DPIA-informatie voor klantbeoordeling
Versie 2.0 | Laatst beoordeeld: 1 mei 2026
Deze pagina is geen afgeronde DPIA namens jouw organisatie. Het is leveranciersinformatie om je eigen DPIA, leveranciersreview of verwerkingsregister sneller te onderbouwen. De klant bepaalt zelf doel, grondslag, categorieën betrokkenen, proportionaliteit, restrisico en eventuele voorafgaande raadpleging.
1. Beschrijving van de verwerking
PrivaAI verwerkt gebruikersgegevens, workspace-instellingen, prompts, documenten, kennisbankinhoud, bronverwijzingen, AI-output, audit events en technische metadata om beveiligde AI-chat, documentanalyse, kennisbankfuncties, governancebewijs en beheerfuncties te leveren.
2. Rollen en verantwoordelijkheden
Voor klantcontent treedt PrivaAI doorgaans op als verwerker. De klant is verantwoordelijk voor instructies, grondslag, informatie aan betrokkenen, DPIA-noodzaak, toegangsbeleid, menselijke controle en beoordeling van AI-output. PrivaAI is zelfstandig verwerkingsverantwoordelijke voor eigen account-, facturatie-, beveiligings- en supportprocessen.
3. Datastromen en locaties
De PrivaAI-appflow draait Scaleway-first in Frankrijk voor runtime, PostgreSQL, object storage, AI-inference, embeddings, vector/search en documentverwerking. Stripe verwerkt betaal- en facturatiegegevens. Cloudflare wordt gebruikt voor DNS en netwerkbeveiliging, niet als PrivaAI-app runtime.
4. Subverwerkers
| Partij | Rol | Locatie |
|---|---|---|
| Scaleway | Infrastructure & data hosting | France / EU |
| Stripe | Payment processing | Payment infrastructure only |
| Cloudflare | Network/DNS/security | EU data routing only |
5. Risico's en maatregelen
| Risico | Kans | Impact | Maatregel |
|---|---|---|---|
| Ongeautoriseerde toegang | Middel | Hoog | Tenant-isolatie, route-level auth checks, sessiebeveiliging, wachtwoordhashing, audit logging |
| Cross-tenant datalek | Laag | Zeer hoog | Org-scoped queries, organisatiecontext op gevoelige routes, audit logging en regressietests |
| AI-output wordt onterecht als advies gebruikt | Middel | Hoog | Productcopy, templates en voorwaarden benadrukken menselijke controle en geen vervanging van professioneel advies |
| Onnodige verwerking van gevoelige data | Middel | Hoog | Klantinstructies, dataminimalisatie, waarschuwingen, documentverwijdering en exportmogelijkheden |
| Leveranciers- of doorgifterisico | Middel | Middel/hoog | Scaleway-first appflow in Frankrijk, subprocessortransparantie, Stripe/Cloudflare alleen voor noodzakelijke ondersteunende functies |
| Bewijs ontbreekt bij governance-review | Middel | Middel | Audit logs, DPA-flow, exportfuncties, bronverwijzingen en compliance dashboard |
6. Technische en organisatorische maatregelen
- Scaleway-first verwerking in Frankrijk voor runtime, PostgreSQL, Object Storage, AI-inference, embeddings, vector search en documentverwerking
- TLS voor communicatie in transit
- Multi-tenant isolatie op database-niveau (org_id)
- Audit logging voor kernacties en beheerhandelingen
- GDPR data export en verwijdering beschikbaar voor admins
- Security headers (CSP, X-Frame-Options, CORS)
- Geen model-training op klantcontent
- Fair-use, tokenbudgetten en misbruikdetectie om onbedoeld of excessief gebruik te beperken
7. Beoordeling door de klant
Gebruik deze informatie als basis, niet als eindconclusie. Vul per use case minimaal doel, datacategorieën, betrokkenen, grondslag, noodzaak, proportionaliteit, bewaartermijn, toegangsrollen, menselijke controle, bronmateriaal, eventuele bijzondere persoonsgegevens en restrisico in.