Beveiliging & Privacy
bij ISMS Copilot
Wij bouwen compliance-tools voor beveiligingsprofessionals. Dat betekent dat uw gegevensbeveiliging niet zomaar een functie is — het is ons fundament.
Volledige AVG-naleving met beschikbare verwerkersovereenkomst
Volledige EU-dataresidentie met Geavanceerde Bescherming
Infrastructuurproviders (AWS, Supabase) beschikken over SOC 2 Type II attestaties
Beveiligingspraktijken
Hoe wij uw compliancegegevens beschermen
Versleuteling tijdens transport
Alle verbindingen beveiligd met TLS 1.3. Geen onversleutelde gegevens verlaten uw browser.
Versleuteling in rust
AES-256-versleuteling voor alle opgeslagen gegevens. Database en bestandsopslag standaard versleuteld.
Row-Level Security
Toegangsisolatie op databaseniveau. Gebruikers hebben alleen toegang tot hun eigen gegevens.
EU-datacenter
Primaire infrastructuur gehost in Frankfurt, Duitsland (AWS EU-Central-1). Gegevens blijven in de EU.
SOC 2 Type II Infrastructuur
Gebouwd op Supabase en AWS, beide met SOC 2 Type II attestatie. Enterprise-beveiliging standaard.
Geen AI-training
Uw gegevens worden nooit gebruikt voor het trainen van AI-modellen. Alle AI-providers zijn contractueel gebonden.
PII-redactie
Ingebouwde PII-redactie verwijdert automatisch gevoelige persoonsgegevens voordat ze AI-providers bereiken.
Dataresidentie
Kies waar uw gegevens worden verwerkt
Standaardmodus
- DatabaseEUEU (Frankfurt)
- BestandsopslagEUEU (Frankfurt)
- AI-verwerkingUSAnthropic Claude (direct) en OpenRouter → Inceptron / DeepInfra / Cerebras / Google Vertex (allowlist + ZDR)
- AI-bewaring30 dagen
- ContentmoderatieEUMistral AI
- AI-failoverEUMistral AI (EU)
- GegevenswaarborgenStandaard Contractuele Clausules
Geavanceerde Gegevensbescherming
- DatabaseEUEU (Frankfurt)
- BestandsopslagEUEU (Frankfurt)
- AI-verwerkingEUAlleen Mistral AI
- AI-bewaringGeen bewaring
- ContentmoderatieEUMistral AI
- AI-failoverEUMistral AI (EU)
- US-gegevensoverdrachtenGeëlimineerd
Database en bestandsopslag worden altijd gehost in de EU (Frankfurt, Duitsland), ongeacht de geselecteerde modus.
Moderatiemetadata worden 12 maanden bewaard voor veiligheidsbeoordeling (geen berichtinhoud). Threads met gemarkeerde berichten zijn vergrendeld tegen gebruikersverwijdering. Zie DPA §2.8.
E-mailadressen worden in alle modi verwerkt door SendGrid en Kit (VS) met Standaard Contractuele Clausules.
Subverwerkers
Externe diensten die gegevens namens ons verwerken
| Dienst | Doel | Locatie | Bewaring |
|---|---|---|---|
| Supabase | Database & Authentication | EUEU (Frankfurt, Germany) | User-controlled |
| AWS | Infrastructure | EUEU (Frankfurt, Germany) | User-controlled |
| Anthropic (Claude) | AI Processing (default routing, ADP off) | USUnited States | 30 days (abuse monitoring only, not training) |
| OpenRouter | Routing aggregator (ADP off) — routes only to the four allowlisted underlying providers below; mandatory Zero Data Retention enforced at account level | USUnited States | Zero retention (mandatory at OpenRouter account level) |
| ↳ Inceptron | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ DeepInfra | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Cerebras | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Google Vertex | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| Mistral AI | AI Processing (ADP), content moderation, failover, conversation summaries | EUEU (Frankfurt) | Zero retention |
| Fly.io | Chat API Service | EUEU-based deployment | 7 days (logs) |
| ConvertAPI | Document Format Conversion (ISO 27001:2022) | EUEU (Frankfurt) | Zero retention (in-memory only) |
| Stripe | Payment Processing | USUnited States | Per Stripe policy (PCI DSS Level 1) |
| PostHog | Product Analytics | EUEU (Frankfurt) | Up to 7 years (anonymized) |
| Sentry | Error Tracking & Monitoring | EUGermany | Up to 90 days (PII-scrubbed, no IP stored) |
| Vercel | Web Hosting & Analytics | EUEU (Frankfurt) | Anonymized (cookieless) |
| SendGrid (Twilio) | Legal Update Emails | USUnited States | Until account deletion or unsubscribe |
| Kit (ConvertKit) | Onboarding & Product Emails | USUnited States | Until account deletion or unsubscribe |
Door de klant geactiveerde integraties
Actief voor uw gegevens alleen wanneer uw organisatie ze installeert.
| Dienst | Doel | Locatie | Bewaring |
|---|---|---|---|
| Slack Technologies, Inc. | heygrc bot — receives messages addressed to the bot, posts AI responses back. Activated only when a paid-organization owner installs from the Connectors page; uninstall hard-deletes integration records. | USUnited States | Active while integration installed |
Laatst bijgewerkt: april 2026 · 30 dagen vooraankondiging voor het toevoegen van nieuwe subverwerkers. Door de klant geactiveerde integraties zijn niet onderworpen aan deze regel omdat er geen gegevens stromen totdat uw organisatie ze expliciet installeert.
Inhoud van derden
Open-source- en Creative Commons-inhoud die in het platform is opgenomen, met vermelding van de oorspronkelijke beheerders.
Skill SOC 2-rapportbeoordeling
Bewerkt het SOC 2 Reliability Rubric, beheerd door het SOC 2 Quality Guild. De taxonomie van 11 signalen en de pijlers Structure / Substance / Source zijn afkomstig uit het rubric van het Guild; de chatworkflow, oordelen en scorecard zijn de bewerking van dit project. Overeenkomstig CC BY-SA 4.0 §3(b)(1) wordt deze bewerking ook onder CC BY-SA 4.0 gepubliceerd.
Juridische Documenten
Transparantiedocumentatie beschikbaar ter inzage
Verwerkersovereenkomst
DPA conform AVG artikel 28
Privacybeleid
Hoe wij uw gegevens verzamelen, gebruiken en beschermen
Gebruiksvoorwaarden
Voorwaarden voor het gebruik van ISMS Copilot
Register van Verwerkingsactiviteiten
Volledig RvV met alle gegevensverwerkingen
Naleving van intellectueel eigendom
Hoe wij normen aanschaffen, IE-rechten in onze AI-begeleiding beschermen en inhoud van derden vermelden
Wijzigingslogboek juridische documenten
Cumulatief overzicht van revisies van onze juridische documenten