Fynqo

Veiligheid & privacy

Hoe Fynqo je data beschermt — en waar we eerlijk over zijn als iets (nog) niet gecertificeerd is.

Hosting
NL/EU
cloud
Encryptie
TLS 1.3
lock
Audit-log
Per actie
receipt_long
GDPR-export
Ingebouwd
download

lockEncryptie

TLS 1.3 + at-rest
  • check_circleAlle communicatie tussen browser en Fynqo via TLS 1.3 (HTTPS).
  • check_circleData-opslag versleuteld at-rest door de hosting-provider (managed Postgres + storage).
  • check_circleWachtwoorden worden niet opgeslagen — Supabase Auth hasht ze (bcrypt) en wij krijgen alleen JWT-tokens.
  • check_circleGeen end-to-end encryptie van dossiers (we moeten ze server-side kunnen verwerken voor zoeken/AI). Wel volledig versleuteld in transit en at-rest.

keyAuthenticatie

Supabase Auth + JWT
  • check_circleInloggen via e-mail/wachtwoord of via Google / Microsoft OAuth.
  • check_circleJWT-sessies met korte levensduur (7 dagen) in HttpOnly-cookies, veilig per request gevalideerd.
  • check_circleTwee-factor authenticatie (TOTP/SMS): functioneel in backend, nog niet uitgerold voor eindgebruikers. Op de roadmap.
  • check_circleGeen DigiD-koppeling op dit moment.

gavelAVG / GDPR

By design
  • check_circleAVG-by-design: data-minimalisatie, consent per onderdeel, recht op vergetelheid in de UI.
  • check_circleAudit-log per organisatie voor elke gevoelige actie (data-deling, dossier-export, rolwijziging).
  • check_circleIngebouwde Data Subject Request (GDPR-export): gebruikers downloaden hun volledige dossier.
  • check_circleVerwerkersovereenkomst beschikbaar voor zakelijke klanten — zie verwerkersoverzicht.

cloudData-opslag

NL + EU
  • check_circleApplicatie- en database-hosting in Nederland en/of EU. Geen US-cloud voor cliëntdata.
  • check_circleGeautomatiseerde back-ups bij de hosting-provider.
  • check_circleGeen data-export buiten de EU.
  • check_circleAI voor cliëntdata draait op een EU-AI-provider — geen OpenAI/Google US voor brieven en dossiers.

verified_userCertificering — eerlijk

Nog niet, wel op roadmap
  • check_circleGeen ISO 27001 certificering op dit moment. Op de roadmap voor 2027.
  • check_circleGeen NEN 7510 certificering op dit moment. Op de roadmap voor zorg-portals (GGZ, zorgorganisatie).
  • check_circleGeen SOC 2 audit gedaan.
  • check_circleWat we wel hebben: het hele technische fundament dat deze certificeringstrajecten vereisen — encryptie, audit-log, AVG-procedures, GDPR-export, EU-hosting. We zijn klaar voor het traject.

bug_reportKwetsbaarheden melden

Responsible disclosure
  • check_circleVermoed je een kwetsbaarheid? Mail security@fynqo.app — we reageren binnen 5 werkdagen.
  • check_circleGeen formeel bug-bounty programma; wel waardering en credits in de release-notes.
  • check_circleGeen openbaar incident-response SLA; we werken met best effort en open communicatie bij datalekken.
  • check_circleBij een datalek: melding aan Autoriteit Persoonsgegevens binnen 72 uur conform AVG art. 33.
shield

Vragen over veiligheid?

Stuur een mail naar security@fynqo.app voor specifieke vragen, een DPIA-template of een verwerkersovereenkomst.

mailContact opnemen