We bouwen Transcribeer.nl — binnenkort beschikbaar. Laat je e-mail achter voor early access.
Voor IT & Security

Alles voor uw InfoSec review

Deze pagina bundelt alle technische en juridische informatie die uw IT-afdeling, CISO of DPO nodig heeft om Transcribeer.nl te beoordelen.

Samenvatting in 60 seconden

Datalocatie EU-only (Duitsland + West-Europa)
Audio verwerking Eigen server, Hetzner Duitsland
AI verwerking Self-hosted (Ollama), geen externe API's
VS-exposure Beperkt: alleen push tokens + email-adressen
Verwerkersovereenkomst Beschikbaar (standaard bij Business)
DPIA-bestendig Ja
Architectuur

Technische architectuur

Data flow

1
Opname (client-side)

Audio wordt lokaal opgeslagen op het apparaat van de gebruiker. Browser: MediaRecorder API (WebM/OGG). Mobile: expo-audio (M4A). Geen streaming tijdens opname.

Client
2
Upload (TLS 1.3)

Multipart upload via Cloudflare Workers naar Cloudflare R2 (EU West region). End-to-end TLS 1.3 encryptie. Geen tussentijdse opslag buiten EU.

Cloudflare EU
3
Transcriptie (Whisper)

Whisper large-v3 draait op een Hetzner CCX33 VPS (8 vCPU, 32 GB RAM) in Duitsland. Audio wordt na transcriptie direct van de server verwijderd.

Hetzner DE
4
AI samenvatting (Ollama)

Qwen 2.5 14B draait via Ollama op dezelfde Hetzner VPS. Alleen tekst (transcript) wordt verwerkt, nooit audio. Geen externe AI API-calls.

Hetzner DE
5
Opslag resultaat

Transcript en samenvatting worden opgeslagen in Cloudflare D1 (SQLite, EU). Audio in R2 (EU) met auto-delete na max 30 dagen.

Cloudflare EU

Infrastructuur componenten

Component Technologie Locatie Functie
API / Orchestratie Cloudflare Workers (Hono) EU (West-Europa) API routing, auth, job scheduling
Database Cloudflare D1 (SQLite) EU Gebruikers, transcripten, metadata
Object storage Cloudflare R2 EU (West-Europa) Audio bestanden (tijdelijk)
Queue Cloudflare Queues EU Verwerkingsjobs (async)
Transcriptie Whisper large-v3 Duitsland (Hetzner) Spraak-naar-tekst
AI samenvatting Ollama (Qwen 2.5 14B) Duitsland (Hetzner) Samenvatting, actiepunten, beslissingen
Reverse proxy Nginx Duitsland (Hetzner) TLS termination, rate limiting
Beveiliging

Beveiligingsmaatregelen

Transport

  • TLS 1.3 end-to-end (client naar Workers, Workers naar VPS)
  • HSTS enabled
  • Cloudflare DDoS protection

Authenticatie

  • Magic link via email (geen wachtwoorden)
  • Bearer token sessies (cryptografisch random)
  • HttpOnly, Secure, SameSite=Lax cookies
  • Sessie-timeout: 30 dagen

API beveiliging

  • Rate limiting per IP en per gebruiker
  • CORS restrictie op API endpoints
  • Input validatie op alle endpoints
  • Geen SQL injectie mogelijk (D1 parameterized queries)

Server (VPS)

  • SSH key-only access (geen wachtwoord-login)
  • Docker containerisatie (Whisper, Ollama, Nginx)
  • Nginx reverse proxy met TLS 1.3
  • Firewall: alleen poort 443 open

Data at rest

  • Audio: Cloudflare R2 server-side encryptie
  • Database: Cloudflare D1 encrypted at rest
  • VPS: verwerkt audio alleen in-memory/tijdelijk

Data lifecycle

  • Audio op VPS: verwijderd direct na transcriptie
  • Audio in R2: auto-delete na max 30 dagen
  • Server logs: 7 dagen retentie
  • Account deletion: cascade delete van alle data
Compliance

AVG-compliance

Rechtsgronden per verwerking

Verwerking Doel Rechtsgrond AVG-artikel
Account aanmaken Toegang tot dienst Uitvoering overeenkomst Art. 6.1.b
Audio transcriberen Kerndienst Uitvoering overeenkomst Art. 6.1.b
AI samenvatting Kerndienst Uitvoering overeenkomst Art. 6.1.b
Push notifications Statusupdates Gerechtvaardigd belang Art. 6.1.f
Transactionele email Authenticatie Uitvoering overeenkomst Art. 6.1.b

Bewaartermijnen

Gegevens Bewaartermijn Toelichting
Audio-opnamen Max 30 dagen Na goedkeuring notulen. Configureerbaar bij Business/Enterprise.
Transcripten + samenvattingen Zolang account actief Verwijderd bij account deletion.
Sessie-cookies 30 dagen HttpOnly, functioneel, vrijgesteld van cookie-toestemming (Tw Art. 11.7a).
Server logs (IP) 7 dagen Minimale logging, geen tracking.

Rechten van betrokkenen

Recht AVG Implementatie
Inzage Art. 15 Export transcript + samenvatting via app
Rectificatie Art. 16 Transcript bewerkbaar in de app
Verwijdering Art. 17 Een-klik delete per transcript; account deletion met cascade
Overdraagbaarheid Art. 20 Export in JSON formaat
Bezwaar Art. 21 Via account settings of email
Transparantie

Sub-processors

Sub-processor Functie Locatie Data verwerkt Juridische basis
Cloudflare, Inc. CDN, Workers, R2, D1, Queues EU (West-Europa) API requests, audio (tijdelijk), metadata DPA + SCC's
Hetzner Online GmbH VPS hosting Duitsland Audio (tijdelijk), tekst DPA (Duits bedrijf)
Expo, Inc. Push notifications VS Push token, notificatie-titel SCC's
Resend, Inc. Transactionele email VS Email-adres SCC's

Geen externe AI providers. Geen OpenAI, geen Google, geen Anthropic, geen Amazon Bedrock. Alle AI-verwerking draait self-hosted op de Hetzner VPS.

VS-exposure beperkt tot: push notification tokens (Expo) en email-adressen (Resend). Audio, transcripten en samenvattingen verlaten de EU niet.

Internationale doorgifte

Schrems II & CLOUD Act

Schrems II impact assessment

Datatype VS-exposure Risico Mitigatie
Audio-opnamen Nee Geen Verwerkt op Hetzner DE, opgeslagen in Cloudflare R2 EU
Transcripten Nee Geen Opgeslagen in Cloudflare D1 EU
Samenvattingen Nee Geen Gegenereerd op Hetzner DE, opgeslagen in D1 EU
Push tokens Ja (Expo) Laag Geen inhoudelijke data, SCC's van toepassing
Email-adressen Ja (Resend) Laag Alleen voor authenticatie, SCC's van toepassing

CLOUD Act

Cloudflare is een Amerikaans bedrijf en valt onder de CLOUD Act. Echter: audio en transcripten worden opgeslagen in Cloudflare's EU region. Cloudflare's beleid is om verzoeken van Amerikaanse autoriteiten voor EU-data juridisch aan te vechten. Daarnaast verwerkt Hetzner (Duits bedrijf) de feitelijke transcriptie en AI-samenvatting, en valt niet onder de CLOUD Act.

De gevoeligste data (audio, transcripten, samenvattingen) wordt uitsluitend verwerkt op de Hetzner VPS in Duitsland. Cloudflare fungeert als tijdelijke opslag en API-gateway, niet als verwerkingslocatie voor de AI-modellen.

Documenten

Beschikbare documenten

Verwerkersovereenkomst

Standaard verwerkersovereenkomst conform Art. 28 AVG. Beschikbaar bij Business plan, op aanvraag bij Pro.

Bekijk document

Privacyverklaring

Volledige privacyverklaring conform Art. 13 AVG, inclusief rechtsgronden, bewaartermijnen en rechten van betrokkenen.

Bekijk document

DPIA-template

Pre-ingevulde DPIA (Data Protection Impact Assessment) template specifiek voor Transcribeer.nl. Op aanvraag.

Aanvragen via email

Architectuurdocument

Gedetailleerde technische architectuur met dataflow-diagrammen, encryptie-specificaties en infrastructuur-overzicht.

Aanvragen via email
Wie gebruiken Transcribeer.nl?

Gebouwd voor professionals met vertrouwelijke informatie

Management consultants

NDA-compliant verslaglegging. Bespaar 30% declarabele tijd.

Financial controllers

Koersgevoelige data beschermd. DPIA-bestendig voor uw compliance officer.

Juristen & advocaten

Beroepsgeheim beschermd. Geschikt voor advocaten, notarissen en mediators.

Heeft uw IT-afdeling vragen?

We beantwoorden security-vragen doorgaans binnen 1 werkdag. Stuur een mail met uw specifieke eisen.

Mail ons Bekijk privacybeleid