AskBI
Compliance

GDPR & AVG

AskBI is gebouwd met privacy by design. Alle data blijft in de EU, elke verwerking is gedocumenteerd en jij behoudt volledige regie over de gegevens van jouw organisatie.

Vraag DPA aanPrivacybeleid

Rolverdeling onder de AVG

Inzicht in wie wat verwerkt maakt compliance overzichtelijk.

Jij als Verwerkings­verantwoordelijke

Jouw organisatie bepaalt het doel en de middelen voor verwerking van persoonsgegevens van jouw medewerkers en klanten. Je bent verantwoordelijk voor de grondslag waarop je AskBI inzet.

AskBI als Verwerker

Quality Textiles B.V. verwerkt persoonsgegevens uitsluitend in opdracht van jou, conform de overeengekomen Data Processing Agreement. Wij handelen nooit als zelfstandige verwerkingsverantwoordelijke voor jouw data.

Sub-verwerkers

Wij maken gebruik van een beperkt aantal sub-verwerkers (Railway, Supabase, Stripe, Google, Anthropic, Sentry) — allen contractueel gebonden en geaudited. Actuele lijst beschikbaar in je DPA.

Data Processing Agreement (DPA)

Alle professionele abonnees (Starter en hoger) ontvangen standaard een DPA die voldoet aan artikel 28 AVG. De DPA omvat:

  • Beschrijving van de verwerkingen en doeleinden
  • Lijst van sub-verwerkers met SCC-documentatie
  • Technische en organisatorische beveiligingsmaatregelen
  • Procedure voor datalekken (melding binnen 48u)
  • Rechten van betrokkenen en ondersteuning bij DSR's
  • Auditerechten voor de verwerkingsverantwoordelijke
  • Verwijdering of teruggave van data na beëindiging
DPA aanvragen

Rechten van betrokkenen

Wij ondersteunen jou bij het nakomen van AVG-verplichtingen richting jouw eigen medewerkers en eindgebruikers.

Inzageverzoek (DSR)

Binnen 30 dagen

Data-exportfunctie in beheerportal. Download JSON/CSV van alle verwerkte data per gebruiker.

Verwijderingsverzoek

Binnen 5 werkdagen

Account + alle bijbehorende data in 2 klikken. Cascade-delete inclusief audit logs na 90 dagen.

Rectificatieverzoek

Direct

Tenantbeheerder kan alle profielgegevens direct aanpassen.

Beperking verwerking

Binnen 24 uur

Account tijdelijk bevroren — geen verwerking, data blijft beschikbaar.

Datalocatie & transfers

Alle productiedata blijft in de Europese Unie. Er zijn geen transatlantische datatransfers zonder expliciete SCCs.

Applicatiehosting

Railway Amsterdam

EU (NL)Primair

Databasehosting

Supabase

EU WestPrimair

ERP-proxy cache

Azure SQL

North EuropePrimair

Caching

Upstash Redis

EU (Frankfurt)Primair

AI-inferentie

Google / Anthropic

EU + SCCSCC

Foutmonitoring

Sentry (EU regio)

EUPrimair

Privacy by design principes

Dataminimalisatie

We verzamelen alleen wat strikt noodzakelijk is voor de dienstverlening. ERP-data wordt niet permanent opgeslagen — alleen tijdelijk gecached (max. 24u, configureerbaar).

Pseudonimisering & encryptie

Wachtwoorden: bcrypt-12. Data at rest: AES-256. Data in transit: TLS 1.3. Audit logs worden gepseudonimiseerd na 90 dagen.

Transparantie & logging

Elke query, elke AI-tool-call en elke data-toegang is gelogd. Tenantbeheerders kunnen de volledige audit log inzien en exporteren.

Toegangsbeperking

9 rollen, RLS op database niveau, aparte tenant-isolatie. Een gebruiker kan nooit data van een andere tenant zien, ook niet bij een bug in de applicatielaag.

Vragen over onze GDPR-aanpak?

Onze AVG-contactpersoon beantwoordt al je vragen over gegevensverwerking, de DPA, audit-rechten of specifieke compliance-vereisten van jouw sector.

privacy@askbi.ioSecurity pagina