Security & Compliance

Enterprise-Grade Beveiliging voor uw R&D.

Ontworpen voor strikte compliance. Afgeschermde AI, end-to-end versleuteling en 100% data-residentie in de EU.

Start gratis
AWS eu-central-1SOC2 Type II Data CentersNIST AAL2 Compliant
Infrastructuur

Ondoordringbare fundamenten

Elke laag van de stack is gebouwd met beveiliging als first-class constraint. Geen opt-in beveiligingslaag bovenop een generiek platform, maar architectureel ingebakken isolatie.

  • Row Level Security op elk datapunt

    Supabase RLS filtert elke query op tenant-niveau. Technisch onmogelijk om data van een andere klant te lezen.

  • Passwordless AAL2 authenticatie

    Geen wachtwoord betekent geen wachtwoord om te stelen. Editors vereisen TOTP (AAL2) conform NIST SP 800-63B.

  • Frankfurt-only data-residentie

    Supabase fra1 en AWS Bedrock eu-central-1 draaien beide in Frankfurt. Data verlaat de EU nooit.

rls_policy.sql
-- Tenant-isolatie: elke query gefilterd op auth context
CREATE POLICY "Isolate tenant data"
  ON public.applications
  FOR ALL TO authenticated
  USING(
    auth.get_tenant_id() = tenant_id
  };

-- AAL2 guard: editor-scope vereist TOTP
[2024-01-15 09:12:33] INFO  AAL2 check passed
[2024-01-15 09:12:33] INFO  tenant=t_a4f2e • user=u_8c1d
[2024-01-15 09:12:34] OK    RLS policy verified
[2024-01-15 09:12:34] INFO  EU-only routing confirmed
[2024-01-15 09:12:35] OK    BSN hard-block active
AI-beveiliging

Het AI Privacy Schild

Uw R&D-data beschermd op elk niveau van de AI-pipeline.

Zero-Retention AI Processing

Uw data traint geen AI-modellen

WBSO Desk gebruikt AWS Bedrock als AI-laag. AWS Bedrock bewaart geen prompts en gebruikt uw data nooit voor modeltraining. WBSO Desk stuurt bij elke API-aanroep expliciet een no-training header. Uw bedrijfsgeheimen en R&D-informatie blijven volledig van u.

API Header (elke aanroep)

"anthropic-no-training": "true"

  • AWS Bedrock eu-central-1: geen data buiten EU
  • Geen prompts bewaard na verwerking
  • Geen gebruik voor fine-tuning of modelverbetering

PII-anonimisering in-memory

Persoonsgegevens (namen, adressen, e-mails) worden geanonimiseerd vóór verzending naar AWS Bedrock. De anonymisering vindt uitsluitend in-memory plaats en wordt na verwerking vernietigd. PII wordt nooit opgeslagen in AI-logs of prompthistorie.

Automatische BSN Hard-block

WBSO Desk detecteert BSN-patronen in alle invoer via assertNoBsn(). Bij detectie stopt de verwerking direct en ontvangt de gebruiker een waarschuwing. BSN-nummers worden nooit opgeslagen, verwerkt of doorgestuurd.

AVG-compliance

Compliance per artikel

Hoe WBSO Desk technisch invulling geeft aan de relevante AVG-verplichtingen.

Art. 5Gegevensminimalisatie

Beginselen verwerking

Gegevensminimalisatie, doelbinding en integriteit zijn ingebouwd in het datamodel. Alleen strikt noodzakelijke velden worden opgeslagen. Er worden nooit persoonsgegevens in AI-logs, prompthistorie of audit-trails bewaard. De architectuur is "privacy by design", niet als achteraf toegevoegde laag.

  • Doelbinding: gegevens worden alleen voor WBSO-verwerking gebruikt
  • Minimalisatie: geen overbodige profielvelden of tracking
  • Integriteit: audit-trail logt kolomnamen, nooit veldinhoud

Responsible Disclosure

Heeft u een kwetsbaarheid gevonden in WBSO Desk? Wij stellen verantwoorde meldingen op prijs. Stuur een beschrijving naar security@wbsodesk.nl. Wij streven ernaar binnen 5 werkdagen te reageren.

  • Vermeld een duidelijke reproductie-stap
  • Deel geen gevonden data met derden
  • Geef ons de kans om te patchen vóór publicatie
  • Wij bieden geen bug-bounty programma op dit moment

Klaar om uw R&D-data veilig te stellen?

Start vandaag met de best beveiligde WBSO-software van Nederland.

Maak gratis account aan

Heeft uw IT-team specifieke vragen? Neem contact op via privacy@wbsodesk.nl