Subverwerkers
Ingangsdatum: 23 april 2026
Ripazo wordt geëxploiteerd door LexMulier (eenmanszaak), KvK 92535755, Zeist, Nederland. Onder de AVG zijn wij de verwerkingsverantwoordelijke voor alle persoonsgegevens die via Ripazo worden verwerkt. De bedrijven op deze pagina zijn onze subverwerkers — derden waar we op vertrouwen om de dienst daadwerkelijk te draaien.
We houden deze lijst bewust kort. Elke extra subverwerker vergroot het oppervlak van jouw data, dus we voegen er alleen eentje toe als het alternatief is dat we zelf significante infrastructuur moeten bouwen.
Hoe we subverwerkers kiezen
Voordat we een subverwerker toevoegen controleren we vier dingen:
- Datalocatie. We hebben sterke voorkeur voor EU-gehoste leveranciers. Bij Amerikaanse leveranciers eisen we een adequaatheidsbesluit (EU-US Data Privacy Framework) of Standaardcontractbepalingen.
- Dataminimalisatie. De subverwerker ziet alleen de datacategorieën die nodig zijn om zijn taak uit te voeren.
- Beveiligingsniveau. Actuele SOC 2 Type II-certificering of gelijkwaardig.
- Verwerkersovereenkomst. Een getekende DPA met redelijke voorwaarden over sub-verwerking, datalekmelding en verwijdering.
Wijzigingsproces
We werken deze pagina bij voordat een wijziging ingaat. Zodra je een account hebt, sturen we bovendien minimaal 30 dagen vooraf een e-mail over materiële wijzigingen zodat je bezwaar kunt maken. Bij bezwaar zijn je opties: de dienst zonder de nieuwe subverwerker gebruiken (indien technisch haalbaar), of je account opzeggen met pro-rata restitutie van de ongebruikte abonnementsperiode.
Huidige subverwerkers
| Verwerker | Doel | Datacategorieën | Locatie | Juridische waarborg |
|---|---|---|---|---|
| Supabase | Database, authenticatie, bestandsopslag | Alle account- + inhoudsdata: e-mail, naam, gehasht wachtwoord, boekingen, foto's, documenten | EU (Frankfurt, Duitsland) | AVG-conform standaard; EU-project; getekende DPA |
| Vercel | Hosting + CDN | IP-adres, request-logs (ca. 24 uur bewaard voor misbruikmonitoring) | EU edge + VS fallback | Standaardcontractbepalingen + EU-US Data Privacy Framework |
| Stripe | Abonnementsfacturatie | Factuuradres, laatste 4 cijfers kaart, facturen, fiscale identificatie | EU + VS | Standaardcontractbepalingen + EU-US Data Privacy Framework; PCI-DSS Level 1 |
| Resend | Transactionele e-mail | E-mailadres + bericht (uitnodigingen, wachtwoordherstel, verwijderingsbevestiging) | EU | EU-only verzendinfrastructuur; getekende DPA |
| PostHog | Productanalyse — alleen met jouw toestemming | Anonieme sessie- en pagina-events, browser, land (geo-IP server-side) | EU (eu.i.posthog.com) | Toestemmingsgebonden; geen analytics zonder opt-in |
| Sentry | Foutafhandeling — alleen met jouw toestemming | Stacktrace, URL, browser, foutmelding | EU | Toestemmingsgebonden; IP en e-mail worden gescrubd vóór verzending |
Hoe we data onderweg beveiligen
Al het subverwerkersverkeer gaat over TLS 1.2 of hoger. Credentials komen nooit in URLs of logs. Server-naar-server-verkeer tussen Supabase, Vercel en onze eigen functies gebruikt kortlopende service-role-tokens die elke 24 uur roteren.
Wat we niet doen
- We gebruiken geen advertentienetwerken.
- We delen geen klantdata met databrokers.
- We trainen geen AI-modellen op jouw inhoud.
- We verkopen geen data.
Vragen of bezwaar
info@ripazo.com — we reageren binnen 30 dagen.
Je kunt ook een klacht indienen bij de Nederlandse toezichthouder:
Autoriteit Persoonsgegevens Hoge Nieuwstraat 8, 2514 EL Den Haag autoriteitpersoonsgegevens.nl
