Security & Compliance

Beveiliging en GDPR-compliance die je kunt verifiëren

obqo is gebouwd voor Europese onderwijsinstellingen. Privacy en data-soevereiniteit zijn geen feature — het is de basis.

Data residency

Alle klantdata wordt opgeslagen in de EU (Frankfurt, Duitsland) via Supabase EU

Geen data verlaat Europa — nooit

Backups en replicatie binnen dezelfde EU-regio

Authenticatie

SURFconext SSO (SAML) voor Nederlandse instellingen

Magic-link authenticatie als fallback — geen wachtwoorden opgeslagen in obqo

Authenticatie: Supabase Auth (EER, Frankfurt). Google + Microsoft OAuth, magic-link / eenmalige code, en SURFconext SAML SSO per tenant; MFA via de instellings-IdP

Rolgebaseerde toegangscontrole met 5 rechtniveaus (Coach, Flow Builder, Admin, Billing Admin, Owner)

Tenant-isolatie via host-gebaseerde routing + scoped queries; cross-tenant lookups in code-review geblokkeerd

Row Level Security op alle 30 obqo_*-tabellen (audit 2026-04-29: 30/30)

Geen inbox-toegang

obqo ondersteunt coaching workflows zonder gedelegeerde toegang tot mail of agenda:

Geen gedelegeerde toegang tot mailboxen of agenda's

Geen scanning van inboxen, contacten of bestanden

Geen integratie met studentmail of persoonlijke accounts

AI-dataverwerking

AI-features (sessiesamenvattingen, flow-suggesties, congratulations-mail-concepten, alumni-pulse parsing) gebruiken Anthropic's Claude API. Optionele sessieopnames gebruiken OpenAI Whisper voor transcriptie. Beide leveranciers zijn US-gevestigd; doorgifte vindt plaats onder EU SCC + DPF.

AI staat standaard uit voor nieuwe tenants — Organization.settings.featureFlags.aiEnabled moet expliciet op true worden gezet

Eén per-tenant gate (lib/feature-flags.ts) dekt alle OpenAI/Anthropic-callsites — 9 in totaal, geverifieerd door automatische tests bij elke release

Geen studentdata wordt gebruikt voor modeltraining (contractueel met Anthropic en OpenAI)

AI-verzoeken zijn stateless — geen gesprekshistorie wordt door de leverancier bewaard

Wanneer AI aanstaat: volledige sessietranscript gaat naar Claude voor samenvatting; opname-audio gaat naar Whisper voor transcriptie, daarna wordt de audio direct uit opslag verwijderd bij succes

Opname vereist AI: opname inschakelen zonder AI wordt bij opslaan geweigerd (audio zonder transcriptie heeft geen vervolg)

Sessietype-enum is neutraal (PRIORITY, niet CRISIS) — geen gezondheidsclaim wordt structureel vastgelegd

Voor de UvA-tenant staan beide vlaggen uit; geen obqo-klantdata bereikt Anthropic of OpenAI

Alumni opt-out en uitschrijven

Elke uitgaande alumni-mail draagt een universele opt-out-footer en RFC 8058 one-click headers, zodat de uitschrijfknop in Gmail en Outlook het verzoek zonder verdere interactie afhandelt.

Drie zelfbedieningslinks in elke mail: "Minder e-mails" (alleen carrière-signalen), "Uitschrijven" (kill-switch), "Verwijder mijn data" (start soft-delete + verwijderings-graceperiode)

List-Unsubscribe + List-Unsubscribe-Post: List-Unsubscribe=One-Click headers op elke alumni-mail

Token-beveiligd endpoint /api/alumni/unsubscribe — HMAC-ondertekend, idempotent, audit-gelogd

Per-kanaal opt-out (alleen carrière-signalen) en tenant-brede kill-switch (alle e-mails uit) apart bijgehouden in AlumniConsent

Privacy-contact alumni-abs@uva.nl in de footer, naast de UvA alumni-privacy-statement

Jaarlijkse re-consent

Eén keer per jaar — bij start van het academisch jaar — ontvangen alumni een expliciete re-consent-mail met de vraag of ze geregistreerd willen blijven. Drie antwoordopties bepalen de communicatie van het volgend jaar.

Cron /api/cron/alumni-reconsent op 1 september 09:00 UTC

Drie ondertekende antwoord-tokens: geregistreerd blijven · minder e-mails · verwijder mij

Geen reactie = status quo; volgend jaar opnieuw gevraagd. Geen impliciete deletion zonder expliciet verzoek.

Antwoorden updaten AlumniConsent.lastReconsentAt + reconsentResponse voor herleidbaarheid

Subverwerkers

Directe sub-verwerkers ingeschakeld voor het leveren van obqo. DPA Bijlage C van de verwerkersovereenkomst is de leidende versie.

Service	Doel	Regio	Doorgifte-grondslag
Supabase Inc.	Database, opslag & authenticatie	Frankfurt, Duitsland (EER)	Binnen EER; EU SCC Module 2 voor uitzonderlijke support-toegang
Vercel Inc.	Applicatie hosting	EU edge (Vercel-vennootschap is US-gevestigd)	EU SCC + DPF voor incidentele US-control-plane-toegang
Van Moose (Truncus)	Transactionele e-mail (interne sub-verwerker)	AWS eu-west-1 (Ierland)	Binnen EER
Amazon Web Services EMEA SARL	Onderliggende SES-infrastructuur voor Truncus	eu-west-1 (Ierland)	Binnen EER; AWS GDPR DPA via Service Terms
Anthropic PBC (Claude)	AI-features — standaard uit	Verenigde Staten	EU SCC + DPF; alleen actief wanneer tenant AI expliciet inschakelt (uit voor UvA)
OpenAI LLC (Whisper)	Transcriptie van sessieopnames — standaard uit	Verenigde Staten	EU SCC + DPF; alleen actief wanneer tenant opnames expliciet inschakelt (uit voor UvA)

Sub-sub-verwerkers via Supabase

Supabase schakelt op zijn beurt de onderstaande sub-sub-verwerkers in. De volledige lijst staat in Schedule 3 van de Supabase Data Processing Addendum.

Service	Doel	Aantekening
Amazon Web Services Inc.	Hosting-infrastructuur voor Supabase-databases	EU-regio voor UvA-tenant
Cloudflare Inc.	Hosting / CDN-diensten	EU-edge voor UvA-tenant
Sentry (Functional Software Inc.)	Foutmonitoring en tracing	Alleen geanonimiseerde foutmeldingen
OpenAI LLC	Alleen Supabase-interne dashboard-AI	Geen obqo-klantdata bereikt OpenAI via dit pad

Dataretentie

Persoonsgegevens worden niet langer bewaard dan nodig voor het gedocumenteerde doel (AVG art. 5 lid 1 sub e). Bijlage D van de verwerkersovereenkomst is de leidende bron voor termijnen per categorie; de verwerkingsverantwoordelijke (universiteit) stelt ze vast.

Coachingsessie-notities: 3 jaar vanaf afstuderen of voortijdig beëindigen opleiding; daarna wordt het notitieveld geleegd en blijft alleen geaggregeerde metadata (datum, type, duur, format) voor accreditatie

Alumni-gegevens: 10 jaar vanaf afstuderen of voortijdig beëindigen; daarna PII-velden (naam, e-mail, exacte werkgever, LinkedIn-URL) leeg

Aggregaat-behoudende retentiestrategie: wanneer alumni-PII wordt geleegd, behouden child-rijen (CareerOutcome, JobApplication, NetworkingContact) hun niet-persoonsgebonden kolommen (bedrijf, functie, sector, land, datum) zodat cohort- en werkgevers-rapportage onbeperkt blijft werken

Sessieopnames: audio wordt direct na succesvolle Whisper-transcriptie uit opslag verwijderd; transcripten 1 jaar of eerder bij intrekken toestemming — n.v.t. voor tenants met opnames uit (UvA)

Audit-logs: 12 maanden voor security- en datalek-onderzoek

Na contractbeëindiging: 90 dagen export-venster (CSV/JSON via /api/orgs/[id]/export), daarna verwijdert Supabase de data binnen 30 dagen

Wekelijkse retention-sweep (/api/cron/retention-sweep) handhaaft de termijnen per tenant; opt-in per organisatie zolang controller Bijlage D-waardes finaliseert

Recht op verwijdering AVG art. 17 te allen tijde — soft-delete + 30 dagen recovery, daarna hard-delete

Cookies & tracking

Alleen functionele cookies voor authenticatie

Geen advertentiecookies

Geen third-party analytics

Geen cross-site tracking

Beschikbaarheid

Beschikbaarheidsdoel: 99,5% uptime (gedocumenteerd in de serviceovereenkomst)

Onderhoudsvensters: 48 uur vooraankondiging bij gepland onderhoud

Statusmeldingen bij ongeplande verstoringen

Incidentmelding

Beveiligingsincidenten: meld via info@obqo.co

Responstijd: bevestiging binnen 24 uur.

IB&P classificatie

obqo voldoet aan de IB&P LOW/LOW/LOW classificatie voor beschikbaarheid, integriteit en vertrouwelijkheid. Dit betekent dat het platform geschikt is voor verwerking van niet-bijzondere persoonsgegevens in het hoger onderwijs.

Procurement documentatie

We leveren de volgende documentatie op verzoek:

Data Processing Agreement (DPA), afgestemd op het SURF-model verwerkersovereenkomst
Subverwerkerslijst met regio's en DPA-status
Security overview en beschrijving van beheersmaatregelen
Retentie- en verwijderingsbeleid
Toegankelijkheidsverklaring (WCAG 2.1 AA)

Aanvragen: info@obqo.co

Procurement pack aanvragen

Ontvang een compleet pakket: DPA, subverwerkerslijst, security overview, retentiebeleid en toegankelijkheidsverklaring.

Vraag documentatie aan