Security

Hoe we je data beveiligen

Overzicht van technische en organisatorische maatregelen. Volledige details staan in de DPA en Privacyverklaring.

Waar staat je data?

  • EU-hosting in Frankfurt ๐Ÿ‡ฉ๐Ÿ‡ช โ€” Render managed Postgres + applicatie-servers. Geen data naar buiten de EU.
  • Sub-verwerkers in VS waar onvermijdelijk (Anthropic Claude API, Stripe, Resend, GitHub) โ€” altijd via Standard Contractual Clauses (SCC).
  • Volledige lijst: DPA ยง7 (sub-verwerkers)

Versleuteling

  • In transit: alle verbindingen HTTPS/TLS 1.2+ afgedwongen (HSTS).
  • Wachtwoorden: PBKDF2-HMAC-SHA256, 200.000 iteraties, per-user 16-byte salt โ€” NIST SP 800-132 conform.
  • Meta-tokens (WhatsApp API): at-rest versleuteld met Fernet/AES-128 โ€” alleen onze applicatie kan ontsleutelen.
  • Database: Render managed Postgres met disk-encryption at-rest.

Toegang & rollen

  • Multi-tenant isolatie via company_id op elke query โ€” geen kruis-zicht tussen klanten.
  • Admin-dashboard apart van klant-dashboard, beide met eigen sessietokens.
  • Team-accounts (Premium) hebben granulaire rechten per persoon โ€” eigenaar bepaalt wie wat ziet.
  • Audit-trail van alle administratieve acties (wijzigingen aan abonnementen, klant-data, etc.)

Backups & herstel

  • Dagelijkse automatische backups via Render managed Postgres.
  • 14 dagen retentie โ€” point-in-time recovery mogelijk binnen die periode.
  • Backups gecodeerd opgeslagen.

Monitoring & incidenten

  • Real-time error-monitoring via Sentry (anoniem, geen PII).
  • Live status-dashboard: koa-ai.nl/status
  • Datalek-procedure: bij vermoeden binnen 72 uur melding aan klant + Autoriteit Persoonsgegevens conform AVG art. 33.
  • Melden van een security-issue? Mail info@koa-ai.nl met onderwerp [SECURITY].

Wat we NIET doen

  • Geen verkoop van data aan derden โ€” nooit, geen uitzondering.
  • Geen training van AI-modellen op jouw klant-gesprekken (Anthropic Claude API werkt zo niet โ€” alleen jij gebruikt de output).
  • Geen advertentie-cookies, geen Meta Pixel, geen Google Analytics.
  • Geen IP-adressen bewaard in onze eigen analytics โ€” alleen anonieme aggregaten.

Compliance

Koa-AI is AVG-bewust ingericht (verwerkersovereenkomst beschikbaar), EU AI Act-conform (AI-disclosure bij eerste contact), en gebouwd op de principes van OWASP Top 10. Niet ISO 27001/SOC 2-gecertificeerd (dat is voor toekomstige groei).

Meer info

Diepere details staan in de Verwerkersovereenkomst (DPA) โ€” bedoeld voor compliance-afdelingen en juridische review.