Trust Center

Jouw vertrouwen, gedocumenteerd.

Alles wat je juridisch, security en inkoop team nodig heeft — op één plek, zonder formulieren.

In het kort

  • AVG (GDPR)-proof by design — verwerkersovereenkomst inbegrepen in elk abonnement
  • Alleen EU-hosting: Frankfurt (Supabase) + Amsterdam (TransIP)
  • AES-256 in rust, TLS 1.2+ in transport
  • AES-256-GCM voor API-keys van klanten (BYOK)
  • Multi-tenant isolatie via Supabase Row Level Security
  • Geen AI-training op klantdata
  • Melding binnen 48 uur bij beveiligingsincidenten
  • Alleen B2B — geen verwerking van consumentengegevens

Verwerkersovereenkomst (DPA)

Onze AVG-artikel 28-verwerkersovereenkomst is inbegrepen in elk abonnement en vooraf geaccepteerd bij ondertekening van onze voorwaarden. Download de huidige versie voor je juridisch team.

Bekijk verwerkersovereenkomstVersie 1.1 · Laatst bijgewerkt 23 april 2026

Sub-verwerkers

SupabaseDatabase, authenticatie, bestandsopslagFrankfurt, DE
TransIP B.V.VPS voor LiteLLM proxyAmsterdam, NL
Vercel, Inc.Frontend + edge computeEU edge
LettermintTransactionele e-mailEU
Stripe Payments EuropeBetalingen + Stripe TaxDublin, IE

We informeren alle klanten minimaal 30 dagen van tevoren bij toevoeging of vervanging van een sub-verwerker.

Volledige lijst met contractvoorwaarden →

Infrastructuur

Applicatie-hostingVercel EU edge network
Database + authenticatie + opslagSupabase — Frankfurt, Duitsland (EU)
LLM proxy + budgetbeheerLiteLLM op TransIP VPS — Amsterdam, Nederland (EU)
E-mailbezorgingLettermint (EU)
BetalingenStripe + Stripe Tax — Dublin, Ierland (EU)
DataresidencieKlantdata verlaat de EER onder geen enkele omstandigheid

Beveiligingsmaatregelen

Versleuteling in rustAES-256 (data), AES-256-GCM (API-keys)
Versleuteling in transportTLS 1.2+ op alle verbindingen
AuthenticatieE-mail + TOTP MFA (verplicht)
ToegangsbeheerMinimale rechten, rolgebaseerd, multi-tenant RLS
Back-upsDagelijks versleuteld, point-in-time recovery, 30 dagen bewaring
MonitoringVercel observability
KwetsbaarheidsscanningDependabot, CodeQL
Doel-RTO4 uur
Doel-RPO24 uur

BYOK & LLM-providers

Onder ons Bring Your Own Key-model onderhouden klanten een directe relatie met elke LLM-provider (OpenAI, Anthropic, Google, Mistral) via hun eigen API-keys. LLM-providers zijn geen sub-verwerkers van Custos.

API-keys van klanten worden versleuteld opgeslagen met AES-256-GCM en uitsluitend in het geheugen ontsleuteld op het moment van gebruik — nooit gelogd, nooit zichtbaar voor Custos-medewerkers.

Incidentrespons

We verplichten ons ertoe getroffen klanten binnen 48 uur te informeren nadat we op de hoogte zijn van een beveiligingsincident waarbij persoonsgegevens betrokken zijn, zoals vereist door artikel 33 AVG.

Incidentlog

Tot op heden geen incidenten gemeld. Deze sectie wordt transparant bijgewerkt zodra een incident plaatsvindt, conform de tijdlijn in onze verwerkersovereenkomst.

Security-onderzoekers kunnen kwetsbaarheden melden via . We reageren binnen 48 uur en vermelden verantwoorde meldingen in onze changelog.

Contact & juridisch

Juridisch + DPA-verzoeken
Privacyverzoeken
Security-meldingen
BedrijfAlpha Digital B.V. · KvK 72313129 · Stationsplein 26, 6512 AB Nijmegen, NL
PrivacybeleidAlgemene voorwaardenVerwerkersovereenkomstCookiebeleidBeveiliging