Beveiliging

• Dataopslag uitsluitend in de EU. Alle gegevens worden opgeslagen op servers in Frankfurt (AWS eu-central-1 via Supabase).
• AI-verwerking op eigen server. Spraakherkenning (Whisper) en samenvatting (Ollama) draaien op een eigen EU-server. Audiobestanden verlaten de EU nooit.
• Versleutelde verbindingen. Alle communicatie verloopt via HTTPS/TLS 1.2+. Verbindingen zonder TLS worden geweigerd.
• Versleuteling in rust. Audiobestanden en database-inhoud zijn versleuteld opgeslagen.

• Row Level Security (RLS). Elke klant heeft uitsluitend toegang tot zijn eigen gegevens, afgedwongen op databaseniveau door Supabase RLS-beleid.
• Authenticatie via Supabase Auth. Ondersteuning voor e-mail + wachtwoord en Google OAuth. Wachtwoorden worden nooit in plaintext opgeslagen (bcrypt).
• Gesigneerde audio-URL's. Links naar audiobestanden zijn tijdelijk (standaard 7 dagen) en vereisen een geldige sessie.
• Worker-authenticatie. De AI-worker communiceert via een gedeeld geheim dat niet publiek toegankelijk is.

• Audioopnames worden standaard na 90 dagen automatisch verwijderd. Klanten kunnen dit instellen.
• Wij verzamelen geen metadata of analyses buiten wat noodzakelijk is voor de dienst.
• Bij beëindiging van een abonnement worden gegevens binnen 30 dagen verwijderd.

Bij een beveiligingsincident dat persoonsgegevens betreft, informeren wij betrokken klanten binnen 72 uur en melden wij dit — indien vereist — bij de Autoriteit Persoonsgegevens.

Kwetsbaarheden kunt u verantwoord melden via: [e-mailadres invullen]. Wij streven naar een reactie binnen 5 werkdagen.

• Toegang tot productieomgevingen is beperkt tot de beheerder.
• Afhankelijkheden worden regelmatig bijgewerkt op bekende kwetsbaarheden.
• Backups van de database worden dagelijks gemaakt en bewaard conform het retentiebeleid van Supabase.

De volgende maatregelen staan gepland of zijn in ontwikkeling: [hier invullen wat er nog op de roadmap staat, bijv. penetratietest, SOC 2-traject, tweefactorauthenticatie, auditlog voor gebruikersacties].