen API-sleutels*
6 Aanbevelingen (GDPR-first)
- Voor zakelijke verwerking van eigen code: geef de voorkeur aan Cursor Teams voor verplichte Privacy Mode en contractuele nul-retentie. Voor organisaties die sleutelbeheercontrole vereisen, voegt Cursor Enterprise CMEK toe.
- Voor gereguleerde gegevens (gezondheidszorg, financiën, publieke sector): voer een DPIA en Transfer Impact Assessment (TIA) uit om VS-verwerkingsrisico's te beoordelen onder GDPR Hoofdstuk V. Vraag een DPA met SCCs aan via enterprise@cursor.com.
- Voor maximale lokale privacy: gebruik Ghost Mode (Cursor 2.0) voor het beoordelen van sterk gevoelige code zonder netwerkverbindingen.
- Voor strengste datalokaliseringsvereisten: Cursor is mogelijk niet geschikt vanwege uitsluitend VS-infrastructuur. Ghost Mode biedt een alternatief voor puur code-beoordelingsscenario's.
- Gebruik Pro, Pro+, Ultra of Hobby-abonnementen niet voor klantprojecten onder NDA of gereguleerde workloads. Privacy Mode op deze abonnementen staat nog steeds tot 30 dagen bewaring door aanbieders toe zonder contractuele garanties.
- Monitor creditverbruik - Claude-modellen kosten 2,4 keer meer credits; stel bestedingslimieten in via de Teams-beheerconsole.
7 EU-implementatiechecklist (Praktisch)
- Kies Teams-abonnement (voorheen Business) - Voor verplichte Privacy Mode en nul-retentie. Voor sleutelbeheersvereisten, overweeg Enterprise (voegt CMEK toe).
- Voer DPIA & TIA uit - Documenteer VS-verwerkingsrisico's (GDPR Hoofdstuk V); bepaal of SCCs + aanvullende maatregelen toereikend zijn. Voor bijzondere categoriegegevens of strikte lokaliseringsmandaten is Cursor mogelijk niet geschikt.
- Sluit contracten af - Vraag een DPA met SCCs aan en onderteken deze (enterprise@cursor.com); voeg expliciete nul-retentie- en geen-trainingsclausules toe.
- Configureer controles - Verifieer dat Privacy Mode verplicht is ingesteld; informeer ontwikkelaars over veilige werkwijzen (geen API-sleutels, inloggegevens of persoonsgegevens in prompts).
- Verwerking van gevoelige gegevens - Neem geen GDPR Art. 9 bijzondere categorieën op in prompts. Gebruik
.cursorrulesom gevoelige bestanden uit te sluiten van indexering.
8 Snelle antwoorden voor inkoop (EU)
Wordt mijn code gebruikt om Cursor's modellen te trainen?
Met Privacy Mode ingeschakeld (verplicht bij Teams/Enterprise; optioneel bij Pro/Pro+/Ultra): nee. Code wordt nooit opgeslagen door modelaanbieders en nooit gebruikt voor training.
Kunnen wij EU-data at rest in de EU bewaren?
Nee. Cursor opereert uitsluitend vanuit VS-infrastructuur; geen EU-gegevensresidentie beschikbaar.
Wat is het verschil tussen Pro/Pro+/Ultra en Teams Privacy Mode?
- Pro/Pro+/Ultra: Optioneel; wanneer ingeschakeld, wordt code nooit opgeslagen door modelaanbieders en nooit gebruikt voor training — maar aanbieders kunnen nog steeds gegevens tot 30 dagen bewaren zonder contractuele nul-retentiegaranties.
- Teams (voorheen Business): Verplicht; nul-retentie contractueel gegarandeerd bij alle modelaanbieders.
- Enterprise: Gelijk aan Teams, plus CMEK voor door klanten beheerde versleutelingssleutels.
Hoe lang bewaren modelaanbieders code?
- Teams/Enterprise: 0 dagen (nul-retentie, contractueel)
- Pro/Pro+/Ultra (Privacy Mode): Tot 30 dagen - geen contractuele nul-retentiegarantie
- Hobby: Standaardbeleid (doorgaans 30 dagen)
Wat betreft codebase-indexering?
Leesbare code verwijderd na berekening van embeddings. Alleen embeddings en metadata (hashes, geanonimiseerde bestandsnamen) opgeslagen.
Welke compliance-standaarden worden gehanteerd?
SOC 2 Type II gecertificeerd. SOC 2-rapport beschikbaar op trust.cursor.com (vereist aanvraag).
Worden alle verzoeken via de Cursor-backend gerouteerd?
Ja. Zelfs met uw eigen API-sleutels worden alle verzoeken via de VS-backend van Cursor gerouteerd voor promptopbouw.
9 Opmerkingen en voorbehouden
- VS-infrastructuur: Alle verwerking in de VS; kan problematisch zijn voor strikte lokalisatievereisten.
- Backend-afhankelijkheid: Alle verzoeken worden via Cursor-backend gerouteerd, ook met eigen API-sleutels.
- Pro/Pro+/Ultra Privacy Mode: Optioneel; wanneer ingeschakeld, wordt code nooit opgeslagen door modelaanbieders en nooit gebruikt voor training. Biedt niet dezelfde contractuele nul-retentie als Teams/Enterprise-abonnementen. Aanbieders kunnen gegevens tot 30 dagen bewaren.
- Hernoemde abonnement: "Business" is hernoemd naar "Teams" - zelfde prijs van $40/gebruiker/maand.
- CMEK: Customer Managed Encryption Keys beschikbaar op Enterprise-abonnement voor organisaties die sleutelbeheerssoevereiniteit vereisen.
- Versleuteling: TLS 1.2+ in transit; AES-256 in rust (alle abonnementen).
- Omzetmijlpaal: Cursor heeft een geanticipeerde omzet run rate van meer dan $2 miljard bereikt (gemeld begin maart 2026).
- Op credits gebaseerde facturering: Geïntroduceerd in juni 2025. Claude-modellen kosten ca. 2,4 keer meer credits dan GPT-4o. Monitor het verbruik via de beheerconsole.
- Ghost Mode: Volledig lokale modus (Cursor 2.0) zonder netwerkverbindingen - geen AI-aanvullingen, maar maximale privacy voor gevoelige code.
- Beperkte publieke documentatie: Vraag DPA en privacydetails op via enterprise@cursor.com.
- GDPR Hoofdstuk V-overdrachten: EU-klanten dienen een Transfer Impact Assessment (TIA) uit te voeren en aanvullende maatregelen te implementeren naast SCCs.
10 Disclaimer
Dit overzicht is uitsluitend bedoeld als informatiemiddel. Wij adviseren klanten nadrukkelijk om alle Data Processing Agreements (DPA's) en privacydocumentatie grondig door te lezen voordat Cursor in productieomgevingen wordt ingezet - met name wanneer eigen of gevoelige code wordt verwerkt. WAIMAKERS past dit beginsel zelf ook toe; alle tools die wij gebruiken zijn grondig beoordeeld en opgenomen in onze eigen privacy- en beveiligingsdocumentatie. Klanten dienen altijd zorgvuldig de officiële documentatie, voorwaarden en DPA's van elke AI-aanbieder te beoordelen. WAIMAKERS kan niet wettelijk aansprakelijk worden gesteld voor fouten, onjuistheden, of voor de juistheid, actualiteit of volledigheid van de informatie in dit document; de uiteindelijke verantwoordelijkheid voor GDPR-compliance ligt bij de klant.
Opgesteld en uitgegeven door WAIMAKERS B.V. - maart 2026.
Referenties
- Cursor Privacy Overview - https://cursor.com/privacy-overview
- Cursor Privacybeleid - https://cursor.com/privacy
- Cursor Beveiliging & Compliance - https://www.cursor.com/en/security
- SOC 2-rapport - https://trust.cursor.com (vereist aanvraag)