Docs→AVG en beveiliging

AVG en beveiliging

Alles over hoe Custos AI je gegevens verwerkt, het juridisch kader en de technische beveiligingsmaatregelen die we toepassen.

Onze rol onder de AVG

Custos AI treedt op als verwerker. Jij — de klant — bent de verwerkingsverantwoordelijke. We verwerken persoonsgegevens uitsluitend op basis van jouw gedocumenteerde instructies en in overeenstemming met onze verwerkersovereenkomst (DPA), die is opgenomen in onze Algemene Voorwaarden.

Verwerkersovereenkomst (DPA)

Onze verwerkersovereenkomst voldoet aan Artikel 28 AVG en dekt alle verwerkingsactiviteiten. De overeenkomst wordt automatisch geaccepteerd wanneer je onze Algemene Voorwaarden accepteert. Je kunt de actuele versie op elk moment downloaden.

Bekijk DPA

Welke gegevens we verwerken

Categorie	Voorbeelden	Bewaartermijn
Accountgegevens	Naam, e-mail, gehasht wachtwoord, taal	Duur van het account + 12 maanden
Chatgegevens	Gespreksgeschiedenis, gebruikte model	365 dagen doorlopend, instelbaar
Geüploade bestanden	PDF, DOCX, afbeeldingen	30 dagen na upload (instelbaar)
Gebruiksgegevens	Tokentelling, kostenschattingen	12 maanden doorlopend
Auditlogs	IP-adres, tijdstempels	365 dagen
Factuurgegevens	Stripe-referenties, planinformatie	7 jaar (belastingwet)

LLM-providers en het BYOK-model

Onder het BYOK-model onderhoud je een directe relatie met elke LLM-provider via je eigen API-keys. LLM-providers zijn geen sub-verwerkers van Custos AI — het zijn onafhankelijke verwerkingsverantwoordelijken of verwerkers die je rechtstreeks inschakelt. Je bent zelf verantwoordelijk voor een passende juridische grondslag en verwerkersovereenkomsten met elke provider die je gebruikt.

De vier LLM-providers die momenteel worden ondersteund in Custos AI — OpenAI, Anthropic, Google en Mistral — bieden allemaal hun eigen AVG-conforme voorwaarden en verwerkersovereenkomsten waarmee je akkoord gaat bij het aanmaken van een account bij hen.

Sub-verwerkers

Supabase, Inc.Database, authenticatie, bestandsopslagFrankfurt, DE

Vercel, Inc.Frontend-hosting en edge computeEU edge

TransIP B.V.VPS voor LiteLLM-proxyAmsterdam, NL

LettermintTransactionele e-mailEU

Stripe Payments EuropeBetalingsverwerking en belastingDublin, IE

Volledige lijst: custosai.eu/sub-processors

Beveiligingsmaatregelen

Versleuteling in rust

AES-256 (data), AES-256-GCM (API-keys)

Versleuteling tijdens transport

TLS 1.2+ op alle verbindingen

Authenticatie

E-mail + TOTP MFA

Toegangsbeheer

Least-privilege, rolgebaseerd

Back-ups

Dagelijks versleuteld, 30 dagen bewaard

Hosting

Uitsluitend EU — Frankfurt + Amsterdam

Vragen over privacy of de DPA?

Ons privacyteam reageert binnen 2 werkdagen.