Beveiliging & Privacy
bij ISMS Copilot
Wij bouwen compliance-tools voor beveiligingsprofessionals. Dat betekent dat uw gegevensbeveiliging niet zomaar een functie is — het is ons fundament.
Volledige AVG-naleving met beschikbare verwerkersovereenkomst
Volledige EU-dataresidentie met Geavanceerde Bescherming
Infrastructuurproviders (AWS, Supabase) beschikken over SOC 2 Type II attestaties
Beveiligingspraktijken
Hoe wij uw compliancegegevens beschermen
Versleuteling tijdens transport
Alle verbindingen beveiligd met TLS 1.3. Geen onversleutelde gegevens verlaten uw browser.
Versleuteling in rust
AES-256-versleuteling voor alle opgeslagen gegevens. Database en bestandsopslag standaard versleuteld.
Row-Level Security
Toegangsisolatie op databaseniveau. Gebruikers hebben alleen toegang tot hun eigen gegevens.
EU-datacenter
Primaire infrastructuur gehost in Frankfurt, Duitsland (AWS EU-Central-1). Gegevens blijven in de EU.
SOC 2 Type II Infrastructuur
Gebouwd op Supabase en AWS, beide met SOC 2 Type II attestatie. Enterprise-beveiliging standaard.
Geen AI-training
Uw gegevens worden nooit gebruikt voor het trainen van AI-modellen. Alle AI-providers zijn contractueel gebonden.
PII-redactie
Ingebouwde PII-redactie verwijdert automatisch gevoelige persoonsgegevens voordat ze AI-providers bereiken.
Dataresidentie
Kies waar uw gegevens worden verwerkt
Standaardmodus
- DatabaseEUEU (Frankfurt)
- BestandsopslagEUEU (Frankfurt)
- AI-verwerkingUSAnthropic, OpenAI, xAI, Gemini
- AI-bewaring30 dagen
- ContentmoderatieEUMistral AI
- AI-failoverEUMistral AI (EU)
- GegevenswaarborgenStandaard Contractuele Clausules
Geavanceerde Gegevensbescherming
- DatabaseEUEU (Frankfurt)
- BestandsopslagEUEU (Frankfurt)
- AI-verwerkingEUAlleen Mistral AI
- AI-bewaringGeen bewaring
- ContentmoderatieEUMistral AI
- AI-failoverEUMistral AI (EU)
- US-gegevensoverdrachtenGeëlimineerd
Database en bestandsopslag worden altijd gehost in de EU (Frankfurt, Duitsland), ongeacht de geselecteerde modus.
Gemarkeerde inhoud kan tot 1 jaar worden bewaard voor veiligheidscontrole, ongeacht de modus.
E-mailadressen worden in alle modi verwerkt door SendGrid en Kit (VS) met Standaard Contractuele Clausules.
Subverwerkers
Externe diensten die gegevens namens ons verwerken
| Dienst | Doel | Locatie | Bewaring |
|---|---|---|---|
| Supabase | Database & Authentication | EUEU (Frankfurt, Germany) | User-controlled |
| AWS | Infrastructure | EUEU (Frankfurt, Germany) | User-controlled |
| Anthropic (Claude) | AI Processing (Default) | USUnited States | 30 days |
| OpenAI | AI Processing (Alternative) | USUnited States | 30 days |
| xAI (Grok) | AI Processing (Alternative) | USUnited States | 30 days |
| Google Gemini | AI Processing (Alternative) | USUnited States | 30 days |
| Mistral AI | AI Processing, Content Moderation & Failover | EUEuropean Union | Zero retention |
| Fly.io | Chat API Service | EUEU-based deployment | 7 days (logs) |
| ConvertAPI | Document Format Conversion (ISO 27001:2022) | EUEU (Frankfurt) | Temporary (in-memory) |
| Stripe | Payment Processing | USUnited States | Per Stripe policy (PCI DSS Level 1) |
| PostHog | Product Analytics | EUEU (Frankfurt) | Up to 7 years (anonymized) |
| Sentry | Error Tracking & Monitoring | EUGermany | 90 days |
| Vercel | Web Hosting & Analytics | EUEU (Frankfurt) | Per Vercel policy |
| SendGrid (Twilio) | Legal Update Emails | USUnited States | Until account deletion or unsubscribe |
| Kit (ConvertKit) | Onboarding & Product Emails | USUnited States | Until account deletion or unsubscribe |
Laatst bijgewerkt: maart 2026 · Wij informeren 30 dagen van tevoren over nieuwe subverwerkers.
Juridische Documenten
Transparantiedocumentatie beschikbaar ter inzage