Trust en Security
Versie 1.0, 15 mei 2026
Op deze pagina vindt u alle informatie over hoe Rechtswijs omgaat met data-bescherming, infrastructuur en compliance. Bedoeld als startpunt voor security-officers, compliance-medewerkers van advocatenkantoren, en geinteresseerde gebruikers.
Onze documenten
| Document | Doel |
|---|---|
| Algemene Voorwaarden | Eén document met B2C en B2B, inclusief verwerkersovereenkomst (sectie D) en AI Act-compliance (sectie E) |
| Privacyverklaring | Wij verwerken welke persoonsgegevens, met welke grondslag |
| Sub-verwerkers | Volledige lijst van sub-verwerkers met regio en garanties |
| Cookieverklaring | Welke cookies en waarom, hoe te beheren |
Onze security-stack in het kort
Encryptie
- TLS 1.3 op alle externe ingressen, HSTS preload
- XSalsa20-Poly1305 (libsodium) versleuteling op alle dossier-tekstvelden (chat-berichten, samenvattingen, dossier-feiten, persoonsnamen, geuploade documenten, gegenereerde brieven)
- AES-256 op Cloudflare R2 object-storage
- Versleutelde backups via wal-g, 30 dagen retentie
Hosting
- Hetzner Talos Kubernetes cluster in Falkenstein (Duitsland), EU-only
- Cloudflare R2 voor object-storage, EU-region
- Postgres-database in dezelfde EU-regio met TLS-encryptie
AI-laag
- Google Cloud Vertex AI (Gemini 3 Flash) via het global endpoint, onder Cloud DPA en Standard Contractual Clauses voor doorgiftes
- Vertex AI no-training-data-governance: customer-data wordt niet gebruikt voor model-training
- Audio-transcriptie via Deepgram
api.eu.deepgram.com(EU-only) met no-training DPA - PII-tokenisatie: BSN, IBAN, e-mail, telefoon, postcode, creditcard, BIG, V-nummer, KVK worden vóór doorgifte aan Gemini vervangen door anonieme tokens, ook over chat-history heen
Authenticatie
- AWS Cognito (eu-central-1 Frankfurt) als managed identity-provider
Audit en logging
- NEN 7513-georiënteerd audit-trail met immutable PostgreSQL-trigger (UPDATE/DELETE op
audit_logsis geblokkeerd) - Bewaartermijn 5 jaar
- Sentry PII-scrubbing: 9 PII-categorieen + 7 sensitive-keys worden geredacteerd vóór verzending naar Sentry (EU-cluster Frankfurt)
Compliance status
- AVG / GDPR: doorlopend, met DPA in sectie D van de AV, sub-processor-register, datalek-procedure, DPO ([email protected])
- AI Verordening (EU 2024/1689): art. 4 AI-geletterdheid en art. 50 transparantie geïmplementeerd, classificatie als niet-hoog-risico
- ISO 27001 / SOC 2 / NEN 7510: aspirationele baseline, niet formeel gecertificeerd. Externe audit op de roadmap zodra commerciële vraag dat rechtvaardigt
- Externe pen-test: op de roadmap voor Q3 2026
Op aanvraag voor zakelijke afnemers
De volgende documenten zijn op aanvraag beschikbaar voor zakelijke afnemers met een actieve overeenkomst:
- DPIA (Data Protection Impact Assessment) als referentie-input voor uw eigen DPIA
- TIA (Transfer Impact Assessment) voor de Gemini-via-Vertex-doorgifte
- NEN 7510-compliance-mapping: hoe onze technische en organisatorische maatregelen zich verhouden tot de NEN 7510-controls
- Incident response-procedure: hoe wij omgaan met security-incidenten en datalekken
Aanvragen via [email protected]. Reactietijd binnen 5 werkdagen.
Contact
- Privacy en data-bescherming: [email protected]
- DPO: [email protected]
- Beveiligingsincidenten: [email protected]
- B2B-onderhandelingen en custom-DPA: [email protected]
Voor de volledige juridische tekst van onze verwerkersovereenkomst, raadpleeg sectie D van de Algemene Voorwaarden.