Sub-verwerkersoverzicht
Versie: 1.0 Laatst bijgewerkt: 19 mei 2026 Status: Feitelijk overzicht — wordt bijgewerkt bij elke wijziging
Fynqo schakelt voor het leveren van haar dienst een aantal externe partijen in die in opdracht van Fynqo persoonsgegevens verwerken. Dit zijn de sub-verwerkers. Hieronder staat per partij wat zij doen, welke gegevens zij verwerken en waar die verwerking plaatsvindt.
Fynqo informeert klanten met een verwerkersovereenkomst minimaal 30 dagen van tevoren over een nieuwe sub-verwerker of een wijziging in deze lijst.
Overzicht
| Sub-verwerker | Doel | Gegevens | Verwerkingslocatie | DPA |
|---|---|---|---|---|
| Supabase | Database en authenticatie | Accountgegevens, dossiers, sessies | EU (EER) | https://supabase.com/legal/dpa |
| Railway | Hosting van de backend-API | Alle applicatiedata in verwerking | EU-regio | https://railway.com/legal/dpa |
| Vercel | Hosting van de web-app en portals | Verzoekgegevens, IP-adressen | EU-edge, met SCC’s voor VS-onderdelen | https://vercel.com/legal/dpa |
| Cloudflare | CDN, DNS en DDoS-bescherming | Verkeerslogs, IP-adressen | EU (meerdere locaties) | https://www.cloudflare.com/cloudflare-customer-dpa/ |
| Resend | Verzending van transactionele e-mail | E-mailadres, naam, berichtinhoud | EU-regio | https://resend.com/legal/dpa |
| SendGrid (Twilio) | E-mailverzending als fallback | E-mailadres, naam, berichtinhoud | VS, met SCC’s | https://www.twilio.com/en-us/legal/data-protection-addendum |
| Mollie | Betalingsverwerking (iDEAL, SEPA) | Naam, IBAN, e-mail, betalingsgegevens | Nederland | https://www.mollie.com/nl/legal-data-processing-agreement |
| GoCardless | Open banking-koppeling (PSD2-rekeninginzage) | IBAN, transactiegegevens, rekeninghouder | EU (EER) | https://gocardless.com/legal/data-processing-agreement/ |
| Sentry | Foutmonitoring | Technische foutgegevens, geredacteerde context | VS, met SCC’s | https://sentry.io/legal/dpa/ |
| Anthropic | AI-inferentie (alleen optionele fallback) | Niet-gevoelige tekstprompts | VS, met SCC’s | https://www.anthropic.com/legal/dpa |
Toelichting per categorie
Hosting en infrastructuur
De backend-API draait op Railway en de web-app en portals op Vercel. De database en de authenticatie lopen via Supabase. Cloudflare zorgt voor CDN, DNS en bescherming tegen aanvallen. Het zwaartepunt van de verwerking ligt binnen de EER.
Transactionele e-mail (zoals bevestigingen en meldingen) loopt standaard via Resend. SendGrid wordt gebruikt als fallback wanneer Resend niet beschikbaar is. Voor SendGrid en andere VS-onderdelen gelden de standaardcontractbepalingen (SCC’s) van de Europese Commissie.
Betalingen en open banking
Betalingen lopen via Mollie (iDEAL en SEPA), een Nederlandse partij. Het uitlezen van bankrekeningen onder PSD2 verloopt via GoCardless. Een bankrekening wordt alleen gekoppeld nadat de gebruiker daar expliciet toestemming voor heeft gegeven.
AI-inferentie
Gevoelige casus-context wordt niet standaard naar een externe cloud-AI gestuurd. Voor zorg-, bewind-, gemeente- en organisatieverkeer geldt een lokale of EU-first route. Anthropic wordt alleen ingezet als optionele fallback voor laaggevoelige hulpvragen, en alleen met geredacteerde of geaggregeerde context.
Wijzigingen melden
Klanten met een verwerkersovereenkomst kunnen binnen 30 dagen na een kennisgeving op redelijke gronden bezwaar maken tegen een nieuwe sub-verwerker. Vragen kunnen naar privacy@fynqo.app.