Uw gegevens, veilig bij ons
Als NEN 7510 platform nemen we beveiliging serieus. Hieronder leest u precies hoe we uw gegevens beschermen.
Hoe we uw gegevens beschermen
NENHulp verwerkt geen patiëntgegevens. We verwerken uitsluitend compliance-documentatie: beleidsdocumenten, registraties en voortgangsgegevens van uw managementsysteem.
Hosting in de EU
Alle data wordt opgeslagen in Supabase datacenters in EU-West (Ierland). Uw gegevens verlaten de Europese Unie niet.
Versleuteling
Data in transit via TLS 1.3 (HTTPS). Data at rest versleuteld met AES-256 door onze databaseprovider.
Toegangscontrole
Row-Level Security (RLS) op databaseniveau. Elke gebruiker ziet alleen eigen gegevens. Geen gedeelde toegang tussen praktijken.
Wachtwoordloos inloggen
Authenticatie via magic links (e-mail OTP). Geen wachtwoorden die gelekt of geraden kunnen worden.
Beveiligingsheaders
HSTS, X-Frame-Options, Content-Type-Options en strikte referrer policies op alle pagina's.
Inputvalidatie
Alle API-invoer wordt gevalideerd met schema-validatie (Zod). Bescherming tegen injectie en onverwachte data.
Geen patiëntdata
NENHulp verwerkt uitsluitend compliance-documentatie. Geen BSN, medische dossiers of patiëntgegevens.
Beperkte bestandstypen
Alleen PDF en Word documenten kunnen worden geüpload. Maximaal 10 MB per bestand. Opslag per gebruiker geïsoleerd.
Subverwerkers
We werken met een beperkt aantal vertrouwde dienstverleners. Alle partijen zijn AVG-conform en verwerken geen patiëntgegevens.
| Dienst | Doel | Locatie |
|---|---|---|
| Supabase | Database, authenticatie, bestandsopslag | EU-West (Ierland) |
| Vercel | Hosting en CDN | EU (Frankfurt) |
| Resend | Transactionele e-mail (magic links) | EU |
| Mixpanel | Analytics (alleen na consent) | EU (api-eu.mixpanel.com) |
| Google Analytics | Website-analyse (alleen na consent) | EU |
Auditor-toegang
U kunt uw managementsysteem delen met een auditor via een beveiligde, tijdelijke link. De auditor krijgt alleen-lezen toegang en kan geen gegevens wijzigen of downloaden. U bepaalt zelf wanneer de link verloopt en kunt deze op elk moment intrekken.