Laatst bijgewerkt: 1 maart 2026
OpenHospi maakt gebruik van de volgende externe partijen voor de verwerking van persoonsgegevens. Alle verwerkers bevinden zich binnen de EU/EER. Er worden geen persoonsgegevens buiten de Europese Economische Ruimte doorgegeven.
| Rol | Verwerker: database-hosting (PostgreSQL) en bestandsopslag (profielfoto's, kamerfoto's) |
| Locatie | Dublin, Ierland (eu-west-1) |
| Verwerkte gegevens | Alle persoonsgegevens in de database, geüploade foto's |
| Verwerkersovereenkomst | Verwerkersovereenkomst conform art. 28 AVG afgesloten (Supabase Data Processing Agreement) |
| Beveiliging | Versleuteling at rest en in transit, SOC 2 Type II gecertificeerd |
| Rol | Verwerker: webapplicatie-hosting, serverless functies, edge-netwerk |
| Locatie | Dublin, Ierland (eu-west-1) |
| Verwerkte gegevens | HTTP-verzoeken (IP-adres, user agent) in serverlogs |
| Verwerkersovereenkomst | Verwerkersovereenkomst conform art. 28 AVG afgesloten (Vercel Data Processing Addendum) |
| Beveiliging | Automatisch HTTPS, DDoS-bescherming, SOC 2 Type II gecertificeerd |
| Rol | Verwerker: Redis-database voor rate limiting en misbruikpreventie |
| Locatie | Ierland (AWS eu-west-1) |
| Verwerkte gegevens | Geanonimiseerde rate limit-tellers (gebruikers-ID hashes). Geen persoonsgegevens opgeslagen |
| Verwerkersovereenkomst | Verwerkersovereenkomst conform art. 28 AVG afgesloten (Upstash DPA) |
| Beveiliging | Versleuteling at rest en in transit |
| Rol | Verwerker: crashrapportage en foutmonitoring |
| Locatie | Frankfurt, Duitsland (eu-central-1) |
| Verwerkte gegevens | Foutgebeurtenissen, stacktraces, apparaatmodel, OS-versie, app-versie. Geen persoonsgegevens: sendDefaultPii uitgeschakeld, IP-stripping ingeschakeld, geen sessiereplay, geen gebruikersvolging |
| Verwerkersovereenkomst | Verwerkersovereenkomst conform art. 28 AVG afgesloten, met modelcontractbepalingen (SCCs) |
| Bewaartermijn | 90 dagen |
| Beveiliging | Versleuteling at rest en in transit. De interne organisatorische metadata van Sentry (ontwikkelaarsaccounts, projectconfiguraties, geen eindgebruikersgegevens) kan naar de VS worden gerepliceerd conform de infrastructuur van Sentry |
| Rol | Verwerker: mobiele app-builds, over-the-air (OTA) updates en app-distributie |
| Locatie | Verenigde Staten (Google Cloud Platform). Buildservers verwerken uitsluitend app-broncode en produceren binaries; er zijn geen persoonsgegevens van eindgebruikers bij betrokken |
| Verwerkte gegevens | App-broncode, JavaScript-bundels, build-metadata. Geen persoonsgegevens van eindgebruikers verzameld |
| Verwerkersovereenkomst | Expo Servicevoorwaarden en Privacybeleid zijn van toepassing. Expo voldoet aan het EU-VS Data Privacy Framework en maakt gebruik van modelcontractbepalingen (SCCs) voor internationale doorgifte |
| AVG-relevantie | Er worden geen persoonsgegevens van eindgebruikers overgedragen aan of verwerkt op EAS-buildservers. Alleen app-broncode en bundels worden verwerkt. De internationale doorgifte-waarborgen van Expo (EU-VS DPF, SCCs) bieden aanvullende bescherming conform art. 45-46 AVG |
| Beveiliging | Ondertekende updates, alleen HTTPS-levering, code-ondertekening voor OTA-updates |