Europese Unie · TLS 1.3 · AES-256 · geen tracking

Hoe we met cliëntdata omgaan.

Co·Legal verwerkt vertrouwelijke juridische, fiscale en financiële gegevens. Deze pagina legt uit wáár die data leeft, wie er bij kan, welke onderverwerkers we gebruiken, en hoe lang we ze bewaren. Geen marketing-taal, alleen de feiten waar uw GDPR-officer naar kijkt.

Laatst bijgewerkt: · Bron-van-waarheid voor security: /.well-known/security.txt (RFC 9116)

Hosting & netwerk

Alle Co·Legal services draaien op een Europese cloud-infrastructuur binnen de Europese Unie. Geen production-workload buiten de EU. Backend, database en document-storage allemaal in dezelfde EU-regio.

Productie zit achter een Application Load Balancer met een Identity-Aware Proxy-laag — externe toegang vereist een door ons uitgegeven identity. Interne serverless-URLs zijn niet publiek bereikbaar.

Encryptie

In transit: TLS 1.3 op alle externe endpoints (managed certs van Google). Interne service-to-service calls binnen de VPC ook TLS-gevalideerd via de eigen mTLS van onze cloud-runtime.

At rest: envelope-encryptie (AES-256) op database en object-storage. Sleutels rouleren automatisch. Voor klanten die customer-managed encryption keys (CMEK) nodig hebben, configureren we per kantoor.

Secrets: API-keys, DB-passwords, model-tokens leven uitsluitend in een managed Secret Manager; nooit in code, nooit in logs (we hebben structured-logging guards voor dit specifiek).

Toegang & RBAC

Binnen Co·Legal hebben we een fijngranulaire role-based access control. Vier assen per dossier (Dossier / TimeSheet / Task / Document) op 5 niveaus. Een gebruiker ziet alleen wat zijn werkgroep mag zien.

Admins kunnen "Bekijk als…" impersoneren voor support — elke impersonatie wordt eenmalig per uur geaudit, en mutating requests (POST/PUT/PATCH/DELETE) worden onder impersonatie geblokkeerd (read-only stance). De enige uitzondering is /api/auth/logout zodat de admin altijd zijn sessie kan beëindigen.

Co·Legal-medewerkers hebben geen standaard toegang tot klantdossiers. Toegang voor support gebeurt alleen op expliciet verzoek van de partner, wordt geaudit, en is voor een afgebakende tijd.

Onderverwerkers

Voor het Co·Legal partner-platform:

OnderverwerkerWatWaarWelke data
Europese cloud-provider Hosting, DB, storage, IAP, KMS Europese Unie Alle
OpenAI LLM-redenering (Responses API) VS, processor-pad via API Alleen tekst die de AI agent verstuurt — geen ruw-dossier
Anthropic LLM-redenering (alternatieve provider) VS, processor-pad via API Idem
Wolters Kluwer (Jura, monKEY) Juridische / fiscale databanken EU Alleen zoekopdrachten (geen cliënt-data)
Larcier-Intersentia (Stradalex) Juridische databank EU Alleen zoekopdrachten

Voor de publieke A2A-agent op agent.co-legal.be: alleen onze Europese cloud-provider (hosting + managed secret-store) en de model-provider.

Retentie

Dossier-data blijft voor de duur van de samenwerking + 10 jaar (cf. art. 2276bis BW en deontologische bewaarplichten voor advocaten en notarissen). Bij beëindiging van de samenwerking krijgt het kantoor een gestructureerde export van het volledige event log + projecties binnen 30 dagen.

Backend-logs (HTTP-toegang, request-correlatie, security-events): 90 dagen, daarna automatische verwijdering.

Publieke agent-vragen worden NIET persistent opgeslagen door ons. Multi-turn task-state leeft in een per-Cloud-Run-instance SQLite met 24-uur idle-TTL; tasks ouder dan 24 u zonder activiteit worden automatisch verwijderd. OpenAI's eigen retention-beleid is van toepassing op de tussentijdse LLM-verwerking — zie hun API data usage policy.

Publieke agent — datastromen

De agent op agent.co-legal.be doet pure chat (geen tool-use, geen dossier-toegang). Datastroom per vraag:

  1. Browser stuurt JSON-RPC naar agent.co-legal.be/a2a/jsonrpc
  2. Agent hashed IP (SHA-256 + per-process salt) voor rate-limit bucket
  3. Vraag + system-prompt → OpenAI gpt-5.4-nano in VS
  4. Antwoord → terug naar caller, opgeslagen in 24 u-task SQLite
  5. Geen ander persistent record

We loggen rate-limit-events maar niet de inhoud van vragen of antwoorden. Een eventuele incident-onderzoek-trail bevat dus alleen hashed-IP, timestamp, status-code.

DPA / verwerkersovereenkomst

Voor partners (kantoren met een Co·Legal werkomgeving) sluiten we een verwerkersovereenkomst (art. 28 AVG / GDPR) die de standaard EU processor-clauses dekt, plus specifieke garanties rond data-portability, incident-meldingen (binnen 24 u na ontdekking) en sub-processor changes.

Een template-versie is op aanvraag beschikbaar — mail ops@co-legal.be.

Incident response

Bij ontdekking van een security-incident (datalek, ongeoorloofde toegang, aanhoudende service-disruptie met data-impact):

  • 0–4 u: interne triage, scope-bepaling, containment
  • 4–24 u: melding aan getroffen partners met wat we weten
  • 24–72 u: melding aan GBA (Gegevensbeschermingsautoriteit) als er persoonsgegevens betrokken zijn, conform GDPR art. 33
  • Postmortem: binnen 14 dagen schriftelijke analyse + remediatie-plan voor partners

Status & uptime

Live healthchecks (open, geen auth nodig):

Het partner-platform draait achter IAP en is niet publiek bereikbaar — health wordt door GCP-monitoring intern gemonitord en incidenten worden via ops@co-legal.be naar getroffen partners gecommuniceerd.

Een publieke status-pagina (incident-historiek, geplande maintenance, RSS-feed) komt in Q3 2026 — totdat ze er staat, communiceren we incidenten via ops@co-legal.be naar getroffen partners.

Vraag of melding

Security-melding, vulnerability-disclosure, vraag over deze pagina: ops@co-legal.be met "[SECURITY]" in het onderwerp. Onze RFC 9116 security.txt bevat dezelfde gegevens machine-leesbaar.

Heeft u een GDPR-recht (inzage, rectificatie, verwijdering, dataportabiliteit) dat u wil uitoefenen — stuur de aanvraag naar hetzelfde adres. We antwoorden binnen 5 werkdagen.