Data Residentie Verklaring
Verklaring over datalocaties en jurisdictie
Dataresidentie Verklaring
Verklaring
Noveu Solutions verklaart dat alle primaire klantdata wordt verwerkt en opgeslagen binnen de Europese Unie, onder Nederlands en EU recht. Een beperkt aantal sub-verwerkers (Cloudflare voor edge/DDoS, optionele AI-providers) is van buiten de EU; voor deze partijen gelden EU-VS DPF en SCC's. Het actuele overzicht staat op /juridisch/sub-verwerkers.
Scope
Deze verklaring heeft betrekking op:
- Alle primaire klantdata (e-mail, bestanden, identiteit)
- Alle backup en recovery data
- Alle logbestanden en audit trails
- Alle metadata en telemetrie
Datacenter Locaties
Primair Datacenter
| Aspect | Details |
|---|---|
| Locatie | Falkenstein, Duitsland |
| Operator | Hetzner Online GmbH |
| Tier | Tier III equivalent |
| Certificeringen | ISO 27001 |
| Eigendom | Europees (Duitse GmbH) |
Secundair Datacenter (Backup / Offsite)
| Aspect | Details |
|---|---|
| Locatie | Helsinki, Finland |
| Operator | Hetzner Online GmbH |
| Gebruik | Disaster recovery, versleutelde offsite back-ups |
| Certificeringen | ISO 27001 |
Edge / DDoS / CDN
| Aspect | Details |
|---|---|
| Operator | Cloudflare, Inc. |
| Routering | EU-routering voor metadata |
| Jurisdictie waarborgen | EU-VS DPF + SCC's + Cloudflare DPA |
Juridische Afscherming
Jurisdictie van de hoofdverwerker
Noveu Solutions:
- Is een Nederlandse BV — geen US moederbedrijf of dochteronderneming
- Maakt voor primaire klantdata (mail, files, databases) geen gebruik van US-cloudproviders (geen AWS, geen Azure, geen GCP)
- Is als juridische entiteit niet onderworpen aan CLOUD Act / FISA 702 / Executive Order 12333
Erkende sub-verwerkers met US-nexus
Voor randdiensten gebruiken wij wel een aantal sub-verwerkers met US-nexus. Deze staan transparant op /juridisch/sub-verwerkers en werken onder EU-VS DPF + SCC's + DPA:
- Cloudflare, Inc. — edge, DDoS, CDN, DNS. Cloudflare beëindigt TLS aan de edge en verwerkt verkeer en metadata in transit; payload-inhoud is voor Cloudflare zichtbaar tijdens de edge-verwerking. Persistente klantdata blijft versleuteld opgeslagen binnen de EU bij Hetzner.
- Anthropic / OpenAI — alleen indien klant AI-functionaliteit expliciet activeert; via zero-retention API endpoints, geen training op klantdata
EU Recht
Alle dataverwerking valt onder:
- Algemene Verordening Gegevensbescherming (AVG/GDPR)
- Nederlands recht
- EU Cybersecurity Act
- NIS2 richtlijn (waar van toepassing)
Supply Chain Transparantie
Infrastructuur Partners
| Partner Type | Jurisdictie | Functie |
|---|---|---|
| Datacenter | NL/DE | Fysieke hosting |
| Network | NL | Connectiviteit |
| Hardware | EU supply | Servers, storage |
| Software | Open source / EU | Platform componenten |
Expliciete Uitsluitingen
De volgende hyperscalers worden niet gebruikt voor primaire klantdata-verwerking of -opslag:
- Amazon Web Services (AWS)
- Microsoft Azure
- Google Cloud Platform
- Oracle Cloud
Technische Maatregelen
Encryptie
| Data State | Methode | Key Location |
|---|---|---|
| At Rest | AES-256-GCM | EU HSM |
| In Transit | TLS 1.3 | EU PKI |
| Backup | AES-256 | EU Key Vault |
Toegangscontrole
- Alleen EU-gebaseerd personeel heeft toegang tot productiesystemen
- Multi-factor authenticatie vereist
- Alle toegang wordt gelogd en audited
- Principle of least privilege
Transparantie
- Jaarlijkse externe audit — gepland zodra eerste enterprise-klanten zijn aangesloten
- Penetration test resultaten — gepland, beschikbaar op aanvraag voor tender-dossiers
- Open source componenten waar mogelijk
- Transparante subprocessor lijst — actueel op /juridisch/sub-verwerkers
Subprocessoren
Goedgekeurde Subprocessoren
Dit is de volledige lijst van goedgekeurde subprocessoren. Deze tabel is gelijk aan het canonieke overzicht op /juridisch/sub-verwerkers.
| Subprocessor | Vestiging | Verwerkingslocatie | Dienst | Data Toegang | Waarborg |
|---|---|---|---|---|---|
| Hetzner Online GmbH | Duitsland (EU) | Falkenstein (DE) + Helsinki (FI) | Hosting / compute / storage / offsite back-ups | Versleutelde volumes (alle categorieën) | AVG — EU-entiteit + DPA |
| Cloudflare, Inc. | VS (EU-entity beschikbaar) | EU-datacenters + global edge | DNS, CDN, DDoS-mitigatie, edge, Cloudflare Tunnel | IP-adressen, metadata, TLS-terminatie aan de edge | EU-VS DPF + SCC's + DPA |
| Stripe Payments Europe Ltd. | Ierland (EU) | EU | Betalingsverwerking (kaart, SEPA) | Facturatie-, bedrijfs- en betaalgegevens | AVG — EU-entiteit + DPA |
| Mollie B.V. | Nederland (EU) | Nederland | Betalingsverwerking (iDEAL, SEPA, kaart) | Facturatie- en betaalgegevens | AVG — NL-entiteit + DPA |
| Anthropic, PBC | VS | VS (zero-retention endpoint) | AI-ondersteuning — alleen bij expliciete activering | Alleen content die de gebruiker aan de AI aanbiedt | EU-VS DPF + SCC's + zero-retention API + DPA |
| OpenAI, L.L.C. | VS | VS (zero-retention endpoint) | AI-ondersteuning (optioneel alternatief) — alleen bij expliciete activering | Alleen content die de gebruiker aan de AI aanbiedt | EU-VS DPF + SCC's + zero-retention API + DPA |
De AI-subprocessoren (Anthropic en OpenAI) worden uitsluitend ingezet wanneer een klant AI-functionaliteit expliciet activeert. Het canonieke, altijd-actuele overzicht — met de volledige toelichting per subprocessor — staat op /juridisch/sub-verwerkers en in de DPA (Data Processing Agreement).
Wijzigingsprocedure
Nieuwe subprocessoren worden:
- 30 dagen vooraf aangekondigd
- Beoordeeld op EU compliance
- Contractueel gebonden aan zelfde standaarden
- Bezwaarmogelijkheid voor klanten
Overheidsverzoeken
Procedure
Bij verzoeken van overheden:
- Juridische geldigheid wordt getoetst
- Alleen proportionele verzoeken worden gehonoreerd
- Klant wordt geïnformeerd (tenzij wettelijk verboden)
- Transparantierapport gepubliceerd
Transparantie
Noveu publiceert jaarlijks:
- Aantal ontvangen verzoeken
- Jurisdictie van verzoeken
- Aantal gehonoreerde verzoeken
- Redenen voor afwijzing
Contractuele Garanties
Deze verklaring is onderdeel van:
- Algemene Voorwaarden
- Data Processing Agreement (DPA)
- Specifieke contractuele addenda
Aansprakelijkheid
Noveu is aansprakelijk voor:
- Naleving van deze verklaring
- Schade door niet-naleving
- Kosten van data breach door niet-naleving
Auditing
Klant Auditrecht
Klanten mogen:
- Jaarlijks audit evidence opvragen
- Bezoek aan datacenter plannen (met begeleiding)
- Onafhankelijke auditor inschakelen
Beschikbare Documentatie
- ISO 27001 certificaat
- SOC 2 rapport (onder NDA)
- Penetration test samenvatting
- Datacenter specificaties
Contact
Privacy Officer: [email protected]
Data Protection Officer:
- Naam: [DPO Naam]
- E-mail: [email protected]
- Adres: [Bedrijfsadres]
Autoriteit Persoonsgegevens:
- Website: autoriteitpersoonsgegevens.nl
- Voor klachten over dataverwerking
Document Details
| Aspect | Details |
|---|---|
| Versie | 1.0 |
| Datum | Januari 2026 |
| Volgende review | Januari 2027 |
| Goedkeuring | [Management] |
Dit document is bindend en maakt onderdeel uit van de contractuele relatie met klanten.
Vragen over dit document?
Neem contact op voor implementatie advies of een persoonlijke demo.