Datalokatie & GDPR
Waar staat uw data, wie verwerkt het, en hoe SpectIQ voldoet aan de AVG / GDPR.
SpectIQ verwerkt uw data binnen de EU. Deze pagina legt uit waar precies, wie wat doet, en hoe wij voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR).
Datalokatie per onderdeel
| Type data | Locatie | Provider |
|---|---|---|
| Klant- en rapportgegevens | Frankfurt (DE) | Railway (PostgreSQL) |
| Foto's en bijlagen | EU-bucket | Cloudflare R2 |
| Authenticatie-sessies | Frankfurt (DE) | Railway (PostgreSQL, Better-Auth) |
| E-mail (OTP, notificaties) | Dublin (IE) | AWS SES (eu-west-1) |
| AI-generatie | Frankfurt (DE) | Anthropic Claude (EU-endpoint) |
| Spraak-naar-tekst | OpenAI API (US, korte audio) | OpenAI Whisper |
| Betalingen | Dublin (IE) | Stripe (geen kaartdata bij ons) |
| Application-monitoring | Dublin (IE) | Langfuse (zelf-gehost EU) |
| Status-page hosting | Frankfurt (DE) | Cloudflare Pages |
Vrijwel alle data blijft in de EU. Uitzondering: spraak-naar-tekst-audio gaat naar OpenAI's standaard API (US-gehost) - dit gebeurt alleen wanneer u de microfoon-functie in de editor gebruikt. OpenAI behandelt dit volgens de standaard contractuele clausules en gebruikt API-input niet voor training. Voor 100% EU-gebaseerde verwerking: gebruik geen spraak-naar-tekst, of mail support@spectiq.nl voor maatwerk.
Categorieën persoonsgegevens
We verwerken:
- Account-data: e-mailadres, naam, bedrijfsnaam (van u, de gebruiker)
- Klant-data: naam, e-mail, telefoon, adres (van uw opdrachtgevers)
- Inspectie-data: adresgegevens panden, foto's
- Operationele data: inloggebeurtenissen, audit-logs, IP-adres bij login
Sub-verwerkers
Lees onze volledige sub-verwerkers-pagina voor de actuele lijst en welke verwerkingen elk doet:
- Railway: hosting van app + database
- Cloudflare: R2-storage, Pages, CDN
- Anthropic: AI-generaties
- OpenAI: Whisper (spraak-naar-tekst)
- AWS: e-mail (SES)
- Stripe: betalingen
- Langfuse: AI-tracing
Wij hebben verwerkersovereenkomsten met al deze partijen. Standaard contractuele clausules waar relevant.
Uw rechten onder de AVG
Recht op inzage (Artikel 15)
Onder Acties → Volledige data export downloadt u alle data die SpectIQ over u en uw klanten heeft. ZIP met JSON-bestanden.
Verwerkingstijd: ~5 minuten voor een typisch account, tot 30 minuten voor grote accounts.
Recht op rectificatie (Artikel 16)
Onjuiste gegevens? Pas direct aan in:
- Instellingen → Organisatie: uw bedrijfsgegevens
- Instellingen → Profiel: uw persoonlijke gegevens
- Klanten: gegevens van uw opdrachtgevers
- Project → Projectinfo: rapport-specifieke gegevens
Recht op vergetelheid (Artikel 17)
Account verwijderen? Mail support@spectiq.nl met onderwerp "Verwijderen account". Wij:
- Sturen bevestigingsmail (anti-fraude)
- Verwijderen alle data binnen 30 dagen
- Bewaren onder onze plicht (Belastingdienst) alleen factuur-metadata 7 jaar lang
Lees Voorwaarden → opzeggen voor de juridische details.
Recht op overdraagbaarheid (Artikel 20)
De data-export onder Acties → Volledige data export is in standaard JSON-formaat - direct importeerbaar in een ander systeem dat hetzelfde format ondersteunt.
Recht van bezwaar (Artikel 21)
Wilt u bezwaar maken tegen verwerking? Mail privacy@spectiq.nl. Wij behandelen binnen 14 dagen.
Onze verplichtingen
Beveiliging
- Encryptie tijdens transport: TLS 1.3 op alle verbindingen
- Encryptie at rest: PostgreSQL en R2 gebruiken AES-256
- Toegangscontroles: alleen geautoriseerde teamleden bij SpectIQ hebben toegang tot productie-data
- Audit-logging: alle toegang tot productie-data wordt gelogd
- Backups: dagelijkse PostgreSQL-snapshots, 30 dagen retentie
- 2FA: verplicht voor SpectIQ-medewerkers met productie-toegang
Datalek-protocol
Bij een (mogelijk) datalek:
- Binnen 72 uur melden bij de Autoriteit Persoonsgegevens
- Getroffen gebruikers informeren bij significant risico
- Onafhankelijke security-audit
- Postmortem-rapport extern publiceren
Tot dusver geen datalekken gehad. Status: status.spectiq.nl.
Datalek-melding aan u
Als u onze klant bent en wij vermoeden dat uw klantdata is gelekt: u krijgt binnen 72 uur per e-mail een melding met:
- Wat is er gebeurd
- Welke data is mogelijk geraakt
- Wat doen wij om het op te lossen
- Wat moet u doen (informeer uw klanten)
Verwerkersovereenkomst (DPA)
Voor zakelijke klanten: u bent verwerkingsverantwoordelijke voor klantdata in uw rapporten. SpectIQ is verwerker. Wij hebben een Data Processing Agreement (DPA) klaar staan.
Lees onze DPA op spectiq.nl/dpa. Op aanvraag kunnen we een papieren versie sturen voor handtekening.
Internationale overdrachten
Geen. Alle data blijft in de EU. Sommige sub-verwerkers (zoals Anthropic) zijn Amerikaans-gemoederd, maar onze contracten beperken verwerking tot EU-data centers.
Bewaartermijnen
| Data | Termijn | Reden |
|---|---|---|
| Inspectie-data (rapporten, foto's) | Tot account-verwijdering of 12 maanden na opzegging | Continuïteit |
| Klant-data | Tot account-verwijdering of 12 maanden na opzegging | Continuïteit |
| Audit-logs | 13 maanden | Compliance |
| Factuur-metadata | 7 jaar | Belastingplicht |
| AI-generatie-traces | 30 dagen | Debugging, daarna geanonimiseerd |
| E-mail-logs (verzonden / bounced) | 90 dagen | Operationeel |
| Backup-snapshots | 30 dagen | Disaster recovery |
Hosting bij Railway
Railway is onze hosting-provider. Specifiek:
- Productie-omgeving in Frankfurt (regio
europe-west4-drams3a) - Compute (Next.js, PDF-generatie) en database (PostgreSQL)
- Railway zelf is gevestigd in San Francisco, USA - maar onze servers staan in Duitsland
Hosting bij Cloudflare
- Foto's en bijlagen: Cloudflare R2 (EU-only bucket)
- Marketing-site (
spectiq.nl) en docs: Cloudflare Pages, EU-only edge - DDoS-protection en CDN: Cloudflare globaal (statisch, geen persoonsdata)
Contact privacy-officer
Voor vragen specifiek over privacy of GDPR:
- E-mail: privacy@spectiq.nl
- Reactie binnen: 14 dagen
- Functionaris voor de Gegevensbescherming: Wayne Laagewaard (wayne@spectiq.nl)
Voor klachten kunt u zich altijd wenden tot de Autoriteit Persoonsgegevens.