Hoe we met cliëntdata omgaan.
Co·Legal verwerkt vertrouwelijke juridische, fiscale en financiële gegevens. Geen marketing-taal — alleen de feiten waar uw GDPR-officer naar kijkt.
Laatst bijgewerkt: · bron-van-waarheid: security.txt (RFC 9116)
Alle productie binnen de Europese Unie. Niets verlaat de EU.
TLS 1.3 in transit, AES-256 at rest. Secrets in een managed store.
Geen cookies, geen analytics, geen training op uw data.
Hosting & netwerk
Alle Co·Legal services draaien op een Europese cloud-infrastructuur binnen de Europese Unie. Geen productieworkload buiten de EU. Backend, database en document-storage allemaal in dezelfde EU-regio.
Productie zit achter een Application Load Balancer met een Identity-Aware Proxy-laag — externe toegang vereist een door ons uitgegeven identity. Interne serverless-URLs zijn niet publiek bereikbaar.
Encryptie
In transit: TLS 1.3 op alle externe endpoints (managed certs van Google). Interne service-to-service calls binnen de VPC ook TLS-gevalideerd via de eigen mTLS van onze cloud-runtime.
At rest: envelope-encryptie (AES-256) op database en object-storage. Sleutels rouleren automatisch. Voor klanten die customer-managed encryption keys (CMEK) nodig hebben, configureren we die per partner.
Secrets: API-keys, DB-passwords, model-tokens leven uitsluitend in een managed Secret Manager; nooit in code, nooit in logs (we hebben structured-logging guards voor dit specifiek).
Toegang & RBAC
Binnen Co·Legal hebben we een fijngranulaire role-based access control. Vier assen per dossier (Dossier / TimeSheet / Task / Document) op 5 niveaus. Een gebruiker ziet alleen wat zijn werkgroep mag zien.
Admins kunnen "Bekijk als…" impersoneren voor support — elke impersonatie
wordt eenmalig per uur geaudit, en mutating requests (POST/PUT/PATCH/DELETE) worden
onder impersonatie geblokkeerd (read-only stance). De enige uitzondering is
/api/auth/logout zodat de admin altijd zijn sessie kan beëindigen.
Co·Legal-medewerkers hebben geen standaard toegang tot klantdossiers. Toegang voor support gebeurt alleen op expliciet verzoek van de partner, wordt geaudit, en is voor een afgebakende tijd.
Onderverwerkers
Voor het Co·Legal partner-platform:
| Onderverwerker | Wat | Waar | Welke data |
|---|---|---|---|
| Europese cloud-provider | Hosting, DB, storage, IAP, KMS | Europese Unie | Alle |
| OpenAI | LLM-redenering (Responses API) | VS, processor-pad via API | Alleen tekst die de AI agent verstuurt — geen ruw-dossier |
| Anthropic | LLM-redenering (alternatieve provider) | VS, processor-pad via API | Idem |
| Wolters Kluwer (Jura, monKEY) | Juridische / fiscale databanken | EU | Alleen zoekopdrachten (geen cliënt-data) |
| Larcier-Intersentia (Stradalex) | Juridische databank | EU | Alleen zoekopdrachten |
Voor de publieke A2A-agent op agent.co-legal.be: alleen onze Europese
cloud-provider (hosting + managed secret-store) en de model-provider.
Retentie
Dossier-data blijft voor de duur van de samenwerking + 10 jaar (cf. de deontologische bewaarplichten voor advocaten en notarissen). Bij beëindiging van de samenwerking krijgt de partner een gestructureerde export van het volledige event log + projecties binnen 30 dagen.
Backend-logs (HTTP-toegang, request-correlatie, security-events): 90 dagen, daarna automatische verwijdering.
Publieke agent-vragen worden NIET persistent opgeslagen door ons. Multi-turn task-state leeft in een per-Cloud-Run-instance SQLite met 24-uur idle-TTL; tasks ouder dan 24 u zonder activiteit worden automatisch verwijderd. OpenAI's eigen retention-beleid is van toepassing op de tussentijdse LLM-verwerking — zie hun API data usage policy.
Publieke agent — datastromen
De agent op agent.co-legal.be gebruikt alleen publieke, read-only skills
(zoals KBO, VIES en Justel) — geen toegang tot dossiers of cliëntdata. Datastroom per vraag:
- Browser stuurt JSON-RPC naar
agent.co-legal.be/a2a/jsonrpc - Agent hashed IP (SHA-256 + per-process salt) voor rate-limit bucket
- Vraag + system-prompt → OpenAI
gpt-5.4-nanoin VS - Antwoord → terug naar caller, opgeslagen in 24 u-task SQLite
- Geen ander persistent record
We loggen rate-limit-events maar niet de inhoud van vragen of antwoorden. Een eventuele incident-onderzoek-trail bevat dus alleen hashed-IP, timestamp, status-code.
DPA / verwerkersovereenkomst
Voor partners met een Co·Legal werkomgeving sluiten we een verwerkersovereenkomst (art. 28 AVG / GDPR) die de standaard EU processor-clauses dekt, plus specifieke garanties rond data-portability, incident-meldingen (binnen 24 u na ontdekking) en sub-processor changes.
Een template-versie is op aanvraag beschikbaar — mail [email protected].
Incident response
Bij ontdekking van een security-incident (datalek, ongeoorloofde toegang, aanhoudende service-disruptie met data-impact):
- 0–4 u: interne triage, scope-bepaling, containment
- 4–24 u: melding aan getroffen partners met wat we weten
- 24–72 u: melding aan GBA (Gegevensbeschermingsautoriteit) als er persoonsgegevens betrokken zijn, conform GDPR art. 33
- Postmortem: binnen 14 dagen schriftelijke analyse + remediatie-plan voor partners
Status & uptime
Live healthchecks (open, geen auth nodig):
agent.co-legal.be/health— publieke A2A-agent (beschikbaarheidscheck)agent.co-legal.be/.well-known/agent-card.json— gesigneerde AgentCard (bevestigt JWS signature-pad up)agent.co-legal.be/.well-known/jwks.json— publieke JWKS
Het partner-platform draait achter IAP en is niet publiek bereikbaar — health wordt door GCP-monitoring intern gemonitord en incidenten worden via [email protected] naar getroffen partners gecommuniceerd.
Een publieke status-pagina (incident-historiek, geplande maintenance, RSS-feed) komt in Q3 2026 — totdat ze er staat, communiceren we incidenten via [email protected] naar getroffen partners.
Vraag of melding
Security-melding, vulnerability-disclosure, vraag over deze pagina:
[email protected] met
"[SECURITY]" in het onderwerp. Onze RFC 9116
security.txt bevat dezelfde
gegevens machine-leesbaar.
Heeft u een GDPR-recht (inzage, rectificatie, verwijdering, dataportabiliteit) dat u wil uitoefenen — stuur de aanvraag naar hetzelfde adres. We antwoorden binnen 5 werkdagen.
Vraag onze template-verwerkersovereenkomst aan.
EU processor-clauses, data-portability en sub-processor changes — als bewerkbare DOCX binnen één werkdag.