Ga naar hoofdinhoud
WAIMAKERS
Over onsCarrièresContact
|
Plan een gesprek
Terug naar overzicht

Lovable

Lovable Labs

CompliantEU: AvailableNo TrainingCustomMulti-region

Zakelijk Abonnement

$25/mo (Pro), $50/mo (Business) - billed in USD

Enterprise Functies

EU/US/AU hosting regions, ISO 27001:2022, SOC 2 Type II, SAML/OIDC SSO, SCIM, DPO appointed

Laatst bijgewerkt

March 23, 2026

Lovable - GDPR & Gegevensprivacy Overzicht voor Europese Klanten

Versie: maart 2026 - opgesteld door WAIMAKERS B.V.

1 Doel

Dit overzicht legt uit hoe Lovable (Free, Pro, Teams, Enterprise) omgaat met gegevens in relatie tot de GDPR, met de nadruk op Europese klanten. Lovable is een AI-gestuurd platform van Lovable Labs Incorporated (Delaware, USA / Stockholm, Zweden) waarmee gebruikers via natuurlijke-taalprompten volledige webapplicaties kunnen bouwen.

2 Vergelijking van Lovable-niveaus (EU-focus)

Niveau Training op uw gegevens? Gegevensbewaring EU-residentie Compliance Prijs
Free ✅ Niet gebruikt voor training (alle abonnementen) 90 dagen logs, 30 dagen na beëindiging ✅ EU selecteerbaar SOC 2 Type II, ISO 27001:2022 $0 (5 credits/dag, publieke projecten)
Pro ✅ Niet gebruikt voor training (alle abonnementen) 90 dagen logs, 30 dagen na beëindiging ✅ EU selecteerbaar SOC 2 Type II, ISO 27001:2022 $25/maand (100 credits, privéprojecten)
Business ✅ Niet gebruikt voor training (alle abonnementen) 90 dagen logs, 30 dagen na beëindiging ✅ EU selecteerbaar SOC 2 Type II, ISO 27001:2022 $50/maand (SSO, gedeelde werkruimtes)
Enterprise ✅ Niet gebruikt voor training (alle abonnementen) Maatwerk ✅ EU selecteerbaar SOC 2 Type II, ISO 27001:2022, DPA met SCCs Aangepaste prijsstelling

Aandachtspunten voor Europa

  • Trainingsbeleid: Klantprompts, code en werkruimtegegevens worden niet gebruikt om Lovable-modellen te trainen. Dit geldt voor alle abonnementen zonder dat een opt-out aanvraag nodig is.
  • AI-providers van derden: OpenAI, Anthropic en Google Gemini opereren onder contractuele beperkingen voor datatraining en -bewaring. Zij trainen niet op klantgegevens die via Lovable worden verwerkt.
  • EU-hosting: Gegevens blijven in de regio die u selecteert (EU, US of AU) en worden niet verplaatst tussen regio's. EU-gegevens blijven in EU-infrastructuur.
  • Beveiliging: SAML/OIDC (Okta, Azure AD, Google), SCIM-provisioning, geautomatiseerde kwetsbaarheidsscanners, WAF, multi-tenant architectuur met logische isolatie.
  • DPO: Data Protection Officer aangesteld via dpo@lovable.dev.
  • Security Checker 2.0 (aug. 2025): Lovable lanceerde Security Checker 2.0 nadat 170+ apps met blootgestelde inloggegevens werden ontdekt. De tool scant projecten automatisch op databasemisconfiguraties en blootgestelde API-sleutels.
  • Lovable 2.0 / Chat Mode: Lovable lanceerde Lovable 2.0 met Chat Mode en AI-agents, waarmee het platform verder gaat dan codegeneratie.
  • Gegevensbewaring:
    • Loggegevens: 90 dagen
    • Klantgegevens: 30 dagen na accountbeëindiging
    • Back-ups: tot 365 dagen
    • Servicegegevens: bewaard voor legitieme bedrijfsdoeleinden
  • DPA beschikbaarheid: Verwerkersovereenkomst met EU Standard Contractual Clauses, VK-addendum en Zwitsers addendum beschikbaar via lovable.dev/data-processing-agreement
  • Prijsstelling: Globale prijsstelling in USD.

3 Is Lovable GDPR-Compliant?

Kort antwoord: ✅ Compliant. Lovable biedt nu EU-gegevensresidentie, traint niet op klantgegevens voor alle abonnementen, beschikt over ISO 27001:2022 en SOC 2 Type II-certificeringen en biedt een DPA met EU-SCCs. Dit is een aanzienlijke verbetering ten opzichte van de eerdere situatie.

Van toepassing op alle abonnementen:

  • Geen training op klantgegevens - Klantprompts, code en werkruimtegegevens worden op geen enkel abonnement gebruikt om Lovable-modellen te trainen
  • EU-gegevensresidentie - Kies EU-, US- of AU-hosting; gegevens blijven in de geselecteerde regio
  • DPA met EU-SCCs - Verwerkersovereenkomst met Standard Contractual Clauses (Module 2: Controller-naar-Processor), VK-addendum en Zwitsers addendum beschikbaar
  • Sterke certificeringen - ISO 27001:2022 en SOC 2 Type II bevestigd
  • Transparante subverwerkers - Volledige lijst op trust.lovable.dev, inclusief OpenAI, Anthropic, Google Gemini, AWS, Supabase
  • Meldingsplicht bij inbreuk - Toezegging van melding binnen 72 uur
  • DPO aangesteld - Contact via dpo@lovable.dev

Afhankelijk van het abonnement:

  • Maatwerk bewaring - Enterprise kan bewaringstermijnen onderhandelen
  • Verbeterde contractuele bescherming - Robuustere SLA-garanties, meldingen bij wijzigingen in subverwerkers en on-premise opties op Enterprise-niveau
  • SSO/SCIM - SAML/OIDC en SCIM-provisioning beschikbaar; controleer de toepasselijkheid per niveau met Lovable

Wat dit in de praktijk betekent:

  • Voor niet-gevoelige ontwikkelprojecten: Free of Pro is geschikt met geselecteerde EU-hosting
  • Voor bedrijfseigen code of EU-persoonsgegevens: Pro of Teams met geselecteerde EU-hosting en uitgevoerde DPA
  • Voor gereguleerde sectoren (financiën, zorg, overheid): Enterprise aanbevolen voor volledige contractuele bescherming en aangepaste controles

Aandachtspunt voor inkopers: Lovable is nu geschikt voor EU-organisaties op alle abonnementsniveaus, mits (1) EU-regio is geselecteerd bij het instellen van de werkruimte, (2) DPA met SCCs is uitgevoerd, en (3) geen strengere sectorspecifieke beperkingen van toepassing zijn.

4 Details per Aanbieding

Free Plan ($0)

  • Training: Niet gebruikt voor training op enig abonnement
  • Gegevensverzameling: Prompts, gegenereerde code, projectartefacten, gebruikstelemetrie, IP-adressen
  • Bewaring: 90 dagen (logs), 30 dagen na beëindiging (klantgegevens), 365 dagen (back-ups)
  • Prijs: Gratis (5 credits/dag, uitsluitend publieke projecten)
  • Wanneer te gebruiken: Leren, publieke open-sourceprojecten, niet-gevoelig experimenteren met geselecteerde EU-hosting
  • Wanneer niet te gebruiken: Bedrijfseigen code of EU-persoonsgegevens waarvoor een contractuele DPA vereist is (gebruik Pro of hoger)

Pro Plan ($25/maand)

  • Training: Niet gebruikt voor training op enig abonnement
  • Functies: 100 credits/maand, privéprojecten, aangepaste domeinen, prioritaire ondersteuning, EU-hosting selecteerbaar
  • Prijs: $25/maand
  • Wanneer te gebruiken: Individuele ontwikkelaars met privé- of bedrijfseigen projecten; verwerking van EU-persoonsgegevens met uitgevoerde DPA
  • Wanneer niet te gebruiken: Grote teams of organisaties die gedeelde werkruimtes vereisen (gebruik Teams) of geavanceerde contractuele bescherming (gebruik Enterprise)

Business Plan ($50/maand)

  • Training: Niet gebruikt voor training op enig abonnement
  • Functies: Gedeelde werkruimtes, teamsamenwerking, geavanceerde machtigingen, SSO (SAML/OIDC), EU-hosting selecteerbaar
  • Prijs: $50/maand
  • Wanneer te gebruiken: Ontwikkelteams die gedeelde werkruimtes, SSO en EU-datacompliance met uitgevoerde DPA vereisen
  • Wanneer niet te gebruiken: Organisaties die maatwerk-SLA's, aangepaste credits of on-premise opties vereisen (gebruik Enterprise)

Enterprise Plan (Aangepaste Prijsstelling)

  • Training: Niet gebruikt voor training op enig abonnement; uitgebreide gegevensbeheercontroles onderhandelbaar
  • Extra functies: Aangepaste credits, DPA met EU-SCCs/VK/Zwitserse addenda, meldingen bij wijzigingen in subverwerkers, on-premise implementatieopties, SLA-garanties, 24/7 ondersteuning, SCIM-provisioning
  • Compliance: Volledige DPA met Standard Contractual Clauses; ISO 27001:2022; SOC 2 Type II
  • Prijs: Maatwerk (contact opnemen met Lovable Sales)
  • Wanneer te gebruiken: Gereguleerde sectoren, sterk bedrijfseigen ontwikkeling, grote organisaties met strenge inkoopvereisten
  • Wanneer niet te gebruiken: Organisaties met absoluut datalokalisatiebeleid dat uitsluitend on-premise vereist (bevestig implementatiemodel met Lovable)

5 Gegevensverwerkingsstroom

[Gebruiker beschrijft app via natuurlijke-taalprompt]
  ↓
[Lovable Platform — regio naar keuze: EU / US / AU]
  ↓
[AI-verwerkingslaag]
  ├─ OpenAI (contractuele beperkingen: geen training op klantgegevens)
  ├─ Anthropic (contractuele beperkingen: geen training op klantgegevens)
  └─ Google Gemini (contractuele beperkingen: geen training op klantgegevens)
  ↓
[Codegeneratie & Compilatie]
  ├─ Modal Sandboxes (code-uitvoering)
  ├─ GitHub-integratie (optioneel)
  └─ Supabase (database/auth voor Lovable Cloud)
  ↓
[Gegevensresidentie]
  ├─ EU-regio: gegevens blijven in de EU
  ├─ US-regio: gegevens blijven in de VS
  └─ AU-regio: gegevens blijven in Australië
  ↓
[Implementatie]
  ├─ Lovable Cloud (gehost via Supabase/AWS in geselecteerde regio)
  ├─ GitHub-export
  └─ Hosting door derden (Netlify, Vercel, etc.)

*EU-hosting beschikbaar; gegevens worden niet verplaatst tussen regio's*

6 Aanbevelingen (GDPR-first)

  • Selecteer EU-regio bij het instellen van de werkruimte voordat u persoonlijke of bedrijfseigen gegevens uploadt.
  • Sluit een DPA met Standard Contractual Clauses (beschikbaar via lovable.dev/data-processing-agreement).
  • Voor US- of AU-hosting: voer een Transfer Impact Assessment (TIA) uit om overdrachtsrisico's en -waarborgen te documenteren.
  • Gebruik Lovable niet voor bijzondere categorieën persoonsgegevens (Art. 9 GDPR) zonder bevestiging van geschiktheid bij uw DPO.
  • Neem contact op met de Lovable DPO via dpo@lovable.dev voor gegevensbeschermingsvragen.

7 EU-implementatie Checklist (Praktisch)

  1. Selecteer EU-hostingregio - Configureer EU-gegevensresidentie bij het instellen van de werkruimte VOORDAT u gegevens uploadt
  2. DPA met SCCs ondertekenen - Download en onderteken de DPA via lovable.dev/data-processing-agreement
  3. Subverwerkers beoordelen - Controleer de lijst op trust.lovable.dev; abonneer u op meldingen bij wijzigingen
  4. Art. 30-registers bijhouden - Voeg Lovable toe aan verwerkingsregisters; documenteer EU-hosting en SCCs als overdrachtsgronden
  5. SSO/SCIM configureren (Teams/Enterprise) - Stel SAML/OIDC in via Okta, Azure AD of Google voor toegangsbeheer

8 Snelle Antwoorden voor EU-inkoop

Is Lovable GDPR-compliant?

✅ Ja. Lovable biedt EU-gegevensresidentie, traint niet op klantgegevens (alle abonnementen), beschikt over ISO 27001:2022 en SOC 2 Type II, en biedt DPA met EU-SCCs.

Mogen wij het gebruiken voor EU-persoonsgegevens?

✅ Ja, met de juiste instellingen: (1) EU-regio geselecteerd, (2) DPA met SCCs uitgevoerd, (3) gegevens op passende wijze geclassificeerd. Enterprise aanbevolen voor gereguleerde sectoren.

Is er EU-gegevensresidentie?

✅ Ja. EU-, US- en AU-regio's zijn selecteerbaar. Gegevens blijven in de geselecteerde regio en worden niet verplaatst tussen regio's.

Trainen zij op onze gegevens?

✅ Nee. Klantprompts, code en werkruimtegegevens worden niet gebruikt om Lovable-modellen te trainen. Dit geldt voor alle abonnementen. AI-providers van derden (OpenAI, Anthropic, Google Gemini) opereren onder contractuele beperkingen voor datatraining en -bewaring.

Wie is de DPO?

dpo@lovable.dev

Wat zijn de subverwerkers?

AWS, GCP, Fly.io (infrastructuur), OpenAI, Anthropic, Google Gemini (AI), Supabase (database), GitHub, Cloudflare, ClickHouse, PostHog, Sentry. Volledige lijst: trust.lovable.dev

Wat gebeurt er met onze gegevens na beëindiging?

Klantgegevens worden binnen 30 dagen verwijderd; back-ups worden tot 365 dagen bewaard; logs worden 90 dagen bewaard.

9 Aandachtspunten & Voorbehouden

  • Geen training op klantgegevens (alle abonnementen) - In tegenstelling tot het eerdere beleid gebruikt Lovable standaard op geen enkel abonnement meer klantgegevens voor modeltraining. Er is geen opt-out nodig.
  • EU-hosting is opt-in - EU-gegevensresidentie moet worden geselecteerd bij het instellen van de werkruimte. Het is niet de standaardinstelling voor alle accounts; bevestig uw regio-instelling.
  • AI-providers van derden - OpenAI, Anthropic en Google Gemini verwerken AI-verzoeken onder contractuele beperkingen die training op klantgegevens verbieden.
  • Security Checker 2.0 - Gelanceerd in augustus 2025 nadat 170+ door Lovable gebouwde apps met blootgestelde inloggegevens werden ontdekt. Scant automatisch op databasemisconfiguraties en blootgestelde API-sleutels. Relevant voor teams die Lovable-apps in productie uitrollen.
  • Lovable 2.0 (Chat Mode) - AI-agents en Chat Mode geïntroduceerd; vergroot het oppervlak van gegevens die door het platform worden verwerkt.
  • Supabase-integratie - Lovable Cloud gebruikt Supabase voor database/auth; gegevens vallen onder het privacybeleid van Supabase (supabase.com/privacy).
  • AI Gateway pass-through - Bij gebruik van AI Gateway worden prompts rechtstreeks naar externe providers verzonden; Lovable slaat deze niet op, tenzij expliciet opgeslagen.
  • Servicegegevens - Lovable verwerkt gebruiksanalyses, telemetrie en operationele statistieken als onafhankelijke verwerkingsverantwoordelijke voor productontwikkeling.

10 Disclaimer

Dit overzicht is uitsluitend bedoeld als informatief hulpmiddel. Wij adviseren klanten dringend om alle verwerkersovereenkomsten (DPA's) en privacydocumentatie grondig te bestuderen alvorens Lovable in productieomgevingen in te zetten - met name bij de verwerking van EU-persoonsgegevens of bedrijfseigen code. WAIMAKERS past dit principe ook intern toe; alle tools die wij gebruiken zijn grondig beoordeeld en opgenomen in onze eigen privacy- en beveiligingsdocumentatie. Klanten dienen altijd zorgvuldig de officiële documentatie, voorwaarden en DPA's van elke AI-aanbieder die zij gebruiken te evalueren. WAIMAKERS kan niet juridisch aansprakelijk worden gesteld voor fouten, onnauwkeurigheden of voor de juistheid, actualiteit of volledigheid van de informatie in dit document; de uiteindelijke verantwoordelijkheid voor GDPR-compliance berust bij de klant.

Opgesteld en uitgegeven door WAIMAKERS B.V. - maart 2026.

Referenties

  • Lovable - Privacybeleid - https://lovable.dev/privacy
  • Lovable - Verwerkersovereenkomst - https://lovable.dev/data-processing-agreement
  • Lovable - Beveiliging & Compliance - https://lovable.dev/security
  • Lovable - Subverwerkers - https://trust.lovable.dev

Hulp nodig bij AI?

Plan een gesprek
WAIMAKERS

Learn. Lead. Make.

AI Transformation Boutique · Amsterdam

Maak werk inspirerend, maak bedrijven onstuitbaar.

Wie we helpen

Bekijk alle rollen & sectorenCEO's & BestuursledenPE & InvesteringsmanagersCFO's & Financieel LeidersInnovatiedirecteurenCTO's & IT-leidersCommercieel Directeuren

Wat we doen

Bekijk alle servicesOnze aanpakLearnMaatwerktrainingenAI Champions ProgrammaAgentic Way of WorkingE-learningLeadMake

Bedrijf

Over onsKennisbankContactCarrièresPodcast ↗

© 2026 WAIMAKERS. Alle rechten voorbehouden.

PrivacybeleidCookiebeleid