Beveiliging & Trust

Technische maatregelen

• Versleuteling onderweg: HTTPS verplicht met HSTS op alle endpoints; verkeer via TLS.
• Versleuteling in rust: gegevens en back-ups worden versleuteld opgeslagen bij onze infrastructuurpartner.
• Strikte data-isolatie: row-level security in de database, zodat elke gebruiker alleen zijn eigen gegevens kan benaderen.
• Veilige authenticatie: inloggen via Supabase Auth (gehasht met bcrypt) of magic links. Wij slaan nooit wachtwoorden in leesbare vorm op.
• Least-privilege & audit-logging: interne toegang alleen op need-to-know-basis en vastgelegd in een audit-log.
• Beperkte security-headers: o.a. strikt frame-beleid en content-beveiligingsmaatregelen.
• Spraak is vluchtig: audio wordt na transcriptie direct verwijderd; alleen bevestigde teksten worden bewaard.

Waar staat je data?

• Database & opslag: in de EU (Frankfurt, Duitsland).
• Applicatie/hosting: verwerkt in de EU-regio.
• AI-tekstverwerking (Claude): draait in de EU via AWS Bedrock (Frankfurt), dezelfde regio als je database. Jouw data wordt niet gebruikt om modellen te trainen.
• Spraak ↔ tekst (Deepgram): spraakherkenning en voorlezen verlopen via het EU-endpoint van Deepgram (dataresidentie in de EU). Deepgram is van oorsprong een Amerikaanse leverancier; als aanvullende waarborg gelden het EU-VS Data Privacy Framework en standaardcontractbepalingen (SCC's). Jouw audio wordt niet gebruikt om modellen te trainen.

Een actueel overzicht van subverwerkers en doorgiftegrondslagen staat in onze privacyverklaring.

Naleving & AVG

• Verwerking conform de AVG/GDPR; je rechten (inzage, rectificatie, vergetelheid, dataportabiliteit) regel je in de app of via ons.
• Verwerkersovereenkomsten (DPA's) met alle subverwerkers die persoonsgegevens verwerken.
• Geen advertenties, geen dataverkoop, geen profilering door derden. Nooit.
• Wettelijke bewaarplicht van facturen (7 jaar); overige persoonsgegevens niet langer dan nodig.
• Datalek-procedure: melding binnen 72 uur bij de Autoriteit Persoonsgegevens, en bij hoog risico ook aan betrokkenen.

Hoe we testen

Beveiliging is doorlopend werk, geen eenmalige actie. We voeren periodiek security-reviews en penetration tests uit, gericht op onder meer authenticatie, toegangscontrole (waaronder ongeautoriseerde objecttoegang), data-isolatie via row-level security, publieke endpoints en invoer-/injectierisico's. Bevindingen verhelpen we volgens risico-prioriteit en verifiëren we daarna opnieuw.

Om gebruikers te beschermen publiceren we geen gedetailleerde testrapporten of specifieke bevindingen. Zakelijke partners kunnen op aanvraag (onder geheimhouding) een samenvatting van onze maatregelen ontvangen via info@boekclauding.nl.

Een kwetsbaarheid melden (responsible disclosure)

Denk je een beveiligingsprobleem te hebben gevonden? We horen het graag en werken graag met je samen.

• Mail je bevinding naar info@boekclauding.nl met genoeg detail om te reproduceren.
• We bevestigen ontvangst doorgaans binnen 5 werkdagen en houden je op de hoogte van de afhandeling.
• Geef ons redelijke tijd om het op te lossen voordat je iets openbaar maakt.
• Doe geen aanval die data van anderen schaadt, verwijdert of exfiltreert, en gebruik geen denial-of-service of social engineering.
• Bij onderzoek te goeder trouw binnen deze regels ondernemen wij geen juridische stappen tegen je.