# Sub-verwerkersoverzicht

**Versie:** 1.0
**Laatst bijgewerkt:** 19 mei 2026
**Status:** Feitelijk overzicht — wordt bijgewerkt bij elke wijziging

Fynqo schakelt voor het leveren van haar dienst een aantal externe partijen in
die in opdracht van Fynqo persoonsgegevens verwerken. Dit zijn de
sub-verwerkers. Hieronder staat per partij wat zij doen, welke gegevens zij
verwerken en waar die verwerking plaatsvindt.

Fynqo informeert klanten met een verwerkersovereenkomst minimaal 30 dagen van
tevoren over een nieuwe sub-verwerker of een wijziging in deze lijst.

## Overzicht

| Sub-verwerker | Doel | Gegevens | Verwerkingslocatie | DPA |
|---|---|---|---|---|
| Supabase | Database en authenticatie | Accountgegevens, dossiers, sessies | EU (EER) | https://supabase.com/legal/dpa |
| Railway | Hosting van de backend-API | Alle applicatiedata in verwerking | EU-regio | https://railway.com/legal/dpa |
| Vercel | Hosting van de web-app en portals | Verzoekgegevens, IP-adressen | EU-edge, met SCC's voor VS-onderdelen | https://vercel.com/legal/dpa |
| Cloudflare | CDN, DNS en DDoS-bescherming | Verkeerslogs, IP-adressen | EU (meerdere locaties) | https://www.cloudflare.com/cloudflare-customer-dpa/ |
| Resend | Verzending van transactionele e-mail | E-mailadres, naam, berichtinhoud | EU-regio | https://resend.com/legal/dpa |
| SendGrid (Twilio) | E-mailverzending als fallback | E-mailadres, naam, berichtinhoud | VS, met SCC's | https://www.twilio.com/en-us/legal/data-protection-addendum |
| Mollie | Betalingsverwerking (iDEAL, SEPA) | Naam, IBAN, e-mail, betalingsgegevens | Nederland | https://www.mollie.com/nl/legal-data-processing-agreement |
| GoCardless | Open banking-koppeling (PSD2-rekeninginzage) | IBAN, transactiegegevens, rekeninghouder | EU (EER) | https://gocardless.com/legal/data-processing-agreement/ |
| Sentry | Foutmonitoring | Technische foutgegevens, geredacteerde context | VS, met SCC's | https://sentry.io/legal/dpa/ |
| Anthropic | AI-inferentie (alleen optionele fallback) | Niet-gevoelige tekstprompts | VS, met SCC's | https://www.anthropic.com/legal/dpa |

## Toelichting per categorie

### Hosting en infrastructuur

De backend-API draait op Railway en de web-app en portals op Vercel. De
database en de authenticatie lopen via Supabase. Cloudflare zorgt voor CDN, DNS
en bescherming tegen aanvallen. Het zwaartepunt van de verwerking ligt binnen de
EER.

### E-mail

Transactionele e-mail (zoals bevestigingen en meldingen) loopt standaard via
Resend. SendGrid wordt gebruikt als fallback wanneer Resend niet beschikbaar is.
Voor SendGrid en andere VS-onderdelen gelden de standaardcontractbepalingen
(SCC's) van de Europese Commissie.

### Betalingen en open banking

Betalingen lopen via Mollie (iDEAL en SEPA), een Nederlandse partij. Het
uitlezen van bankrekeningen onder PSD2 verloopt via GoCardless. Een
bankrekening wordt alleen gekoppeld nadat de gebruiker daar expliciet
toestemming voor heeft gegeven.

### AI-inferentie

Gevoelige casus-context wordt niet standaard naar een externe cloud-AI
gestuurd. Voor zorg-, bewind-, gemeente- en organisatieverkeer geldt een
lokale of EU-first route. Anthropic wordt alleen ingezet als optionele
fallback voor laaggevoelige hulpvragen, en alleen met geredacteerde of
geaggregeerde context.

## Wijzigingen melden

Klanten met een verwerkersovereenkomst kunnen binnen 30 dagen na een
kennisgeving op redelijke gronden bezwaar maken tegen een nieuwe sub-verwerker.
Vragen kunnen naar privacy@fynqo.app.