Beveiliging, Privacy & Juridisch
Alles wat u nodig heeft om te verifiëren dat C2 voldoet aan uw gegevensbeschermingsvereisten voordat u tekent. Transparant by design.
Juridische documenten
Download & Beoordeel Onze Juridische Overeenkomsten
Alle documenten zijn beschikbaar om te downloaden en te bekijken voordat u zich committeert. Geen aanvraag vereist.
Gegevensverwerkingsovereenkomst
Onze DPA conform Art. 28 AVG: hoe C2 persoonsgegevens verwerkt namens u, inclusief ROPA, DSARs, datalekmelding en sub-verwerkers, en verwijdering van gegevens. Automatisch geaccepteerd bij ondertekening van uw abonnement.
Algemene voorwaarden
De master subscription agreement voor uw gebruik van C2: licentieverlening, vergoedingen, garanties, beperking van aansprakelijkheid en toepasselijk recht (Nederland).
Privacybeleid
Hoe Agile Futurist persoonsgegevens verzamelt en verwerkt als verwerkingsverantwoordelijke voor websitebezoekers, prospects en contacten (los van klanttenantgegevens).
Sub-processorregister
Third-party partijen die we gebruiken om het platform te leveren
In overeenstemming met Art. 28(3)(d) AVG houden wij een openbaar register bij van alle subverwerkers. U ontvangt minimaal 30 dagen van tevoren bericht van eventuele toevoegingen of wijzigingen.
| Subprocessor | Doel | Verwerkingslocatie | Overdrachtsmechanisme | DPA Status |
|---|---|---|---|---|
| Amazon Web Services (AWS) Cloudinfrastructuur & Opslag (S3) |
Primaire compute, objectopslag (Amazon S3), netwerken en databases vormen de basis van het platform. | EU (Ierland, eu-west-1) | N.v.t. (EER) | Ondertekend, Art. 28 |
| Amazon Web Services (SES) E-mail bezorging |
Transactie- en notificati emails: DSAR-meldingen, onboarding flows, systeemnotificaties. | EU (Ierland, eu-west-1) | N.v.t. (EER) | Ondertekend, Art. 28 |
| OpenAI AI-taalmodel (standaard) |
Taalmodel inferentie voor de AI HR Assistent. Ontvangt alleen query tekst en relevante kennisbankfragmenten. Er worden nooit persoonlijke werknemersgegevens (namen, dossiers, salarisadministratie, prestatiegegevens) verzonden. Kennisophaling maakt gebruik van een zelf gehoste Qdrant vector database op EU (Ierland) infrastructuur. Geen training op of bewaren van klantgegevens. Op verzoek zijn er voor zakelijke klanten alternatieven voor EU-gehoste of zelf gehoste LLM's beschikbaar. | Verenigde Staten | SCC Module 2 | Ondertekend, art. 28 + AI Act |
| Amazon Web Services (CloudWatch) Platform Monitoring & Observability |
Applicatieprestatiebewaking, logboekregistratie en waarschuwingen via AWS CloudWatch. Gedekt door dezelfde AWS DPA als kerninfrastructuur. Alleen gepseudonimiseerde gegevens. | EU (Ierland, eu-west-1) | N.v.t. (EER) | Ondertekend, Art. 28 |
| Frappe HelpDesk (zelf gehost) Klantenservice Ticketing |
Beheer van supporttickets die door uw gebruikers worden ingediend. Zelf gehost op EU (Ierland, AWS eu-west-1) infrastructuur; Frappe Ltd verwerkt geen persoonsgegevens. Toegang beperkt tot geautoriseerd supportpersoneel. | EU (Ierland, eu-west-1) | N.v.t. (EER, zelf gehost) | Zelf gehost; N.v.t. |
Laatst bijgewerkt: juli 2026. Om meldingen van wijzigingen in subverwerkers per e-mail te ontvangen, contact dpo@cognitis.cloud met onderwerp “Meldingen subverwerker”.
Veiligheidsmaatregelen
Technische en Organisatorische Maatregelen (TOM's)
Een samenvatting van onze beveiligingsmaatregelen zoals gedefinieerd in Bijlage 2 van de DPA. De volledige bijlage is beschikbaar in de downloadbare DPA hierboven.
Toegangscontrole
- Rolgebaseerde toegangscontrole (RBAC), minst begunstigde principe
- MFA afgedwongen voor beheerdersaccounts
- Sessie-time-out, unieke referenties
- Beheerdersrechtenbeheer
Encryptie
- In transit: TLS 1.2+ (TLS 1.3 voorkeur)
- In rust: AES-256
- Database-niveaucodering
- Jaarlijkse sleutelrotatie
Tenant Isolatie
- Strikte logische scheiding tussen huurders
- Huureigenaren identiteit handhavingslaag op ORM-laag
- Geautomatiseerde isolatietests bij elke implementatie
Infrastructuur
- Hosting binnen de EU (ISO 27001 datacenters)
- Netwerksegmentatie, IDS/IPS, WAF
- DDoS-mitigatie aanwezig
Kwetsbaarhedenbeheer
- Penetratietest door derden gepland voor H2 2026; continue geautomatiseerde dependency scanning en SAST aanwezig
- Geautomatiseerde afhankelijkheidsscanning (CI/CD)
- Kritieke patches binnen 72 uur
Beschikbaarheid & Herstel
- 99,51 TP3T-SLA inzake beschikbaarheid
- Dagelijkse back-ups, 30-dagen retentie
- Kwartaal DR testen
Incidentrespons
- 72-uursmelding van een datalek aan de verwerkingsverantwoordelijke
- Gedocumenteerd incidentresponsplan
- Realtime SIEM-waarschuwingen
- Art. 33(5) register van inbreuken bijgehouden
Privacy by Design
- Gegevensminimalisatie in alle functies
- DPIA vereist vóór inzet met hoog risico
- Geautomatiseerde retentiehandhaving
Compliance & Certificeringen
Onze certificeringsroutekaart
Wij zijn transparant over waar we staan op het pad naar onafhankelijke verificatie. Volg hier onze voortgang.
Volledige DPA gepubliceerd, register sub-verwerkers bijgehouden, FGÖ aangewezen. Alle verwerkingen uitsluitend op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke.
Alle HR- en werknemersgegevens worden uitsluitend opgeslagen en verwerkt binnen de EU (Ierland, AWS eu-west-1). De AI-assistent gebruikt een zelf gehoste Qdrant vector database op EU-infrastructuur voor kennisopslag; er wordt geen persoonlijke data geïndexeerd. AI-taalmodel inferentie (OpenAI) ontvangt alleen querytekst en kennisbankfragmenten onder SCC Module 2. Persoonlijke werknemersgegevens verlaten nooit de EU.
Interne beoordeling van NIS 2-verplichtingen van toepassing op C2 als aanbieder van digitale diensten. Beleidsupdates in uitvoering.
Onafhankelijke penetratietest door een derde partij start in 2026. Een samenvatting is beschikbaar voor klanten van de Enterprise-tier onder NDA op aanvraag.
ISO 27001 gap-analyse start in 2026. Doel: certificering binnen 18 maanden. De erkende standaard voor informatiebeveiligingsbeheer, direct gekoppeld aan AVG Art. 32.
De privacybeheersuitbreiding op ISO 27001, die direct overeenkomt met de GDPR-verplichtingen. Gericht op het volgen van de ISO 27001-certificering. C2 zal een van de eerste MKB HRIS-platforms in Europa zijn die deze certificering bezit.
Het volgen van geaccrediteerde certificeringsregelingen onder Art. 42 GDPR in Nederland en de EU (inclusief EuroPriSe). Zal verder gaan zodra er een volwassen regeling voor SaaS-verwerkers is vastgesteld.
Documentgeschiedenis
Wijzigingenlogboek juridisch document
Materiële wijzigingen worden ten minste 30 dagen voordat ze van kracht worden aan bestaande klanten gecommuniceerd.
Om meldingen van juridische updates te ontvangen, e-mail dpo@cognitis.cloud met onderwerp “Juridische update meldingen”.
Gegevensbescherming
Contact Ons team gegevensbescherming
Voor vragen over gegevensbescherming, naleving van de AVG, de AP, of om rechten van betrokkenen uit te oefenen.
Functionaris voor gegevensbescherming
Beveiliging & Incidenten
Juridisch & Contractueel
Klaar om de HRIS te zien die speciaal is gebouwd voor Europese MKB's: transparant, AVG-conform en verifieerbaar?
Boek uw gratis demo van 30 minuten →