Vertrouwen · Naleving
Vertrouwen, uitgespeld.
Deze pagina vermeldt elke regelgeving waaraan we voldoen, hoe we hieraan voldoen en welke onderliggende leveranciers de audits uitvoeren waarop we vertrouwen. Alles hier is zelfverklaard — we vermelden wat we vandaag eerlijk kunnen ondersteunen, en we vertellen u wat we niet kunnen.
Laatst beoordeeld — 2026-04-21
Eerlijkheidsclausule
We hebben geen externe SOC 2- of ISO 27001-audit van onze eigen systemen voltooid. We zullen die badges niet voor onszelf tonen. Waar we vertrouwen op leveranciers die wel die audits hebben — Clerk, Convex, Vercel, Dodo — vermelden we hun certificeringen in de infrastructuursectie hieronder, omdat die certificeringen van toepassing zijn op de hosting- en identiteitslaag waarop we draaien, niet op onze eigen codebase. We zijn liever een klein bedrijf dat de waarheid vertelt dan een klein bedrijf dat de badges van anderen leent.
— Ondertekend, het zlabz.io team
01 — Privacykaders
Privacykaders waaraan we voldoen
Elk item wordt ondersteund door een concrete controle die we leveren — geen belofte op een dia. Klik op een item om het bewijs te zien waarop het is gebaseerd.
- 01
GDPR · EU Verordening 2016/679
ZelfverklaardRechtsgrondslag (toestemming + contract), transparante privacyverklaring, gegevensminimalisatie, retentiebeperking van 13 maanden, volledige rechten van betrokkenen (toegang, rectificatie, verwijdering, overdraagbaarheid, bezwaar, beperking), benoemde subverwerkers, EU-vriendelijke overdrachten en gedocumenteerde beveiligingsmaatregelen.
Hoe we hieraan voldoen/privacy · gedetailleerde cookie-toestemming · /api/user/export · accountverwijdering in /settings · /subprocessors
- 02
UK GDPR · 2021
ZelfverklaardPost-Brexit UK-specifieke GDPR-regelgeving. We passen dezelfde controles toe als de EU GDPR — de Britse versie is op operationeel niveau inhoudelijk identiek, dus naleving wordt via dezelfde mechanismen gerealiseerd.
Hoe we hieraan voldoenZelfde controles als EU GDPR · ICO-uitgelijnde privacyverklaring
- 03
CCPA / CPRA · Californië, VS
ZelfverklaardGeen verkoop of delen van persoonlijke informatie, duidelijke kennisgeving bij verzameling, recht om te weten / toegang / verwijderen / corrigeren, recht om gebruik van gevoelige informatie te beperken, geen discriminatie voor het uitoefenen van rechten. We behandelen alle CA-gebruikers met de maximale rechtenbenadering.
Hoe we hieraan voldoen/privacy · 'Niet Verkopen of Delen' is geen probleem omdat we dat niet doen · /api/user/export · accountverwijdering
- 04
LGPD · Brazilië Lei 13.709/2018
ZelfverklaardBraziliaanse privacywetgeving gemodelleerd naar GDPR. We vertrouwen op toestemming en legitieme contractuele basis, honoreren alle rechten van betrokkenen en markeren LGPD expliciet in onze cookiebanner zodat Braziliaanse gebruikers het kader herkennen.
Hoe we hieraan voldoenCookiebanner LGPD-markering · /privacy · /api/user/export
- 05
ePrivacy · EU Richtlijn 2002/58 (cookiewet)
ZelfverklaardGeen niet-essentiële cookies worden geplaatst vóór expliciete toestemming. 'Alles accepteren' en 'Optionele weigeren' hebben gelijke nadruk. Geen vooraf aangevinkte vakjes, geen 'X' die stilzwijgend accepteert. Toestemming is versiegebonden en verloopt automatisch na 13 maanden, zodat materiële wijzigingen opnieuw worden gevraagd.
Hoe we hieraan voldoenPre-toestemming scriptblokkering in cookie-consent.tsx · versiegebonden toestemming in use-cookie-consent.ts
- 06
COPPA · VS · Kinderen onder 13
ZelfverklaardOnze dienst is niet gericht op kinderen onder de 13. We verzamelen niet bewust persoonlijke informatie van minderjarigen en we leggen dit in duidelijke taal uit in ons privacybeleid. Als we ontdekken dat een minderjarige zich heeft geregistreerd, verwijderen we het account na melding.
Hoe we hieraan voldoen'Kinderen' sectie in /privacy · geen functies gericht op minderjarigen
- 07
PCI DSS · SAQ-A scope
ZelfverklaardKaartgegevens raken nooit onze servers. Alle betalingen worden doorgestuurd naar Dodo Payments (PCI DSS Level 1 gecertificeerde provider). Dat plaatst ons duidelijk in SAQ-A scope — de lichtste vorm van PCI-naleving, en de enige eerlijke claim voor een handelaar die nooit PAN's verwerkt.
Hoe we hieraan voldoenDodo-gehoste checkout · geen PAN-opslag · geen CVV-opname
02 — Beveiligingshouding
Beveiligingshouding
De technische controles achter de nalevingsclaims hierboven. Het meeste hiervan is het resultaat van zorgvuldig gekozen leveranciers in plaats van het zelf ontwikkelen.
- Hosting · Vercel + Coolify
- Primaire web- en API-werkbelastingen draaien op Vercel (SOC 2 Type II, ISO 27001). Render- en zoekdiensten draaien op een Coolify-beheerde EU VPS met fail2ban, UFW-firewall en een niet-root deploy-gebruiker. TLS is end-to-end afgedwongen.
- Database · Convex (versleuteld in rust)
- Alle gebruikersgegevens bevinden zich in Convex, dat standaard gegevens in rust versleutelt en SOC 2 Type II gecertificeerd is. We bevragen het met strikte per-gebruiker scoping via Clerk-identiteit — geen cross-tenant toegangspaden.
- Identiteit · Clerk (we raken nooit wachtwoorden aan)
- Clerk verzorgt inloggen, wachtwoordopslag, MFA, sessierotatie en OAuth. We zien of bewaren nooit wachtwoorden. Sessies zijn JWT-gebaseerd en worden per verzoek geverifieerd tegen Clerk's JWKS.
- Betalingen · Dodo (PCI Level 1)
- Checkout wordt doorgestuurd naar Dodo Payments. Kaartnummers, CVV's en volledige PAN's worden nooit verzonden naar zlabz.io of opgeslagen in onze database — alleen abonnementsstatus, abonnements-ID en factureringsmetadata.
- Transport · Alleen HTTPS, moderne TLS
- Alle eindpunten dwingen HTTPS af via HSTS. We stellen strikte COOP/COEP-headers in op de editorroutes voor SharedArrayBuffer-veiligheid, en de app draait in een CORS-credentialless context.
- Retentie · 13 maanden limiet
- Accountgegevens worden bewaard zolang uw account actief is. Bij verwijdering wist een Convex cascade-taak profiel, abonnement, credits, projecten en ondersteuningsgeschiedenis. Factureringsgegevens worden bewaard volgens de belastingwetgeving (meestal 7 jaar) zoals vereist.
03 — Uw rechten
Uw rechten
Elk recht hieronder is een knop die u vandaag kunt klikken — geen proces dat 30 dagen e-mail pingpong vereist.
Toegang + overdraagbaarheid
Download op elk moment een JSON-snapshot van alles wat we over u opslaan. Omvat profiel, abonnement, credits, supporttickets, feedback en projecten.
Exporteer mijn gegevensVerwijdering
Verwijder uw account met één klik. We wissen cascade uw rijen uit Convex. Factureringsgegevens die worden bewaard voor belastingnaleving worden bewaard volgens de wettelijk vereiste minimums.
Verwijder mijn accountToestemming intrekken
Wijzig uw cookievoorkeuren op elk moment. Intrekken is net zo eenvoudig als toestaan — klik gewoon op 'Cookievoorkeuren' ergens in de voettekst.
Beheer cookies04 — Infrastructuur
Onderliggende infrastructuur (welke leveranciers de audits uitvoeren)
We tonen geen leveranciersbadges alsof ze van ons zijn — maar de onderstaande certificeringen zijn van toepassing op de platforms waarop we draaien, wat direct invloed heeft op onze beveiligingshouding. Dit is de eerlijke versie van 'gebouwd op SOC 2-infrastructuur'.
Identiteit · sessies · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Database · realtime synchronisatie
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Web + API-hosting · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Checkout · kaartverwerking
PCI DSS Level 1 · SOC 2 · GDPR
AI-paragraafgeneratie
GDPR · SOC 2 Type II · EU-hosted
Geaggregeerde analyses (zelf-gehost)
GDPR · ePrivacy · No PII
Wat we NIET claimen
We hebben geen SOC 2 Type I of Type II, ISO 27001, ISO 27701, HIPAA, FedRAMP of enige andere derde partij audit van onze eigen systemen voltooid. Als bedrijfsinkoop dat niveau van zekerheid specifiek van ons vereist, neem dan contact met ons op — we kunnen leveranciersrapporten en een beveiligingsvragenlijst delen, maar we zullen geen badges verzinnen die we niet hebben.
05 — Gerelateerde documenten
Gerelateerde documenten
Vragen
Nog vragen?
Als uw inkoopteam een ondertekende DPA, een beveiligingsvragenlijst of diepere documentatie nodig heeft, neem contact met ons op en we reageren binnen twee werkdagen.
Contacteer ondersteuning