COMPLIANCE & BEVEILIGING
Slimme Dossiers draait volledig op Microsoft Azure in de EU, met encryptie, auditlogging en een verwerkersovereenkomst standaard inbegrepen. Op deze pagina vind je alle technische en juridische feiten die je nodig hebt om ons platform te beoordelen.
Alle data wordt opgeslagen en verwerkt in de Azure-regio West Europe. Documenten en metadata staan in Azure Blob Storage, embeddings in Azure Cognitive Search, beide in West Europe.
AI-inferencing via Azure OpenAI gebruikt Data Zone Standard (EUR). Dit garandeert contractueel dat prompts en antwoorden uitsluitend worden verwerkt binnen EU-lidstaten. Geen data verlaat de Europese Unie.
Alle verbindingen zijn versleuteld via TLS 1.2+. Data in rust is versleuteld met AES-256 (Microsoft-managed keys). Het Azure-platform voorziet in netwerksegmentatie, WAF en DDoS-bescherming.
Klantdata – documenten, uploads, chatinhoud en metadata – blijft eigendom van de klant. Botz4U verwerkt deze data uitsluitend voor het leveren van de dienst.
Azure OpenAI via de API slaat geen klantdata op en gebruikt deze niet voor het trainen of verbeteren van modellen. Dit is standaard Azure OpenAI-beleid voor API-gebruik en contractueel vastgelegd in onze verwerkersovereenkomst.
Voor klantinhoud is de klant verwerkingsverantwoordelijke en is Botz4U verwerker. Voor accountgegevens en facturatie is Botz4U verwerkingsverantwoordelijke.
Bewaartermijnen: chatgeschiedenis is verwijderbaar door de klant. Na contractbeëindiging 90 dagen voor data-export, daarna volledige verwijdering. Embeddings worden binnen 72 uur verwijderd na een verwijderopdracht. Technische logs: maximaal 30 dagen.
Slimme Dossiers logt van elke interactie meer dan het wettelijk minimum. Auditrecords worden standaard 6 maanden bewaard, conform de logvereisten van EU AI Act Artikel 12.
Per interactie wordt vastgelegd: tijdstempel, gebruiker en dossier; de gestelde vraag; het gegenereerde antwoord met bronverwijzingen; geraadpleegde bronnen en passages met relevantiescores; en de gebruikte zoekmethode.
Op technisch niveau loggen wij de exacte modelversie en deployment, de Azure-regio van verwerking, request-identifiers voor traceerbaarheid naar Microsoft, token-gebruik en content filter resultaten.
Onze logging wordt actief uitgebreid op basis van zich ontwikkelende regelgeving. Auditrecords zijn exporteerbaar als PDF. Langere bewaarperiodes zijn beschikbaar voor Enterprise-klanten.
De logstructuur maakt het voor jouw kantoor eenvoudig om menselijk toezicht (Art. 14) en AI-geletterdheid van medewerkers (Art. 4) aantoonbaar te maken: wie heeft welke vraag gesteld, welk advies is gegenereerd, welke bronnen zijn geraadpleegd.
Wij bieden een standaard verwerkersovereenkomst (DPA) op basis van artikel 28 AVG, inclusief EU-standaardcontractbepalingen (SCC's) voor eventuele verwerkingen buiten de EER. De DPA wordt automatisch onderdeel van de overeenkomst bij het starten van een abonnement. De volledige DPA-tekst is hieronder beschikbaar.
De DPA bevat instructiebinding, subverwerkersbepaling, meldplicht bij datalekken, auditrecht (1x per 12 maanden) en verwijderplicht na beëindiging.
Beveiligingsmaatregelen: encryptie in rust (AES-256) en in transit (TLS 1.2+) op alle Azure-services. Role-based access control met ondersteuning voor multi-factor authenticatie. Secrets beheerd via beveiligde omgevingsvariabelen, gescheiden van code. Monitoring en alerting via Azure Monitor met gedocumenteerde runbooks. Datalekmelding aan klant conform de verwerkersovereenkomst.
De onderliggende Azure-infrastructuur is gecertificeerd volgens ISO 27001, SOC 1/2/3 en meer dan 100 andere compliance-standaarden. Slimme Dossiers als applicatielaag beschikt op dit moment niet over een eigen ISO-certificering. Wij zijn transparant over wat de platformcertificering dekt en wat niet.
Wij delen onze drie kerntoetsdocumenten standaard, zodat uw DPO of compliance-officer ze vooraf kan beoordelen.
Versie 1.3 · 24 april 2026
De DPA waaronder Botz4U optreedt als verwerker. Bevat rolverdeling, beveiligingsmaatregelen, datalek-procedure, subverwerker-afspraken en doorgifte-waarborgen.
Bekijk documentVersie 2026.4 · 24 april 2026
Hoe wij persoonsgegevens verwerken voor onze website en app. Bevat doeleinden, grondslagen, bewaartermijnen en betrokkenenrechten.
Bekijk documentOnderstaande partijen verwerken data in opdracht van Botz4U. Wijzigingen worden minimaal 30 dagen vooraf gecommuniceerd; klanten kunnen binnen die termijn gemotiveerd bezwaar maken.
| Partij | Dienst | Datalocatie |
|---|---|---|
| Microsoft Azure – Blob Storage | Documentopslag | EU (West Europe) |
| Microsoft Azure – Cognitive Search | Vectorindex en embeddings | EU (West Europe) |
| Microsoft Azure – OpenAI | AI-inferencing | EU (Data Zone Standard) |
| Microsoft Azure – Document Intelligence | Documentanalyse / tekstextractie | EU (West Europe) |
| Microsoft Azure – Bot Framework Direct Line | Transport chatberichten | EU-endpoint |
| Clerk | Authenticatie individuele gebruikers | EU/EER waar beschikbaar |
| Stripe Payments Europe | Betalingen en facturatie | EU |
| Google LLC – Programmable Search API | Webzoekresultaten (optioneel, door klant te activeren) | Kan buiten EER; SCC's en DPF van toepassing |
| Google reCAPTCHA | Anti-misbruik websiteformulieren | Kan buiten EER; SCC's en DPF van toepassing |
Voor teams en organisaties die SSO gebruiken via Microsoft Entra ID vindt de authenticatie plaats binnen de eigen Microsoft-tenant van de klant.
De actuele subverwerkerlijst is onderdeel van Bijlage B van de verwerkersovereenkomst. Op verzoek verstrekken wij een PDF-versie voor uw dossier.
Data in EU (Azure)
Versleuteld opgeslagen en verzonden
Voldoet aan AVG
Audittrail conform EU AI Act Art. 12
Geen modeltraining
Een verkennend gesprek van 30 minuten. Geen verplichtingen.
