Security & Compliance

Beveiliging en GDPR-compliance die je kunt verifiëren

obqo is gebouwd voor Europese onderwijsinstellingen. Privacy en data-soevereiniteit zijn geen feature — het is de basis.

Data residency

Alle klantdata wordt opgeslagen in de EU (Frankfurt, Duitsland) via Supabase EU
Geen data verlaat Europa — nooit
Backups en replicatie binnen dezelfde EU-regio

Authenticatie

SURFconext SSO voor Nederlandse instellingen
Magic link authenticatie — geen wachtwoorden opgeslagen
Role-based access control met 5 rechtniveaus (Coach, Flow Builder, Admin, Billing Admin, Owner)

Geen inbox-toegang

obqo ondersteunt coaching workflows zonder gedelegeerde toegang tot mail of agenda:

Geen gedelegeerde toegang tot mailboxen of agenda's
Geen scanning van inboxen, contacten of bestanden
Geen integratie met studentmail of persoonlijke accounts

AI-dataverwerking

AI-features (sessiesamenvattingen, flow-suggesties, risicodetectie) gebruiken Anthropic's Claude API.

AI is optioneel en kan per organisatie worden uitgeschakeld
Geen studentdata wordt gebruikt voor modeltraining
AI-verzoeken zijn stateless — geen gesprekshistorie wordt bewaard
Alleen geanonimiseerde metadata wordt verwerkt

Subverwerkers

ServiceDoelRegio
Supabase EUDatabase & opslagFrankfurt, Duitsland
VercelApplicatie hostingEU edge
TruncusTransactionele e-mailEU
StripeFacturatieEU/US (alleen betalingsdata)
Anthropic (Claude)AI-features (optioneel)US (stateless, geen training)

Dataretentie

Data wordt bewaard gedurende de actieve overeenkomst
Na beëindiging wordt data binnen 90 dagen verwijderd
CSV-export is op elk moment beschikbaar
Recht op verwijdering conform GDPR

Cookies & tracking

Alleen functionele cookies voor authenticatie
Geen advertentiecookies
Geen third-party analytics
Geen cross-site tracking

Beschikbaarheid

Beschikbaarheidsdoel: 99,5% uptime (gedocumenteerd in de serviceovereenkomst)
Onderhoudsvensters: 48 uur vooraankondiging bij gepland onderhoud
Statusmeldingen bij ongeplande verstoringen

Incidentmelding

Beveiligingsincidenten: meld via info@obqo.co

Responstijd: bevestiging binnen 24 uur.

IB&P classificatie

obqo voldoet aan de IB&P LOW/LOW/LOW classificatie voor beschikbaarheid, integriteit en vertrouwelijkheid. Dit betekent dat het platform geschikt is voor verwerking van niet-bijzondere persoonsgegevens in het hoger onderwijs.

Procurement documentatie

We leveren de volgende documentatie op verzoek:

  • Data Processing Agreement (DPA), afgestemd op het SURF-model verwerkersovereenkomst
  • Subverwerkerslijst met regio's en DPA-status
  • Security overview en beschrijving van beheersmaatregelen
  • Retentie- en verwijderingsbeleid
  • Toegankelijkheidsverklaring (WCAG 2.1 AA)

Aanvragen: info@obqo.co

Procurement pack aanvragen

Ontvang een compleet pakket: DPA, subverwerkerslijst, security overview, retentiebeleid en toegankelijkheidsverklaring.

Vraag documentatie aan