Overzicht Beveiliging & Gegevensbescherming
Overzicht
ISMS Copilot implementeert beveiligingsmaatregelen op enterpriseniveau om uw gevoelige compliance-gegevens te beschermen. Dit artikel legt uit hoe uw gegevens worden beveiligd, waar ze worden opgeslagen en welke controles er zijn om vertrouwelijkheid en privacy te waarborgen.
Voor wie is dit bedoeld?
Dit artikel is voor:
Security-teams die ISMS Copilot evalueren
Compliance-professionals die met gevoelige klantgegevens werken
Beheerders die verantwoordelijk zijn voor beslissingen over gegevensbescherming
Gebruikers die willen begrijpen hoe hun gegevens worden beschermd
Belangrijkste beveiligingsprincipes
De beveiligingsarchitectuur van ISMS Copilot volgt deze kernprincipes:
Geen training op gebruikersgegevens - Uw gesprekken, documenten en klantinformatie worden nooit gebruikt om AI-modellen te trainen
Data-residentie in de EU - Alle gegevens worden opgeslagen op servers in de EU (Frankfurt, Duitsland)
End-to-end versleuteling - Gegevens worden zowel tijdens verzending als in rust versleuteld
Door de gebruiker gecontroleerde bewaring - U bepaalt hoe lang uw gegevens worden bewaard
AVG-naleving - Volledige naleving van de Europese regelgeving voor gegevensbescherming
Gegevensversleuteling
Versleuteling tijdens verzending
Alle gegevens die tussen uw browser en de servers van ISMS Copilot worden verzonden, zijn beschermd met:
TLS 1.3-versleuteling op alle HTTPS-verbindingen
Strict Transport Security (HSTS) afgedwongen voor 1 jaar inclusief subdomeinen
Certificate pinning om man-in-the-middle-aanvallen te voorkomen
Automatische HTTPS-upgrade voor alle onveilige verzoeken
Elke verbinding met ISMS Copilot maakt gebruik van versleuteling op bankniveau. Uw gegevens kunnen tijdens de verzending niet worden onderschept of gelezen.
Versleuteling in rust
Alle gegevens die in de databases van ISMS Copilot zijn opgeslagen, zijn beschermd met:
AES-256-versleuteling voor alle productiedatabases
Versleutelde back-ups volgens dezelfde versleutelingsnormen
Versleutelde bestandsopslag voor geüploade documenten (PDF, DOCX, XLS)
Veilig sleutelbeheer waarbij sleutels apart van de gegevens worden bewaard
Gegevensopslag & Residentie
Waar uw gegevens worden opgeslagen
Alle databaseopslag van ISMS Copilot vindt plaats in:
Locatie: Servers in de EU (regio AWS Frankfurt, Duitsland)
Provider: Supabase (gebouwd op AWS-infrastructuur)
Naleving: AVG-conforme datacenters met garanties voor data-residentie in de EU
Locatie AI-verwerking (door gebruiker instelbaar):
Hoewel uw databaseopslag altijd in de EU plaatsvindt, hangt de locatie van de AI-verwerking af van uw instelling voor de Geavanceerde Gegevensbeschermingsmodus:
Geavanceerde Gegevensbescherming UIT (Standaard): AI-verwerking vindt plaats in de Verenigde Staten (xAI, OpenAI, Anthropic) met Standard Contractual Clauses en aanvullende maatregelen
Geavanceerde Gegevensbescherming AAN: AI-verwerking vindt plaats in de Europese Unie (Mistral AI), waardoor internationale doorgifte en de noodzaak voor een Transfer Impact Assessment komen te vervallen
Organisaties met eisen voor data-residentie in de EU kunnen de Geavanceerde Gegevensbeschermingsmodus inschakelen om Transfer Impact Assessments op AI-verwerking te vermijden. Zie onze Transfer Impact Assessment voor details.
Uw database met gespreksgeschiedenis blijft altijd in de EU (Frankfurt). De Geavanceerde Gegevensbeschermingsmodus bepaalt waar de AI-verwerking plaatsvindt en hoe lang AI-providers gegevens bewaren (30 dagen versus nul).
Welke gegevens worden opgeslagen
ISMS Copilot slaat de volgende informatie op:
Accountinformatie: E-mailadres, verificatiegegevens (gehashte wachtwoorden)
Gespreksgeschiedenis: Uw vragen en de AI-antwoorden binnen elke werkruimte
Geüploade documenten: Bestanden die u uploadt voor analyse (PDF, DOCX, XLS)
Werkruimtegegevens: Namen van werkruimtes, aangepaste instructies en projectorganisatie
Gebruiksmetadata: Tijdstempels, berichtenaantallen en functiegebruik voor facturering en serviceverbetering
Authenticatie & Toegangsbeheer
Ondersteunde authenticatiemethoden
ISMS Copilot ondersteunt meerdere veilige authenticatie-opties:
E-mail & Wachtwoord
Strenge wachtwoordvereisten (minimaal 8 tekens met hoofdletters, kleine letters, cijfers en speciale tekens)
Wachtwoorden gehasht met het industrie-standaard bcrypt-algoritme
Verplichte e-mailverificatie: U moet op de bevestigingslink in de e-mail klikken voordat u kunt inloggen. Dit waarborgt accounteigenaarschap en voorkomt ongeoorloofde toegang
Veilig wachtwoordherstel via e-mailverificatie
Google OAuth
Single sign-on met uw Google-account
Geen wachtwoord opgeslagen in ISMS Copilot
Authenticatietokens beheerd door Google
Microsoft/Azure OAuth
Single sign-on met uw Microsoft- of Azure-account
Klaar voor zakelijk gebruik voor organisaties die Microsoft 365 gebruiken
Authenticatietokens beheerd door Microsoft
Gebruik voor maximale beveiliging OAuth-providers (Google of Microsoft) in combinatie met hun ingebouwde meervoudige verificatiefuncties (MFA). Dit voegt een extra beschermingslaag toe aan uw ISMS Copilot-account.
Sessiebeheer
Gebruikerssessies worden beheerd met:
JWT-tokens met automatische vervaltijd
Veilige sessieopslag die niet behouden blijft na het sluiten van de browser
Automatische afmelding wanneer tokens verlopen
Handmatige afmelding beschikbaar via het gebruikersmenu
Row-Level Security (RLS)
ISMS Copilot implementeert toegangscontrole op databaseniveau:
Gebruikers hebben alleen toegang tot hun eigen gesprekken, werkruimtes en geüploade bestanden
Pogingen om toegang te krijgen tot gegevens van een andere gebruiker leveren lege resultaten op (geen foutmeldingen)
Alle databasequery's worden automatisch gefilterd op het geauthenticeerde gebruikers-ID
Admin-toegang vereist afzonderlijke authenticatie en autorisatie
Bewaren & Verwijderen van Gegevens
Door de gebruiker gecontroleerde bewaring
U heeft volledige controle over hoe lang uw gegevens worden bewaard:
Klik op het icoon van het gebruikersmenu (rechtsboven)
Selecteer Instellingen
Voer in de velden van de Bewaarperiode het gewenste tijdsbestek in:
Minimum: 1 dag
Maximum: 7 jaar
Of klik op Voor altijd bewaren om gegevens onbeperkt te behouden
Klik op Instellingen opslaan
Verwacht resultaat: Het dialoogvenster met instellingen sluit en uw bewaarvoorkeur is opgeslagen.
Gegevens die ouder zijn dan uw bewaarperiode worden automatisch en permanent verwijderd. Dit proces draait dagelijks en kan niet ongedaan worden gemaakt. Zorg ervoor dat u benodigde gegevens exporteert voordat deze verlopen.
Automatische gegevensverwijdering
ISMS Copilot verwijdert automatisch verlopen gegevens:
De verwijderingstaak draait dagelijks om gegevens ouder dan uw bewaarperiode te verwijderen
Verwijderde gegevens omvatten gespreksgeschiedenis, geüploade bestanden en inhoud van werkruimtes
Verwijdering is permanent; gegevens kunnen niet worden hersteld
Accountinformatie (e-mail, instellingen) wordt bewaard tot de accountverwijdering
Accountverwijdering
Om uw account en alle bijbehorende gegevens te verwijderen:
Neem contact op met de ISMS Copilot-ondersteuning via het Helpcentrum
Vraag om volledige accountverwijdering
Support zal uw identiteit bevestigen en de verwijdering verwerken
Alle gegevens worden binnen 30 dagen permanent verwijderd
Privacy & Naleving
AVG-naleving (GDPR)
ISMS Copilot voldoet volledig aan de Algemene Verordening Gegevensbescherming (AVG):
Dataminimalisatie: Alleen essentiële gegevens worden verzameld
Doelbinding: Gegevens worden alleen gebruikt voor het leveren van de dienst
Opslagbeperking: Door de gebruiker gecontroleerde bewaarperioden
Recht op inzage: Gebruikers kunnen hun gegevens exporteren
Recht op wissen: Gebruikers kunnen verzoeken om volledige gegevensverwijdering
Recht op overdraagbaarheid: Gegevens kunnen worden geëxporteerd in standaardformaten
Gegevensbescherming door ontwerp: Beveiliging is ingebouwd in elke functie
AI-training & Uw Gegevens
ISMS Copilot garandeert:
Geen training op gebruikersgegevens: Uw gesprekken, documenten en klantinformatie worden nooit gebruikt om AI-modellen te trainen
Geïsoleerde verwerking: Elk gesprek wordt onafhankelijk verwerkt
Geen gegevensdeling tussen klanten: Uw gegevens zijn nooit zichtbaar voor andere gebruikers
Isolatie van werkruimtes: Verschillende werkruimtes behouden gescheiden gegevensgrenzen
In tegenstelling tot algemene AI-tools zoals ChatGPT, gebruikt ISMS Copilot uw gevoelige compliance-gegevens nooit om het AI-model te verbeteren. Uw klantinformatie blijft volledig vertrouwelijk.
Verwerkingsopties AI-provider:
U kunt kiezen uit twee AI-verwerkingsmodi via de Geavanceerde Gegevensbeschermingsmodus:
Standaardmodus (UIT): Verwerking in de VS (xAI, OpenAI, Anthropic) met een tijdelijke bewaring van 30 dagen
Geavanceerde Gegevensbescherming (AAN): Verwerking in de EU (Mistral AI) zonder bewaring (zero retention)
Ongeacht de gekozen modus worden uw gegevens NOOIT gebruikt voor AI-training.
Beveiliging van de applicatie
Bescherming tegen veelvoorkomende aanvallen
ISMS Copilot implementeert meerdere beveiligingsheaders en -beleidsregels:
Bescherming tegen clickjacking
X-Frame-Options: DENY voorkomt insluiting in iframes
De Content Security Policy frame-ancestors directive blokkeert framing
Content Security Policy (CSP)
Beperkt scriptuitvoering tot uitsluitend goedgekeurde bronnen
Blokkeert inline scripts, behalve waar expliciet vereist
Voorkomt object-src en base-uri aanvallen
Upgrade onveilige HTTP-verzoeken automatisch naar HTTPS
MIME-type bescherming
X-Content-Type-Options: nosniff voorkomt MIME-type verwarringsaanvallen
Referrer Policy
strict-origin-when-cross-origin beperkt het lekken van informatie bij cross-site verzoeken
Permissions Policy
ISMS Copilot schakelt onnodige browserfuncties uit om het aanvalsoppervlak te verkleinen:
Camera: Uitgeschakeld
Microfoon: Uitgeschakeld
Geolocatie: Uitgeschakeld
Interest Cohort (FLoC-tracking): Geblokkeerd
Diensten van derden
AI-verwerkingsdiensten
ISMS Copilot geeft u controle over welke AI-provider uw gesprekken verwerkt.
Beschikbare AI-providers (door gebruiker instelbaar via Geavanceerde Gegevensbeschermingsmodus):
xAI (Grok), OpenAI en Anthropic (Claude):
Locatie: Verenigde Staten
Bewaring: 30 dagen (tijdelijke cache)
Training: API-gegevens worden NIET gebruikt voor modeltraining
Actief wanneer: Geavanceerde Gegevensbescherming UIT staat (standaard)
Mistral AI:
Locatie: Europese Unie
Bewaring: Nul (geen bewaring)
Training: Wordt NIET gebruikt voor modeltraining
Actief wanneer: Geavanceerde Gegevensbescherming AAN staat
Organisaties met eisen voor data-residentie in de EU moeten de Geavanceerde Gegevensbeschermingsmodus inschakelen om 100% EU-verwerking te garanderen zonder bewaring door de AI-provider. Dit biedt de sterkste privacygaranties die beschikbaar zijn.
Analyse & Monitoring
ISMS Copilot maakt gebruik van de volgende diensten van derden:
PostHog (Analytics)
Doel: Anonieme productanalyses en het bijhouden van functiegebruik
Gedeelde gegevens: Functiegebruik, paginaweergaven, geanonimiseerde gebruikers-ID's
Niet gedeeld: Gespreksinhoud, geüploade documenten, persoonlijke informatie
Sentry (Error Monitoring)
Doel: Foutopsporing en prestatiemonitoring
Gedeelde gegevens: Foutmeldingen, stack traces, browserinformatie, gebruikers-ID's (alleen UUID in productie)
Niet gedeeld: Gespreksinhoud, geüploade documenten, e-mailadressen, namen
Betalingsverwerking
Stripe
Doel: Veilige betalingsverwerking en abonnementbeheer
PCI DSS Level 1 gecertificeerde betalingsverwerker
ISMS Copilot slaat nooit creditcardgegevens op
Alle betalingsgegevens worden uitsluitend door Stripe afgehandeld
Premium-gebruikers kunnen hun abonnement en betaalmethoden veilig beheren via het Stripe Customer Portal door te klikken op "Abonnement beheren" in het gebruikersmenu.
Beperkingen & Overwegingen
Wat ISMS Copilot momenteel NIET biedt
Extra MFA-opties: Inloggen via e-mail bevat verplichte e-mailverificatie (een vorm van MFA). Voor sterkere bescherming kunt u OAuth-providers (Google/Microsoft) gebruiken met hun eigen MFA ingeschakeld. Ondersteuning voor TOTP/authenticator-apps is nog niet beschikbaar.
Single Sign-On (SSO/SAML): Enterprise SSO-integratie is momenteel niet beschikbaar
Hardware beveiligingssleutels: FIDO2/WebAuthn-authenticatie wordt niet ondersteund
Dashboard voor sessiebeheer: Gebruikers kunnen actieve sessies op meerdere apparaten niet bekijken of beheren
IP-whitelisting: Toegang kan niet worden beperkt tot specifieke IP-adressen
Beperkingen voor gegevensbewaring
Minimale bewaarperiode: 1 dag
Maximale bewaarperiode: 7 jaar
Gratis gebruikers hebben dezelfde bewaarinstellingen als premium-gebruikers
Respons op beveiligingsincidenten
Uptime Monitoring & Detectie
ISMS Copilot monitort productiesystemen in realtime om beschikbaarheid en snelle reactie op incidenten te garanderen:
BetterStack Uptime Monitoring: Continue realtime monitoring van chat.ismscopilot.com (hoofdapplicatie) voor beschikbaarheidsproblemen
Geautomatiseerde waarschuwingen: Directe Slack-meldingen naar het #incident-kanaal wanneer beschikbaarheidsproblemen worden gedetecteerd
Incidentclassificatie: Evaluatie door het team om te bepalen of problemen gebeurtenissen of incidenten zijn die escalatie vereisen
Escalatie via meerdere kanalen: Progressieve waarschuwingen via e-mail en SMS voor kritieke incidenten
Openbare statuspagina: Realtime servicestatus beschikbaar op https://status.ismscopilot.com/
U kunt de huidige status van alle ISMS Copilot-diensten op elk moment controleren door onze openbare statuspagina te bezoeken. Dit biedt transparantie over de systeembeschikbaarheid en eventuele lopende incidenten.
Aanvullende beveiligingsmonitoring
Naast uptime monitoring gebruikt ISMS Copilot:
Geautomatiseerde foutopsporing en waarschuwingen via Sentry
Database-auditlogs voor verdachte toegangspatronen
Regelmatige beveiligingsbeoordelingen en kwetsbaarheidsanalyses
Beveiligingsproblemen melden
Als u een kwetsbaarheid in de beveiliging ontdekt:
Neem onmiddellijk contact op met de ISMS Copilot-ondersteuning via het Helpcentrum
Verstrek gedetailleerde informatie over het probleem (zonder dit openbaar te maken)
Probeer de kwetsbaarheid niet te misbruiken
Geef het beveiligingsteam de tijd om het probleem te onderzoeken en op te lossen
Best practices voor gebruikers
Accountbeveiliging
Gebruik een sterk, uniek wachtwoord (of OAuth-providers met MFA ingeschakeld)
Deel uw inloggegevens niet met anderen
Meld u af na gebruik van gedeelde of openbare computers
Controleer regelmatig uw werkruimtes en gesprekken op ongeautoriseerde activiteiten
Gegevensbescherming
Stel passende bewaarperioden in volgens uw compliance-eisen
Anonimiseer gevoelige klantinformatie indien mogelijk voordat u deze uploadt
Gebruik afzonderlijke werkruimtes voor verschillende klanten om gegevensmenging te voorkomen
Exporteer belangrijke gegevens regelmatig voordat deze verlopen op basis van uw bewaarinstellingen
Maak een speciale werkruimte aan voor elke klant of elk compliance-project. Dit zorgt ervoor dat klantgegevens geïsoleerd blijven en maakt het eenvoudiger om bewaarbeleid en toegangscontroles te beheren.
Compliance-certificeringen
Huidige status
ISMS Copilot voldoet aan:
AVG / GDPR (Algemene Verordening Gegevensbescherming)
CCPA-principes (California Consumer Privacy Act)
Eisen voor data-residentie in de EU
Certificeringen van infrastructuurproviders
De infrastructuurproviders van ISMS Copilot beschikken over:
AWS: ISO 27001, SOC 2 Type II, PCI DSS
Supabase: SOC 2 Type II, AVG-naleving
Stripe: PCI DSS Level 1, SOC 2 Type II
Wat nu?
Bezoek onze Security Collectie voor gedetailleerde beveiligingsdocumentatie
Bekijk de Statuspagina voor realtime systeem-uptime en incidentrapporten
Hulp krijgen
Als u vragen heeft over beveiliging of privacy:
Bekijk onze Security Collectie voor gedetailleerde beveiligingsdocumentatie
Neem contact op met support via het menu van het Helpcentrum
Meld beveiligingskwetsbaarheden onmiddellijk via de ondersteuningskanalen
ISMS Copilot zet zich in voor transparantie over beveiligingspraktijken. Onze Security Collectie biedt gedetailleerde informatie over gegevensverwerking, beveiligingsmaatregelen en naleving van privacyregelgeving.