Security

Overzicht van onze technische en organisatorische maatregelen.

Authenticatie

• Magic link only — geen wachtwoorden, geen wachtwoord-leaks
• Sessies via JWT in httpOnly cookies
• Sessie verloopt na 7 dagen inactiviteit (1 dag voor admin)

Encryptie

• HTTPS-only, TLS 1.3 met HSTS
• Encryptie at rest (AES-256) op alle databases en storage
• Gevoelige tokens (Twilio, ClickUp, WordPress) versleuteld in database
• API-keys gehashed met bcrypt, plain key alleen 1x getoond bij aanmaak

Toegangsbeheer

• Row Level Security (RLS) op alle klantdata-tabellen
• Service-laag met expliciete authorization-checks
• Database-level enforcement — bug in app kan geen data lekken
• Minimale rechten (least privilege) op alle service-accounts

Hosting en data-locatie

Alle data op Europese servers:

• Database + storage: Supabase (Frankfurt)
• Applicatie + functies: Vercel (Frankfurt)
• AI: Mistral (Parijs/Frankfurt)
• WhatsApp + e-mail: Twilio + Resend (Dublin)

Volledige lijst: /subprocessors.

Audit log en logging

• Elke wijziging op klantdata wordt gelogd (wie, wat, wanneer)
• Logs 1 jaar bewaard voor security-onderzoek
• Foutmonitoring via Sentry (EU-regio) met PII-scrubbing
• Authorization-headers gemaskeerd in logs

Data-retentie

• Audio, foto's en video's: kort na publicatie verwijderd (default 1 dag)
• Transcripties: maximaal 30 dagen
• Backups: 7-30 dagen (versleuteld, EU-regio)

Datalek-protocol

Bij vermoeden van datalek:

1. Blootstelling direct stoppen (block toegang, revoke tokens)
2. Scope inventariseren binnen 24 uur
3. Risico-analyse voor betrokkenen
4. Bij hoog risico: melding aan Autoriteit Persoonsgegevens binnen 72 uur (AVG art. 33) + betrokkenen direct geïnformeerd
5. Post-mortem en preventieve maatregelen

Privacy by design

• Geen tracking-cookies, geen US-analytics
• Google Fonts lokaal gehost (geen CDN-call)
• Geen marketing-pixels
• Authentieke content uit klantinput — geen training op klantdata door AI
• Menselijke goedkeuring vóór elke publicatie (geen autonoom AI-systeem)

Vragen?

Zakelijke klanten die onze security willen toetsen voor onboarding: mail naar privacy@projectmaat.ai voor een uitgebreid security-overzicht en eventuele aanvullende documentatie.