1Data-opslag
Alle primaire data wordt opgeslagen in de EU:
Database
Supabase, regio EU (Frankfurt)
Encryptie at rest
AES-256 versleuteling
Encryptie in transit
TLS 1.2+ voor al het dataverkeer
Data-isolatie
Row Level Security (RLS) op elke tabel, per user_id
Row Level Security wordt afgedwongen op databaseniveau, niet alleen in de applicatielaag. Dit betekent dat zelfs bij een kwetsbaarheid in de applicatiecode, de database geen data van andere gebruikers vrijgeeft.
2Authenticatie & toegang
3AI-verwerking
Onze AI-assistent Sam en de documentzoekfunctie maken gebruik van twee externe AI-diensten. Chatberichten en documenten worden alleen verwerkt om de gevraagde functie uit te voeren.
Anthropic (Claude)
VSTaalmodel voor de AI-assistent (Sonnet 4.6 en Haiku 4.5).
Voyage AI
VSEmbeddings en semantisch zoeken in documenten.
Geen van beide AI-providers traint op klantdata.
4Documenten & retentie
| Type | Bewaartermijn |
|---|---|
| Tijdelijke uploads (arbeidsrecht-checker) | Automatisch verwijderd na 1 uur (via expires_at + cleanup job) |
| Kennisbank-documenten | Totdat de gebruiker ze verwijdert |
| Bij account-beeindiging | Volledige verwijdering binnen 90 dagen (conform artikel 15 verwerkersovereenkomst) |
5Datalek-procedure
Bij een datalek melden wij dit aan betrokken klanten binnen 48 uur na ontdekking, conform AVG artikel 33.
De melding bevat ten minste: de aard van het datalek, de geschatte impact, de getroffen maatregelen en een contactpersoon voor verdere vragen.
6Sub-verwerkers
We werken met de volgende sub-verwerkers:
| Categorie | Doel | Locatie |
|---|---|---|
| Hosting & database | Opslag, authenticatie en infrastructuur | EU |
| AI-dienstverleners | AI-assistent en zoekvectors | VS |
| Betalingsverwerker | Facturatie en abonnementenbeheer | EU |
| E-maildiensten | Transactionele e-mails | VS |
Een actueel overzicht met specifieke partijnamen is beschikbaar in de verwerkersovereenkomst en op verzoek via workspace@solohr.nl. Klanten worden vooraf geïnformeerd bij wijzigingen in sub-verwerkers.
7Wat we (nog) niet hebben
We willen eerlijk zijn over wat we wel en niet kunnen bieden. De volgende zaken hebben we op dit moment niet:
Geen ISO 27001-certificering
We volgen security best practices, maar zijn niet formeel gecertificeerd.
Geen jaarlijkse externe penetratietest
We testen onze beveiliging intern, maar laten dit nog niet door een externe partij valideren.
Geen EU-region hosting bij Anthropic of Voyage AI
Beide AI-providers draaien in de VS, onder Standard Contractual Clauses en (voor Anthropic) het EU-US Data Privacy Framework.
Waarom vermelden we dit? Het past bij onze doelgroep — solo HR'ers en kleine organisaties — en voorkomt dat we onder valse vlag varen. Voor klanten die deze certificeringen hard nodig hebben, is Solo HR op dit moment nog niet de juiste keuze.
8Roadmap
We investeren doorlopend in beveiliging. De volgende stappen staan op onze planning:
We geven bewust geen harde deadlines voor deze punten. Neem contact op als een van deze items voor jouw organisatie prioriteit heeft.
9Contact
Heb je vragen over onze beveiliging, wil je onze maatregelen bespreken voor een vendor-checklist, of heb je een beveiligingsincident te melden?
E-mail: workspace@solohr.nl
Deze pagina is informatief en vervangt geen juridisch advies. Raadpleeg bij twijfel een specialist.