Vertrouwenscentrum

Beveiliging, Privacy & Juridisch

Alles wat u nodig heeft om te verifiëren dat C2 voldoet aan uw gegevensbeschermingsvereisten voordat u tekent. Transparant by design.

GDPR by Design EU Data-residentie Nederlands recht van toepassing DPO Aangewezen

Juridische documenten

Download & Beoordeel Onze Juridische Overeenkomsten

Alle documenten zijn beschikbaar om te downloaden en te bekijken voordat u zich committeert. Geen aanvraag vereist.

Gegevensverwerkingsovereenkomst

Onze DPA conform Art. 28 AVG: hoe C2 persoonsgegevens verwerkt namens u, inclusief ROPA, DSARs, datalekmelding en sub-verwerkers, en verwijdering van gegevens. Automatisch geaccepteerd bij ondertekening van uw abonnement.

Versie 1.1 · Juli 2026 · Nederlandse wetgeving

Algemene voorwaarden

De master subscription agreement voor uw gebruik van C2: licentieverlening, vergoedingen, garanties, beperking van aansprakelijkheid en toepasselijk recht (Nederland).

Laatst bijgewerkt: mei 2025 · Nederlandse wetgeving

Privacybeleid

Hoe Agile Futurist persoonsgegevens verzamelt en verwerkt als verwerkingsverantwoordelijke voor websitebezoekers, prospects en contacten (los van klanttenantgegevens).

Laatst bijgewerkt: mei 2025 · 
Opmerking: Acceptatie van de C2 Gebruiksvoorwaarden omvat deze DPA door verwijzing. U hoeft geen aparte DPA te ondertekenen, tenzij uw interne beleid een getekende kopie vereist. Voor verzoeken tot een getekende DPA, contact dpo@cognitis.cloud.

Sub-processorregister

Third-party partijen die we gebruiken om het platform te leveren

In overeenstemming met Art. 28(3)(d) AVG houden wij een openbaar register bij van alle subverwerkers. U ontvangt minimaal 30 dagen van tevoren bericht van eventuele toevoegingen of wijzigingen.

Subprocessor Doel Verwerkingslocatie Overdrachtsmechanisme DPA Status
Amazon Web Services (AWS)
Cloudinfrastructuur & Opslag (S3)
Primaire compute, objectopslag (Amazon S3), netwerken en databases vormen de basis van het platform. EU (Ierland, eu-west-1) N.v.t. (EER) Ondertekend, Art. 28
Amazon Web Services (SES)
E-mail bezorging
Transactie- en notificati emails: DSAR-meldingen, onboarding flows, systeemnotificaties. EU (Ierland, eu-west-1) N.v.t. (EER) Ondertekend, Art. 28
OpenAI
AI-taalmodel (standaard)
Taalmodel inferentie voor de AI HR Assistent. Ontvangt alleen query tekst en relevante kennisbankfragmenten. Er worden nooit persoonlijke werknemersgegevens (namen, dossiers, salarisadministratie, prestatiegegevens) verzonden. Kennisophaling maakt gebruik van een zelf gehoste Qdrant vector database op EU (Ierland) infrastructuur. Geen training op of bewaren van klantgegevens. Op verzoek zijn er voor zakelijke klanten alternatieven voor EU-gehoste of zelf gehoste LLM's beschikbaar. Verenigde Staten SCC Module 2 Ondertekend, art. 28 + AI Act
Amazon Web Services (CloudWatch)
Platform Monitoring & Observability
Applicatieprestatiebewaking, logboekregistratie en waarschuwingen via AWS CloudWatch. Gedekt door dezelfde AWS DPA als kerninfrastructuur. Alleen gepseudonimiseerde gegevens. EU (Ierland, eu-west-1) N.v.t. (EER) Ondertekend, Art. 28
Frappe HelpDesk (zelf gehost)
Klantenservice Ticketing
Beheer van supporttickets die door uw gebruikers worden ingediend. Zelf gehost op EU (Ierland, AWS eu-west-1) infrastructuur; Frappe Ltd verwerkt geen persoonsgegevens. Toegang beperkt tot geautoriseerd supportpersoneel. EU (Ierland, eu-west-1) N.v.t. (EER, zelf gehost) Zelf gehost; N.v.t.

Laatst bijgewerkt: juli 2026. Om meldingen van wijzigingen in subverwerkers per e-mail te ontvangen, contact dpo@cognitis.cloud met onderwerp “Meldingen subverwerker”.

Veiligheidsmaatregelen

Technische en Organisatorische Maatregelen (TOM's)

Een samenvatting van onze beveiligingsmaatregelen zoals gedefinieerd in Bijlage 2 van de DPA. De volledige bijlage is beschikbaar in de downloadbare DPA hierboven.

Toegangscontrole

  • Rolgebaseerde toegangscontrole (RBAC), minst begunstigde principe
  • MFA afgedwongen voor beheerdersaccounts
  • Sessie-time-out, unieke referenties
  • Beheerdersrechtenbeheer

Encryptie

  • In transit: TLS 1.2+ (TLS 1.3 voorkeur)
  • In rust: AES-256
  • Database-niveaucodering
  • Jaarlijkse sleutelrotatie

Tenant Isolatie

  • Strikte logische scheiding tussen huurders
  • Huureigenaren identiteit handhavingslaag op ORM-laag
  • Geautomatiseerde isolatietests bij elke implementatie

Infrastructuur

  • Hosting binnen de EU (ISO 27001 datacenters)
  • Netwerksegmentatie, IDS/IPS, WAF
  • DDoS-mitigatie aanwezig

Kwetsbaarhedenbeheer

  • Penetratietest door derden gepland voor H2 2026; continue geautomatiseerde dependency scanning en SAST aanwezig
  • Geautomatiseerde afhankelijkheidsscanning (CI/CD)
  • Kritieke patches binnen 72 uur

Beschikbaarheid & Herstel

  • 99,51 TP3T-SLA inzake beschikbaarheid
  • Dagelijkse back-ups, 30-dagen retentie
  • Kwartaal DR testen

Incidentrespons

  • 72-uursmelding van een datalek aan de verwerkingsverantwoordelijke
  • Gedocumenteerd incidentresponsplan
  • Realtime SIEM-waarschuwingen
  • Art. 33(5) register van inbreuken bijgehouden

Privacy by Design

  • Gegevensminimalisatie in alle functies
  • DPIA vereist vóór inzet met hoog risico
  • Geautomatiseerde retentiehandhaving

Compliance & Certificeringen

Onze certificeringsroutekaart

Wij zijn transparant over waar we staan op het pad naar onafhankelijke verificatie. Volg hier onze voortgang.

AVG art. 28 naleving  Live

Volledige DPA gepubliceerd, register sub-verwerkers bijgehouden, FGÖ aangewezen. Alle verwerkingen uitsluitend op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke.

EU Data-residentie  Live

Alle HR- en werknemersgegevens worden uitsluitend opgeslagen en verwerkt binnen de EU (Ierland, AWS eu-west-1). De AI-assistent gebruikt een zelf gehoste Qdrant vector database op EU-infrastructuur voor kennisopslag; er wordt geen persoonlijke data geïndexeerd. AI-taalmodel inferentie (OpenAI) ontvangt alleen querytekst en kennisbankfragmenten onder SCC Module 2. Persoonlijke werknemersgegevens verlaten nooit de EU.

Beoordeling van de NIS 2-richtlijn  Bezig

Interne beoordeling van NIS 2-verplichtingen van toepassing op C2 als aanbieder van digitale diensten. Beleidsupdates in uitvoering.

Jaarlijkse penetratietest  Gepland 2026

Onafhankelijke penetratietest door een derde partij start in 2026. Een samenvatting is beschikbaar voor klanten van de Enterprise-tier onder NDA op aanvraag.

ISO 27001 Certificering  Kloofbeoordeling 2026

ISO 27001 gap-analyse start in 2026. Doel: certificering binnen 18 maanden. De erkende standaard voor informatiebeveiligingsbeheer, direct gekoppeld aan AVG Art. 32.

ISO 27701 Certificering  Routekaart

De privacybeheersuitbreiding op ISO 27001, die direct overeenkomt met de GDPR-verplichtingen. Gericht op het volgen van de ISO 27001-certificering. C2 zal een van de eerste MKB HRIS-platforms in Europa zijn die deze certificering bezit.

AVG Art. 42 Certificering  Bewaking

Het volgen van geaccrediteerde certificeringsregelingen onder Art. 42 GDPR in Nederland en de EU (inclusief EuroPriSe). Zal verder gaan zodra er een volwassen regeling voor SaaS-verwerkers is vastgesteld.


Documentgeschiedenis

Wijzigingenlogboek juridisch document

Materiële wijzigingen worden ten minste 30 dagen voordat ze van kracht worden aan bestaande klanten gecommuniceerd.

v1.1 Juli 2026 Huidig
Sub-processorregister bijgewerkt: leveranciersnamen toegevoegd (AWS eu-west-1, AWS SES, OpenAI), AI-gegevensstroom verduidelijkt (geen persoonlijke gegevens verzonden naar OpenAI; zelf gehoste Qdrant beheert RAG op EU-infrastructuur), SCC-module 2 genoteerd voor OpenAI. Penetratietest TOM gecorrigeerd om geplande datum H2 2026 te weerspiegelen.

Om meldingen van juridische updates te ontvangen, e-mail dpo@cognitis.cloud met onderwerp “Juridische update meldingen”.

Gegevensbescherming

Contact Ons team gegevensbescherming

Voor vragen over gegevensbescherming, naleving van de AVG, de AP, of om rechten van betrokkenen uit te oefenen.

Functionaris voor gegevensbescherming

AVG-vragen, DPA-vragen, rechten van betrokkenen, DSAR-indieningen.

Beveiliging & Incidenten

Veiligheidszorgen, vermoede inbreuken, kwetsbaarheden bekendmakingen.

Juridisch & Contractueel

Tegengetekende DPA-verzoeken, bezwaren van sub-verwerkers, juridische correspondentie.

Klantenservice

Platformondersteuning, accountvragen, onboardinghulp.

Klaar om de HRIS te zien die speciaal is gebouwd voor Europese MKB's: transparant, AVG-conform en verifieerbaar?

Boek uw gratis demo van 30 minuten →