Data & Security

Je data is van jou. Wij zijn er zuinig op.

Relay verwerkt operationele en financiële gegevens die er toe doen. Deze pagina legt feitelijk uit waar die data staat, wie er bij kan, hoe we incidenten afhandelen en welke rechten je hebt als opdrachtgever. Geen marketing, geen geruststelling zonder dekking.

Laatst bijgewerkt: [DATUM_LAATSTE_WIJZIGING]

Korte versie

Data wordt gehost in de EU, bij een Europese provider.

Versleuteld in transit (TLS 1.2+) en at rest (AES-256).

Toegang op need-to-know basis, MFA verplicht.

Jouw data wordt niet gebruikt om externe AI-modellen te trainen.

Export van je data op elk moment. Ook bij exit.

Uitgangspunt

Jouw data blijft van jou

Relay is verwerker, jij bent verwerkingsverantwoordelijke. Wij leveren de control layer, jij bepaalt wat erin komt, wie erbij mag, en wat ermee gebeurt. Een verwerkersovereenkomst is standaard onderdeel van ons contract.

  • Geen verkoop. We verkopen jouw data niet en delen het niet voor commerciële doeleinden.
  • Geen modeltraining op jouw data. Externe AI-leveranciers krijgen van ons geen toestemming om jouw data te gebruiken voor training.
  • Export op verzoek. Je kunt je data op elk moment opvragen in een leesbaar formaat.
  • Verwijdering bij exit. Na einde van het contract wordt jouw data verwijderd conform de afgesproken termijn.
Infrastructuur

Waar je data staat

Relay draait op Europese infrastructuur. Geen data buiten de EU zonder expliciete afspraak. Backups zijn gescheiden van productie en worden getest.

Hosting provider
[HOSTING_PROVIDER]
Regio
[HOSTING_REGIO]
Datacenter-locatie
[DATACENTER_LOCATIE]
Backup-frequentie
[BACKUP_FREQUENTIE]
Backup-retentie
[BACKUP_RETENTIE]
Backup-locatie
Geografisch gescheiden van productie, binnen EU.
Disaster recovery
[DR_RTO_RPO]

Subprocessors

Onderstaande partijen ondersteunen Relay. Elke nieuwe subprocessor wordt vooraf gecommuniceerd en getoetst aan de AVG en onze interne security-baseline.

Partij Doel Regio DPA
[SUBPROC_1_NAAM] [SUBPROC_1_DOEL] [SUBPROC_1_REGIO] [SUBPROC_1_DPA]
[SUBPROC_2_NAAM] [SUBPROC_2_DOEL] [SUBPROC_2_REGIO] [SUBPROC_2_DPA]
[SUBPROC_3_NAAM] [SUBPROC_3_DOEL] [SUBPROC_3_REGIO] [SUBPROC_3_DPA]
[SUBPROC_4_NAAM] [SUBPROC_4_DOEL] [SUBPROC_4_REGIO] [SUBPROC_4_DPA]
Technisch

Beveiligingsmaatregelen

De basis is geen feature, maar een vereiste. Dit is wat we standaard hebben staan.

In transit

Versleuteld verkeer

Alle verbindingen met Relay verlopen over TLS 1.2 of hoger, met HSTS afgedwongen. Certificaten worden automatisch vernieuwd en bewaakt.

At rest

Versleutelde opslag

Productie-data en backups zijn versleuteld met AES-256. Sleutels worden beheerd via een managed key management-service met rotatie volgens standaard intervallen.

Toegang

Need to know

Role-based access control, least-privilege als uitgangspunt. MFA is verplicht voor alle medewerkers en beheerderstoegang. Shared accounts bestaan niet.

Monitoring

Logbaar en herleidbaar

Toegangslogs, systeemlogs en audit-trails op beslispaden. Afwijkingen triggeren meldingen op een vast security-kanaal. Logs blijven [LOG_RETENTIE] bewaard.

Operationeel

Hoe we intern werken

Techniek is de helft. De andere helft is discipline in dagelijkse werkwijze.

  • Achtergrondcheck. Elke medewerker met productie-toegang doorloopt een achtergrondcontrole bij indiensttreding.
  • Onboarding en offboarding. Accounts worden toegekend op basis van rol en binnen 24 uur ingetrokken bij uitdiensttreding.
  • Laptopbeveiliging. Werkstations zijn versleuteld, automatisch gepatched en hebben verplichte schermvergrendeling.
  • Password manager verplicht. Geen gedeelde wachtwoorden, geen hergebruik, geen credentials in chat of e-mail.
  • Gescheiden omgevingen. Productie-data komt nooit in ontwikkel- of testomgevingen. Synthetische data voor development.
  • Security-reviews. Wijzigingen aan productiecode worden gereviewd. Afhankelijkheden worden automatisch gescand op bekende kwetsbaarheden.
AI

AI met menselijke controle

Relay gebruikt AI voor signaal, synthese en voorspelling. Niet voor autonome beslissingen op geld, reputatie of risico. Daar houdt de eigenaar het mandaat.

Welke modellen gebruiken we?

Leverancier Type Inzet
Anthropic Cloud LLM (Claude) Synthese, redenering, rapportgeneratie.
OpenAI Cloud LLM (GPT-modellen) Signaalherkenning, embeddings, ondersteunende taken.
Lokale AI-inference On-premise / private cloud Gevoelige verwerking die niet extern hoeft, waar wenselijk voor de opdrachtgever.

Bij Anthropic en OpenAI gebruiken we enterprise-voorwaarden waarbij data niet wordt ingezet voor modeltraining. Prompts en uitvoer worden binnen Relay gelogd en zijn herleidbaar tot bron en beslispad.

Voor opdrachtgevers met strikte datavereisten is lokale inference een optie. Dan draait het model op eigen infrastructuur of in een afgeschermde private omgeving, zonder dat gegevens de context verlaten.

Incidenten

Als er iets mis gaat

We hebben een vaste incident-procedure. Detectie, containment, notificatie en review. Zonder uitstel, met transparantie naar de betrokken opdrachtgever.

Stap 01

Detectie

Monitoring en alerting op infrastructuur en applicatielaag. Meldingen komen 24/7 binnen op het security-kanaal.

Stap 02

Containment

Impact begrenzen: betrokken systemen isoleren, toegang herzien, bewijsmateriaal bewaren voor onderzoek.

Stap 03

Notificatie

Bij een datalek informeren we de betrokken opdrachtgever zonder uitstel, en in elk geval binnen [MELDINGS_SLA]. Dat past binnen de AVG-termijn van 72 uur voor melding aan de toezichthouder.

Stap 04

Review

Na elk incident volgt een post-mortem met oorzaak, tijdlijn en concrete maatregelen. Deze worden gedeeld met de betrokken opdrachtgever.

Responsible disclosure

Vermoed je een kwetsbaarheid in Relay? Meld het bij [SECURITY_EMAIL]. We onderzoeken elke serieuze melding en geven binnen redelijke termijn terugkoppeling. Publiceer geen details voordat we samen een oplossing hebben afgestemd.

Compliance

Waar we aan voldoen

Actief

AVG / GDPR

Relay is AVG-conform opgezet. Verwerkersovereenkomst standaard, gegevensminimalisatie als uitgangspunt, rechten van betrokkenen geborgd. Zie ook onze privacyverklaring.

In voorbereiding

ISO 27001

We werken toe naar certificering voor onze informatiebeveiliging. Processen en controles zijn ingericht volgens de ISO 27001-baseline. Formele audit gepland voor [ISO_AUDIT_PERIODE].

In voorbereiding

SOC 2 Type II

Voor opdrachtgevers met internationale vereisten bereiden we een SOC 2-traject voor. Doorlooptijd en scope in afstemming met de eerste betrokken opdrachtgevers.

Sectorspecifiek

WOO en sectorkaders

Waar opdrachtgevers werken met publieke aanbestedingsdocumentatie of sectorspecifieke kaders, ondersteunt Relay dat binnen de Governance- en Compliance-frames.

Jouw rechten

Als opdrachtgever kun je altijd

  • Inzage opvragen in wat we voor jou bewaren en verwerken.
  • Je data exporteren in een leesbaar formaat, op elk moment tijdens het contract.
  • Verwijdering opvragen bij of na einde van het contract, conform wettelijke bewaartermijnen.
  • Audit-trail opvragen van toegang en wijzigingen op jouw data en beslispaden.
  • Wijzigingen in subprocessors vooraf ontvangen, met de mogelijkheid bezwaar te maken.
Contact

Vragen over security of data?

Security-meldingen
[SECURITY_EMAIL]
Privacy-vragen
[PRIVACY_EMAIL]
Algemeen contact
[CONTACT_EMAIL]
Terug naar de site Privacy Cookies Voorwaarden