Europese Unie · TLS 1.3 · AES-256 · geen tracking

Hoe we met cliëntdata omgaan.

Co·Legal verwerkt vertrouwelijke juridische, fiscale en financiële gegevens. Geen marketing-taal — alleen de feiten waar uw GDPR-officer naar kijkt.

Laatst bijgewerkt: · bron-van-waarheid: security.txt (RFC 9116)

EU-hosting

Alle productie binnen de Europese Unie. Niets verlaat de EU.

Versleuteld

TLS 1.3 in transit, AES-256 at rest. Secrets in een managed store.

Geen tracking

Geen cookies, geen analytics, geen training op uw data.

Hosting & netwerk

Alle Co·Legal services draaien op een Europese cloud-infrastructuur binnen de Europese Unie. Geen productieworkload buiten de EU. Backend, database en document-storage allemaal in dezelfde EU-regio.

Productie zit achter een Application Load Balancer met een Identity-Aware Proxy-laag — externe toegang vereist een door ons uitgegeven identity. Interne serverless-URLs zijn niet publiek bereikbaar.

Encryptie

In transit: TLS 1.3 op alle externe endpoints (managed certs van Google). Interne service-to-service calls binnen de VPC ook TLS-gevalideerd via de eigen mTLS van onze cloud-runtime.

At rest: envelope-encryptie (AES-256) op database en object-storage. Sleutels rouleren automatisch. Voor klanten die customer-managed encryption keys (CMEK) nodig hebben, configureren we die per partner.

Secrets: API-keys, DB-passwords, model-tokens leven uitsluitend in een managed Secret Manager; nooit in code, nooit in logs (we hebben structured-logging guards voor dit specifiek).

Toegang & RBAC

Binnen Co·Legal hebben we een fijngranulaire role-based access control. Vier assen per dossier (Dossier / TimeSheet / Task / Document) op 5 niveaus. Een gebruiker ziet alleen wat zijn werkgroep mag zien.

Admins kunnen "Bekijk als…" impersoneren voor support — elke impersonatie wordt eenmalig per uur geaudit, en mutating requests (POST/PUT/PATCH/DELETE) worden onder impersonatie geblokkeerd (read-only stance). De enige uitzondering is /api/auth/logout zodat de admin altijd zijn sessie kan beëindigen.

Co·Legal-medewerkers hebben geen standaard toegang tot klantdossiers. Toegang voor support gebeurt alleen op expliciet verzoek van de partner, wordt geaudit, en is voor een afgebakende tijd.

Onderverwerkers

Voor het Co·Legal partner-platform:

OnderverwerkerWatWaarWelke data
Europese cloud-provider Hosting, DB, storage, IAP, KMS Europese Unie Alle
OpenAI LLM-redenering (Responses API) VS, processor-pad via API Alleen tekst die de AI agent verstuurt — geen ruw-dossier
Anthropic LLM-redenering (alternatieve provider) VS, processor-pad via API Idem
Wolters Kluwer (Jura, monKEY) Juridische / fiscale databanken EU Alleen zoekopdrachten (geen cliënt-data)
Larcier-Intersentia (Stradalex) Juridische databank EU Alleen zoekopdrachten

Voor de publieke A2A-agent op agent.co-legal.be: alleen onze Europese cloud-provider (hosting + managed secret-store) en de model-provider.

Retentie

Dossier-data blijft voor de duur van de samenwerking + 10 jaar (cf. de deontologische bewaarplichten voor advocaten en notarissen). Bij beëindiging van de samenwerking krijgt de partner een gestructureerde export van het volledige event log + projecties binnen 30 dagen.

Backend-logs (HTTP-toegang, request-correlatie, security-events): 90 dagen, daarna automatische verwijdering.

Publieke agent-vragen worden NIET persistent opgeslagen door ons. Multi-turn task-state leeft in een per-Cloud-Run-instance SQLite met 24-uur idle-TTL; tasks ouder dan 24 u zonder activiteit worden automatisch verwijderd. OpenAI's eigen retention-beleid is van toepassing op de tussentijdse LLM-verwerking — zie hun API data usage policy.

Publieke agent — datastromen

De agent op agent.co-legal.be gebruikt alleen publieke, read-only skills (zoals KBO, VIES en Justel) — geen toegang tot dossiers of cliëntdata. Datastroom per vraag:

  1. Browser stuurt JSON-RPC naar agent.co-legal.be/a2a/jsonrpc
  2. Agent hashed IP (SHA-256 + per-process salt) voor rate-limit bucket
  3. Vraag + system-prompt → OpenAI gpt-5.4-nano in VS
  4. Antwoord → terug naar caller, opgeslagen in 24 u-task SQLite
  5. Geen ander persistent record

We loggen rate-limit-events maar niet de inhoud van vragen of antwoorden. Een eventuele incident-onderzoek-trail bevat dus alleen hashed-IP, timestamp, status-code.

DPA / verwerkersovereenkomst

Voor partners met een Co·Legal werkomgeving sluiten we een verwerkersovereenkomst (art. 28 AVG / GDPR) die de standaard EU processor-clauses dekt, plus specifieke garanties rond data-portability, incident-meldingen (binnen 24 u na ontdekking) en sub-processor changes.

Een template-versie is op aanvraag beschikbaar — mail [email protected].

Incident response

Bij ontdekking van een security-incident (datalek, ongeoorloofde toegang, aanhoudende service-disruptie met data-impact):

  • 0–4 u: interne triage, scope-bepaling, containment
  • 4–24 u: melding aan getroffen partners met wat we weten
  • 24–72 u: melding aan GBA (Gegevensbeschermingsautoriteit) als er persoonsgegevens betrokken zijn, conform GDPR art. 33
  • Postmortem: binnen 14 dagen schriftelijke analyse + remediatie-plan voor partners

Status & uptime

Live healthchecks (open, geen auth nodig):

Het partner-platform draait achter IAP en is niet publiek bereikbaar — health wordt door GCP-monitoring intern gemonitord en incidenten worden via [email protected] naar getroffen partners gecommuniceerd.

Een publieke status-pagina (incident-historiek, geplande maintenance, RSS-feed) komt in Q3 2026 — totdat ze er staat, communiceren we incidenten via [email protected] naar getroffen partners.

Vraag of melding

Security-melding, vulnerability-disclosure, vraag over deze pagina: [email protected] met "[SECURITY]" in het onderwerp. Onze RFC 9116 security.txt bevat dezelfde gegevens machine-leesbaar.

Heeft u een GDPR-recht (inzage, rectificatie, verwijdering, dataportabiliteit) dat u wil uitoefenen — stuur de aanvraag naar hetzelfde adres. We antwoorden binnen 5 werkdagen.

DPA nodig?

Vraag onze template-verwerkersovereenkomst aan.

EU processor-clauses, data-portability en sub-processor changes — als bewerkbare DOCX binnen één werkdag.