Overzicht Beveiliging & Gegevensbescherming - Bijgewerkt
Overzicht
ISMS Copilot implementeert beveiligingsmaatregelen op enterpriseniveau om uw gevoelige compliancegegevens te beschermen. In dit artikel wordt uitgelegd hoe uw gegevens worden beveiligd, waar ze worden opgeslagen en welke controles er zijn om vertrouwelijkheid en privacy te waarborgen.
Voor wie is dit bedoeld
Dit artikel is voor:
Beveiligingsteams die ISMS Copilot evalueren
Compliance-professionals die met gevoelige klantgegevens omgaan
Beheerders die verantwoordelijk zijn voor beslissingen over gegevensbescherming
Gebruikers die willen begrijpen hoe hun gegevens worden beschermd
Belangrijkste beveiligingsprincipes
De beveiligingsarchitectuur van ISMS Copilot volgt deze kernprincipes:
Geen training op gebruikersgegevens - Uw gesprekken, documenten en klantinformatie worden nooit gebruikt om AI-modellen te trainen
EU-gegevensresidentie - Alle gegevens worden opgeslagen op servers in de EU (Frankfurt, Duitsland)
End-to-end versleuteling - Gegevens worden zowel tijdens verzending als in rust versleuteld
Behoud onder controle van de gebruiker - U bepaalt hoe lang uw gegevens worden bewaard
AVG-naleving - Volledige naleving van de Europese regelgeving voor gegevensbescherming
Versleuteling van gegevens
Versleuteling tijdens verzending
Alle gegevens die worden verzonden tussen uw browser en de servers van ISMS Copilot worden beschermd met:
TLS 1.3-versleuteling op alle HTTPS-verbindingen
Strict Transport Security (HSTS) gedurende 1 jaar afgedwongen met inbegrip van subdomeinen
Certificate pinning om man-in-the-middle-aanvallen te voorkomen
Automatische HTTPS-upgrade voor alle onveilige verzoeken
Elke verbinding met ISMS Copilot maakt gebruik van versleuteling op bankniveau. Uw gegevens kunnen tijdens de verzending niet worden onderschept of gelezen.
Versleuteling in rust
Alle gegevens die in de databases van ISMS Copilot zijn opgeslagen, worden beschermd met:
AES-256 versleuteling voor alle productiedatabases
Versleutelde back-ups volgens dezelfde beveiligingsnormen
Versleutelde bestandsopslag voor geüploade documenten (PDF, DOCX, XLS)
Veilig sleutelbeheer waarbij sleutels gescheiden van de gegevens worden opgeslagen
Gegevensopslag & Residentie
Waar uw gegevens worden opgeslagen
Alle database-opslag van ISMS Copilot vindt plaats in:
Locatie: Servers in de EU (regio AWS Frankfurt, Duitsland)
Provider: Supabase (gebouwd op AWS-infrastructuur)
Naleving: AVG-conforme datacenters met garanties voor EU-gegevensresidentie
AI-verwerkingslocatie (door gebruiker te configureren):
Hoewel uw database-opslag altijd in de EU is, hangt de AI-verwerkingslocatie af van uw instelling voor de Geavanceerde Gegevensbeschermingsmodus:
Geavanceerde Gegevensbescherming UIT (Standaard): AI-verwerking vindt plaats in de Verenigde Staten (xAI/OpenAI) met standaardcontractbepalingen en aanvullende maatregelen
Geavanceerde Gegevensbescherming AAN: AI-verwerking vindt plaats in de Europese Unie (Mistral AI), waardoor internationale doorgiften en Transfer Impact Assessments niet nodig zijn
Organisaties met eisen voor EU-gegevensresidentie kunnen de Geavanceerde Gegevensbeschermingsmodus inschakelen om Transfer Impact Assessments voor AI-verwerking te vermijden. Zie onze Transfer Impact Assessment voor details.
Uw database met gespreksgeschiedenis blijft altijd in de EU (Frankfurt). De Geavanceerde Gegevensbeschermingsmodus bepaalt waar de AI-verwerking plaatsvindt en hoe lang AI-providers gegevens bewaren (30 dagen versus nul).
Welke gegevens worden opgeslagen
ISMS Copilot slaat de volgende informatie op:
Accountinformatie: E-mailadres, verificatiegegevens (gehashte wachtwoorden)
Gespreksgeschiedenis: Uw vragen en de AI-antwoorden binnen elke werkruimte
Geüploade documenten: Bestanden die u uploadt voor analyse (PDF, DOCX, XLS)
Werkruimtegegevens: Namen van werkruimtes, aangepaste instructies en projectorganisatie
Gebruiksmetadata: Tijdstempels, aantal berichten en functiegebruik voor facturering en serviceverbetering
Authenticatie & Toegangscontrole
Ondersteunde authenticatiemethoden
ISMS Copilot ondersteunt meerdere veilige authenticatie-opties:
E-mail & Wachtwoord
Strenge wachtwoordvereisten (minimaal 8 tekens met hoofdletters, kleine letters, cijfers en speciale tekens)
Wachtwoorden gehasht met behulp van het industriestandaard bcrypt-algoritme
Verplichte e-mailverificatie: U moet op de bevestigingslink klikken die via e-mail is verzonden voordat u kunt inloggen. Dit garandeert accounteigendom en voorkomt ongeautoriseerde toegang
Veilig wachtwoordherstel via e-mailverificatie
Google OAuth
Single sign-on met uw Google-account
Geen wachtwoord opgeslagen in ISMS Copilot
Authenticatietokens beheerd door Google
Microsoft/Azure OAuth
Single sign-on met uw Microsoft- of Azure-account
Enterprise-klaar voor organisaties die Microsoft 365 gebruiken
Authenticatietokens beheerd door Microsoft
Gebruik voor maximale beveiliging OAuth-providers (Google of Microsoft) in combinatie met hun ingebouwde meervoudige authenticatiefuncties. Dit voegt een extra beschermingslaag toe aan uw ISMS Copilot-account.
Sessiebeheer
Gebruikerssessies worden beheerd via:
JWT-tokens met automatische vervaltijd
Veilige sessieopslag die niet bewaard blijft na het sluiten van de browser
Automatische afmelding wanneer tokens verlopen
Handmatige afmelding beschikbaar via het gebruikersmenu
Row-Level Security (RLS)
ISMS Copilot implementeert toegangscontrole op databaseniveau:
Gebruikers hebben alleen toegang tot hun eigen gesprekken, werkruimtes en geüploade bestanden
Pogingen om toegang te krijgen tot gegevens van een andere gebruiker retourneren lege resultaten (geen foutmeldingen)
Alle databasequery's filteren automatisch op het ID van de geauthenticeerde gebruiker
Admin-toegang vereist aparte authenticatie en autorisatie
Gegevensbewaring & Verwijdering
Bewaring onder controle van de gebruiker
U heeft volledige controle over hoe lang uw gegevens worden bewaard:
Klik op het pictogram van het gebruikersmenu (rechtsboven)
Selecteer Instellingen
Voer in het veld Bewaarperiode gegevens de gewenste bewaartermijn in:
Minimum: 1 dag
Maximum: 7 jaar
Of klik op Voor altijd bewaren om gegevens onbeperkt te behouden
Klik op Instellingen opslaan
Verwacht resultaat: Het dialoogvenster met instellingen wordt gesloten en uw bewaarvoorkeur is opgeslagen.
Gegevens die ouder zijn dan uw bewaarperiode worden automatisch en permanent verwijderd. Dit proces wordt dagelijks uitgevoerd en kan niet ongedaan worden gemaakt. Zorg ervoor dat u alle benodigde gegevens exporteert voordat ze verlopen.
Automatische gegevensverwijdering
ISMS Copilot verwijdert automatisch verlopen gegevens:
De verwijderingstaak wordt dagelijks uitgevoerd om gegevens ouder dan uw bewaarperiode te verwijderen
Verwijderde gegevens omvatten gespreksgeschiedenis, geüploade bestanden en inhoud van de werkruimte
Verwijdering is permanent; gegevens kunnen niet worden hersteld
Accountinformatie (e-mail, instellingen) wordt bewaard tot het account wordt verwijderd
Account verwijderen
Om uw account en alle bijbehorende gegevens te verwijderen:
Neem contact op met de ISMS Copilot-ondersteuning via het Helpcentrum
Vraag om volledige verwijdering van het account
De ondersteuning zal uw identiteit bevestigen en de verwijdering verwerken
Alle gegevens worden binnen 30 dagen permanent verwijderd
Privacy & Naleving
AVG-naleving (GDPR)
ISMS Copilot voldoet volledig aan de Algemene Verordening Gegevensbescherming (AVG):
Dataminimalisatie: Alleen essentiële gegevens worden verzameld
Doelbinding: Gegevens worden alleen gebruikt voor het leveren van de dienst
Opslagbeperking: Door de gebruiker gecontroleerde bewaarperioden
Recht op inzage: Gebruikers kunnen hun gegevens exporteren
Recht op wissen: Gebruikers kunnen verzoeken om volledige gegevensverwijdering
Recht op overdraagbaarheid: Gegevens kunnen worden geëxporteerd in standaardformaten
Gegevensbescherming door ontwerp: Beveiliging ingebouwd in elke functie
AI-training & Uw Gegevens
ISMS Copilot garandeert:
Geen training op gebruikersgegevens: Uw gesprekken, documenten en klantinformatie worden nooit gebruikt om AI-modellen te trainen
Geisoleerde verwerking: Elk gesprek wordt onafhankelijk verwerkt
Geen gegevensdeling tussen klanten: Uw gegevens zijn nooit zichtbaar voor andere gebruikers
Isolatie van werkruimtes: Verschillende werkruimtes behouden gescheiden gegevensgrenzen
In tegenstelling tot algemene AI-tools zoals ChatGPT, gebruikt ISMS Copilot uw gevoelige compliancegegevens nooit om het AI-model te verbeteren. Uw klantinformatie blijft volledig vertrouwelijk.
Verwerkingsopties AI-provider:
U kunt kiezen tussen twee AI-verwerkingsmodi via de Geavanceerde Gegevensbeschermingsmodus:
Standaardmodus (UIT): Verwerking in de VS (xAI/OpenAI) met tijdelijke bewaring van 30 dagen
Geavanceerde Gegevensbescherming (AAN): Verwerking in de EU (Mistral AI) met nul bewaring
Ongeacht welke modus u kiest, uw gegevens worden NOOIT gebruikt voor AI-training.
Beveiliging van de Applicatie
Bescherming tegen veelvoorkomende aanvallen
ISMS Copilot implementeert meerdere beveiligingsheaders en -beleidsregels:
Bescherming tegen Clickjacking
X-Frame-Options: DENY voorkomt inbedding in iframes
Content Security Policy frame-ancestors directive blokkeert framing
Content Security Policy (CSP)
Beperkt scriptuitvoering tot uitsluitend goedgekeurde bronnen
Blokkeert inline scripts, behalve waar expliciet vereist
Voorkomt object-src en base-uri aanvallen
Upgradet onveilige HTTP-verzoeken automatisch naar HTTPS
MIME-type bescherming
X-Content-Type-Options: nosniff voorkomt MIME-type verwarringsaanvallen
Referrer-beleid
strict-origin-when-cross-origin beperkt het lekken van informatie bij cross-site verzoeken
Permissions Policy (Machtigingenbeleid)
ISMS Copilot schakelt onnodige browserfuncties uit om het aanvalsoppervlak te verkleinen:
Camera: Uitgeschakeld
Microfoon: Uitgeschakeld
Geolocatie: Uitgeschakeld
Interest Cohort (FLoC tracking): Geblokkeerd
Diensten van derden
AI-verwerkingsdiensten
ISMS Copilot geeft u controle over welke AI-provider uw gesprekken verwerkt.
Beschikbare AI-providers (door de gebruiker te configureren via de Geavanceerde Gegevensbeschermingsmodus):
xAI (Grok) en OpenAI:
Locatie: Verenigde Staten
Bewaring: 30 dagen (tijdelijke cache)
Training: API-gegevens worden NIET gebruikt voor modeltraining
Actief wanneer: Geavanceerde Gegevensbescherming UIT staat (standaard)
Mistral AI:
Locatie: Europese Unie
Bewaring: Nul (geen bewaring)
Training: Wordt NIET gebruikt voor modeltraining
Actief wanneer: Geavanceerde Gegevensbescherming AAN staat
Organisaties met eisen voor EU-gegevensresidentie dienen de Geavanceerde Gegevensbeschermingsmodus in te schakelen om 100% EU-verwerking met nul bewaring bij de AI-provider te garanderen. Dit biedt de sterkst beschikbare privacygaranties.
Analyse & Monitoring
ISMS Copilot maakt gebruik van de volgende externe diensten:
PostHog (Analyse)
Doel: Anonieme productanalyse en het bijhouden van functiegebruik
Gedeelde gegevens: Functiegebruik, paginaveergaven, geanonimiseerde gebruikers-ID's
Niet gedeeld: Gespreksinhoud, geüploade documenten, persoonlijke informatie
Sentry (Foutmonitoring)
Doel: Foutopsporing en prestatiebewaking
Gedeelde gegevens: Foutmeldingen, stack traces, browserinformatie, gebruikers-ID's (alleen UUID, in productie)
Niet gedeeld: Gespreksinhoud, geüploade documenten, e-mailadressen, namen
Betalingsverwerking
Stripe
Doel: Veilige betalingsverwerking en beheer van abonnementen
PCI DSS Level 1 gecertificeerde betalingsverwerker
ISMS Copilot slaat nooit creditcardgegevens op
Alle betalingsgegevens worden uitsluitend door Stripe afgehandeld
Premium-gebruikers kunnen hun abonnement en betaalmethoden veilig beheren via het Stripe Customer Portal door op "Abonnement beheren" te klikken in het gebruikersmenu.
Beperkingen & Overwegingen
Wat ISMS Copilot momenteel NIET biedt
Extra MFA-opties: Inloggen via e-mail bevat verplichte e-mailverificatie (een vorm van MFA). Voor sterkere bescherming kunt u OAuth-providers (Google/Microsoft) gebruiken met hun eigen MFA ingeschakeld. Ondersteuning voor TOTP/authenticator-apps is nog niet beschikbaar.
Single Sign-On (SSO/SAML): Enterprise SSO-integratie is momenteel niet beschikbaar
Hardware beveiligingssleutels: FIDO2/WebAuthn-authenticatie wordt niet ondersteund
Dashboard voor sessiebeheer: Gebruikers kunnen actieve sessies van meerdere apparaten niet bekijken of beheren
IP-whitelisting: Toegang kan niet worden beperkt tot specifieke IP-adressen
Beperkingen voor gegevensbewaring
Minimale bewaarperiode: 1 dag
Maximale bewaarperiode: 7 jaar
Gratis gebruikers hebben dezelfde bewaarcontroles als premium-gebruikers
Respons op beveiligingsincidenten
Uptime Monitoring & Detectie
ISMS Copilot houdt productiesystemen realtime in de gaten om beschikbaarheid en snelle respons op incidenten te waarborgen:
BetterStack Uptime Monitoring: Continue realtime bewaking van chat.ismscopilot.com (hoofdapplicatie) voor beschikbaarheidsproblemen
Geautomatiseerde waarschuwingen: Onmiddellijke Slack-meldingen naar het kanaal #incident wanneer er beschikbaarheidsproblemen worden gedetecteerd
Classificatie van incidenten: Evaluatie door het team om te bepalen of incidenten escalated moeten worden
Multi-channel escalatie: Progressieve waarschuwingen via e-mail en SMS voor kritieke incidenten
Publieke statuspagina: Realtime servicestatus beschikbaar op https://status.ismscopilot.com/
U kunt op elk moment de actuele status van alle ISMS Copilot-diensten controleren op onze publieke statuspagina. Dit biedt transparantie over de systeembeschikbaarheid en eventuele lopende incidenten.
Aanvullende beveiligingsmonitoring
Naast uptime monitoring gebruikt ISMS Copilot:
Geautomatiseerde foutopsporing en waarschuwingen via Sentry
Database audit logs voor verdachte toegangspatronen
Regelmatige beveiligingsbeoordelingen en kwetsbaarheidsanalyses
Beveiligingsproblemen melden
Als u een beveiligingslek ontdekt:
Neem onmiddellijk contact op met de ISMS Copilot-ondersteuning via het Helpcentrum
Geef gedetailleerde informatie over het probleem (zonder het openbaar te maken)
Probeer de kwetsbaarheid niet misbruiken
Geef het beveiligingsteam tijd om het probleem te onderzoeken en op te lossen
Best practices voor gebruikers
Accountbeveiliging
Gebruik een sterk, uniek wachtwoord (of OAuth-providers met MFA ingeschakeld)
Deel uw inloggegevens niet met anderen
Meld u af na gebruik van gedeelde of openbare computers
Controleer regelmatig uw werkruimtes en gesprekken op ongeoorloofde activiteiten
Gegevensbescherming
Stel passende bewaarperioden in voor uw compliance-eisen
Anonimiseer gevoelige klantinformatie indien mogelijk voordat u deze uploadt
Gebruik aparte werkruimtes voor verschillende klanten om vermenging van gegevens te voorkomen
Exporteer belangrijke gegevens regelmatig voordat ze verlopen op basis van de bewaarinstellingen
Maak een speciale werkruimte aan voor elke klant of elk compliance-project. Dit zorgt ervoor dat klantgegevens geïsoleerd blijven en maakt het eenvoudiger om het bewaarbeleid en de toegangscontroles te beheren.
Compliance-certificeringen
Huidige status
ISMS Copilot voldoet aan:
AVG/GDPR (Algemene Verordening Gegevensbescherming)
Principes van de CCPA (California Consumer Privacy Act)
Eisen voor EU-gegevensresidentie
Certificeringen van infrastructuurproviders
De infrastructuurproviders van ISMS Copilot beschikken over:
AWS: ISO 27001, SOC 2 Type II, PCI DSS
Supabase: SOC 2 Type II, AVG-conformiteit
Stripe: PCI DSS Level 1, SOC 2 Type II
Wat nu?
Bezoek onze Beveiligingscollectie voor gedetailleerde beveiligingsdocumentatie
Check de Statuspagina voor realtime systeemuptime en incidentrapporten
Hulp krijgen
Als u vragen heeft over beveiliging of privacy:
Bekijk onze Beveiligingscollectie voor gedetailleerde beveiligingsdocumentatie
Neem contact op met de ondersteuning via het menu van het Helpcentrum
Meld beveiligingslekken onmiddellijk via de ondersteuningskanalen
ISMS Copilot zet zich in voor transparantie over beveiligingspraktijken. Onze Beveiligingscollectie biedt gedetailleerde informatie over gegevensverwerking, beveiligingsmaatregelen en naleving van privacyregelgeving.