Sub-verwerkers Noveu Solutions
Versie: 1.0 Laatst bijgewerkt: april 2026 Context: Dit overzicht hoort bij Bijlage 2 van de Verwerkersovereenkomst (DPA) en vormt een verplichte AVG-transparantie-publicatie (art. 28 lid 2 AVG).
Noveu Solutions B.V. schakelt voor de uitvoering van haar diensten een beperkt aantal sub-verwerkers in. Wijzigingen worden minimaal 30 dagen vooraf aangekondigd, zodat Opdrachtgevers gemotiveerd bezwaar kunnen maken conform artikel 6 van de DPA. Deze pagina is het actuele, publiek raadpleegbare overzicht.
Overzicht actuele sub-verwerkers
| # | Sub-verwerker | Vestiging | Verwerkingslocatie | Doel / Dienst | Categorieën gegevens | Waarborg |
|---|---|---|---|---|---|---|
| 1 | Hetzner Online GmbH | Duitsland (EU) | Falkenstein (DE) + Helsinki (FI) | Dedicated server, storage en offsite back-ups | Alle categorieën art. 3 DPA | AVG — EU-entiteit + DPA |
| 2 | Cloudflare, Inc. | VS (EU-entity beschikbaar) | EU-datacenters + global edge | CDN, DDoS-mitigatie, DNS, Cloudflare Tunnel | IP-adressen, metadata, TLS-terminatie | EU-VS DPF + SCC's + DPA |
| 3 | Stripe Payments Europe Ltd. | Ierland (EU) | EU | Betalingsverwerking (kaart, SEPA) | Facturatie-, bedrijfs- en betaalgegevens | AVG — EU-entiteit + DPA |
| 4 | Mollie B.V. | Nederland (EU) | Nederland | Betalingsverwerking (iDEAL, SEPA, kaart) | Facturatie- en betaalgegevens | AVG — NL-entiteit + DPA |
| 5 | Anthropic, PBC | VS | VS (zero-retention endpoint) | AI-ondersteuning (Noveu AI) — alleen bij expliciete activering | Alleen content die de gebruiker aan de AI aanbiedt | EU-VS DPF + SCC's + zero-retention API + DPA |
| 6 | OpenAI, L.L.C. | VS | VS (zero-retention endpoint) | AI-ondersteuning (optioneel alternatief) — alleen bij expliciete activering | Alleen content die de gebruiker aan de AI aanbiedt | EU-VS DPF + SCC's + zero-retention API + DPA |
Toelichting per sub-verwerker
1. Hetzner Online GmbH (primaire hosting)
- Rol: kernleverancier van compute, storage en netwerkcapaciteit.
- Locaties: primaire productie in Falkenstein (Duitsland); versleutelde offsite back-ups op Hetzner Storage Box in Helsinki (Finland).
- Architectuur: eigen dedicated hardware onder Proxmox VE; geen multi-tenant hyperscaler.
- Waarborgen: Duitse AVG-jurisdictie, ISO 27001-gecertificeerd datacenter, Hetzner DPA toegepast.
2. Cloudflare, Inc.
- Rol: edge-netwerk vóór het platform — CDN, DDoS-mitigatie, WAF, DNS en Cloudflare Tunnel.
- Inbound-architectuur: het Noveu-platform heeft geen publieke inbound ports; al het verkeer wordt via Cloudflare Tunnel afgehandeld, waardoor origin-IP's afgeschermd blijven.
- Waarborgen: EU-VS Data Privacy Framework, Standard Contractual Clauses (SCC's), Cloudflare Data Processing Addendum, EU-routering voor metadata.
3. Stripe Payments Europe Ltd.
- Rol: betalingsverwerking voor zakelijke abonnementen (kaarten, SEPA).
- Locatie: EU — verwerking via Stripe's Ierse entiteit binnen de EER.
- Waarborgen: Stripe DPA, PCI-DSS Level 1, AVG-conforme verwerking.
4. Mollie B.V.
- Rol: Nederlandse betaaldienstverlener voor iDEAL, SEPA en kaartbetalingen.
- Locatie: Amsterdam, Nederland — alle verwerking binnen Nederland.
- Waarborgen: Mollie DPA, AVG-conforme verwerking onder Nederlands toezicht (DNB).
5. Anthropic, PBC (AI — alleen na activering)
- Rol: primaire LLM-provider voor Noveu AI-functionaliteit.
- Activering: uitsluitend ingezet indien Opdrachtgever AI-functies expliciet activeert per feature of gebruiker.
- Zero-retention: API-aanroepen gebeuren via Anthropic's zero-retention endpoint; er vindt geen training op klantdata plaats.
- Waarborgen: EU-VS DPF, SCC's, Anthropic DPA, aanvullende data-minimisatie in de Noveu AI-gateway.
6. OpenAI, L.L.C. (AI — optioneel alternatief)
- Rol: optionele alternatieve LLM-provider.
- Activering: uitsluitend indien Opdrachtgever OpenAI als model expliciet kiest in de AI-instellingen.
- Zero-retention: API-aanroepen via zero-retention endpoint (geen opslag, geen training).
- Waarborgen: EU-VS DPF, SCC's, OpenAI DPA, Schrems II-risicoanalyse.
Voorgenomen wijzigingen
Op dit moment staan er geen wijzigingen in de sub-verwerkerslijst gepland.
Voorgenomen toevoegingen of vervangingen worden hier gepubliceerd, met daarbij:
- de naam, vestiging en verwerkingslocatie van de (nieuwe) sub-verwerker;
- het doel en de categorieën persoonsgegevens;
- de beoogde ingangsdatum (minimaal 30 dagen na aankondiging);
- de waarborgen (DPA, SCC's, certificeringen).
Bezwaar maken tegen een sub-verwerker
Opdrachtgevers kunnen binnen 30 dagen na aankondiging gemotiveerd bezwaar maken tegen een voorgenomen wijziging. Leidt overleg niet binnen 14 dagen tot overeenstemming, dan mag Opdrachtgever de Hoofdovereenkomst opzeggen met 30 dagen opzegtermijn, zonder schadevergoeding (DPA art. 6.4).
Bezwaar indienen: [email protected] of via het customer portal.
Contact
- Privacy / AVG:
[email protected] - Juridisch:
[email protected] - Algemene DPA: /juridisch/verwerkersovereenkomst
- Algemene Voorwaarden: /juridisch/algemene-voorwaarden