Hoe wij uw data beschermen. Transparant over encryptie, toegangscontrole en de infrastructuur waarop het VaaS-Zorg platform draait.
Op het VaaS-Zorg platform kunt u documenten uploaden, scans uitvoeren en organisatiegegevens beheren. Wij begrijpen dat deze informatie vertrouwelijk is. Hieronder leest u precies welke maatregelen wij treffen om uw data te beschermen.
Toegang tot het platform verloopt via e-mail-verificatie (magic link). Er zijn geen wachtwoorden die gestolen kunnen worden. Het autorisatiesysteem werkt op drie niveaus:
1. Authenticatie — Elke API-aanroep vereist een geldig JSON Web Token (JWT) dat door Supabase Auth wordt uitgegeven en cryptografisch wordt gevalideerd.
2. Autorisatie — Het platform controleert of u rechten hebt op de opgevraagde data. Gebruikers zien alleen hun eigen organisatie, documenten en scans.
3. Database-isolatie — Row Level Security (RLS) policies op de database garanderen dat zelfs bij een applicatiefout de data-scheiding op databaseniveau wordt afgedwongen. Uw documenten zijn nooit zichtbaar voor andere organisaties.
Het VaaS-Zorg platform draait op infrastructuur van toonaangevende cloudproviders die onafhankelijk worden geaudit op beveiliging, beschikbaarheid en vertrouwelijkheid.
| Provider | Functie | SOC 2 Type II | ISO 27001 |
|---|---|---|---|
| Supabase | Database, authenticatie, documentopslag | ✓ | — |
| Cloudflare | API-hosting (Workers), frontend-hosting (Pages), edge-beveiliging, DDoS-bescherming, SSL-certificaten | ✓ | ✓ |
Documenten die u uploadt naar het platform (jaarrekeningen, contracten, rapporten) zijn beschermd door meerdere beveiligingslagen:
Opslag — Bestanden worden opgeslagen in een private opslagbucket. De bucket is niet publiek toegankelijk en vereist authenticatie voor elke bewerking.
Mapstructuur — Elk bestand wordt opgeslagen in een map die is gekoppeld aan uw organisatie-ID. RLS-policies op de opslaglaag controleren dat u alleen bestanden in uw eigen map kunt lezen.
Downloads — Wanneer u een document downloadt, wordt een getekende URL gegenereerd die maximaal 1 uur geldig is. De URL is uniek per sessie en kan niet worden hergebruikt na verlopen.
Verwijdering — Directe verwijdering van bestanden via de database is geblokkeerd door RLS-policies. Alleen geautoriseerde beheerbewerkingen via het platform kunnen documenten verwijderen.
FinQDC verwerkt persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR).
Welke data verwerken wij? — Uw e-mailadres (voor authenticatie), organisatienaam, en de documenten en scans die u zelf uploadt of invult. Wij verzamelen geen onnodige persoonsgegevens.
Waar wordt data opgeslagen? — De database draait op Supabase-servers in de EU (Frankfurt, Duitsland). Bestanden worden opgeslagen in dezelfde regio. De API-laag draait op Cloudflare's wereldwijde edge-netwerk met dataverwerking in de dichtstbijzijnde locatie.
Wie heeft toegang? — Alleen u en de gebruikers van uw organisatie kunnen uw data inzien. FinQDC-beheerders hebben toegang tot het platform voor ondersteuning en onderhoud, maar benaderen uw data alleen wanneer u daar expliciet om verzoekt.
Hoe lang bewaren wij data? — Uw gegevens worden bewaard zolang uw account actief is. Bij opzegging kunt u verzoeken om volledige verwijdering van uw data. Wij verwijderen uw gegevens binnen 30 dagen na een dergelijk verzoek.
Wanneer u het VaaS-Zorg platform gebruikt en persoonsgegevens verwerkt, treedt FinQDC op als verwerker in de zin van de AVG. Wij hebben een kant-en-klare verwerkersovereenkomst beschikbaar die u kunt printen, invullen en ondertekenen.
De verwerkersovereenkomst beschrijft de aard en het doel van de verwerking, het type persoonsgegevens, de categorie betrokkenen, de beveiligingsmaatregelen en de rechten en plichten van beide partijen.
Heeft u vragen over de beveiliging van uw data of wilt u een verwerkersovereenkomst aanvragen? Neem contact op met Johan van der Laan via johan@finqdc.nl.