Sub-verwerkers
Versie: 2.1, 15 mei 2026
Contact: [email protected]
Deze pagina lijst alle sub-verwerkers waarvan Rechtswijs gebruik maakt om de dienst te leveren. De verwerkersovereenkomst (sectie D van de Algemene Voorwaarden) verwijst naar deze lijst. Wijzigingen worden 14 dagen vooraf aangekondigd aan zakelijke afnemers per e-mail conform artikel D4.2 van de Algemene Voorwaarden.
Hosting en infrastructuur
| Sub-verwerker | Doel | Regio | Garantie |
|---|
| Hetzner Online GmbH | Server-hosting (Talos Kubernetes cluster) | Falkenstein, Duitsland | EU-only, AVG-DPA (art. 28) |
| Cloudflare, Inc. | CDN, R2 object-storage, DNS, edge-firewall | EU-region (R2: eu bucket-location) | EU-US DPF + DPA, eigen sub-processor list |
AI, transcriptie en zoekfunctionaliteit
| Sub-verwerker | Doel | Regio | Garantie |
|---|
| Google Cloud (Vertex AI, Gemini 3 Flash) | Generatieve AI voor chat, document-analyse, samenvattingen | Global endpoint | Cloud DPA + SCC’s + EU-US DPF + no-training via Vertex data-governance (zie artikel D4.4 van de Algemene Voorwaarden). Migratie naar Vertex europe-west4 gepland zodra Gemini 3 Flash daar GA wordt. |
| Deepgram, Inc. | Audio-transcriptie | api.eu.deepgram.com (EU) | EU-region endpoint, eigen DPA met no-training-clausule. Audio gaat NIET naar Google. |
Authenticatie en e-mail
| Sub-verwerker | Doel | Regio | Garantie |
|---|
| Amazon Web Services (Cognito) | User-authenticatie, sessie-management | eu-central-1 (Frankfurt) | AWS DPA, EU-region-pinned. PII beperkt tot e-mail + user-ID. |
| Resend Inc. | Transactionele e-mail (verificatie-codes, account-events) | VS-bedrijf met EU-routing | Doorgifte gedekt door SCCs en EU-US Data Privacy Framework. E-mails bevatten uitsluitend generieke transactionele content (verificatie-code, account-notificatie, sub-processor-wijziging). Nooit dossier-inhoud of cliënt-PII. |
Betalingen
| Sub-verwerker | Doel | Regio | Garantie |
|---|
| Stripe Payments Europe Ltd. | Abonnementen, eenmalige betalingen, facturatie | EU-region | Stripe DPA, PCI-DSS Level 1, geen kaartdata bij Rechtswijs. |
Observability en analytics
| Sub-verwerker | Doel | Regio | Garantie |
|---|
| Sentry (Functional Software, Inc.) | Error-tracking + performance-monitoring | de.sentry.io (Frankfurt) | EU-cluster, Sentry-DPA. PII-scrubbing actief: 9 PII-categorieën + 7 sensitive-keys worden geredacteerd voor verzending. |
| PostHog Inc. | Product-analytics, feature-flags | eu.i.posthog.com (EU-cluster) | EU-cluster, PostHog-DPA. Geen chat-content, alleen events en metadata. |
Identity-providers (OAuth-login)
| Sub-verwerker | Doel | Regio | Garantie |
|---|
| Google LLC (OAuth 2.0) | Optionele “Sign in with Google” | Global | Identity-claim only (naam, e-mailadres). Geen dossier-data uitgewisseld. |
| Microsoft Corporation (Azure AD / OIDC) | Optionele “Sign in with Microsoft” | Global | Identity-claim only (naam, e-mailadres) via Microsoft Identity Platform. Geen dossier-data of tenant-data gedeeld. |