Beveiliging & Compliance Zonder Compromis
Onze gdpr compliant marketing automatisering voldoet aan de strengste Europese normen. Quest OS is ontworpen met privacy by design als kernprincipe. Van AES-256 versleutelde credentials tot tenant-specifieke PII-hashing en volledig AVG-compliant databeleid — uw gegevens en die van uw klanten zijn bij ons in veilige handen.
The Vault. GDPR Session Gate. Compliance Audit Log. Hard Delete. EU AI Act classificatie. Alles ingebouwd, niet erbij geplakt.
Hoe gdpr compliant marketing automatisering eruitziet
De meeste AI-marketingtools behandelen compliance als een bijzaak. Bij Quest OS is het de fundering. Elke workflow, elke datapijplijn en elke AI-agent is ontworpen rond de strengste Europese privacywetgeving. Geen shortcuts, geen compromissen.
Zonder Quest OS
- OAuth-tokens in platte tekst opgeslagen
- Geen scheiding tussen klantgegevens
- PII-gegevens in logbestanden
- Geen audit trail voor compliance
- Handmatige GDPR-verzoeken die weken duren
- Onbekend welke AI welke data verwerkt
Met Quest OS
- AES-256 versleuteling in The Vault
- Volledige tenant-isolatie per client_id
- Tenant-specifieke PII-hashing (SHA-256 + uniek salt)
- compliance_audit_log met 200+ event types
- Geautomatiseerd recht op vergetelheid (Hard Delete)
- EU AI Act classificatie per workflow
The Vault: AES-256 Credential Opslag
Alle gevoelige gegevens — OAuth-tokens, API-sleutels en service secrets — worden opgeslagen in The Vault, een versleutelde opslaglaag gebouwd op PostgreSQL’s pgcrypto-extensie. Geen enkele credential wordt ooit in platte tekst bewaard.
AES-256 Encryptie
Elke credential wordt versleuteld met pgp_sym_encrypt() voordat deze de database bereikt. Militaire encryptiestandaard.
Tenant-Isolatie
Elke tenant heeft een uniek hashing salt. PII wordt per-tenant gehasht zodat cross-tenant correlatie onmogelijk is.
Auto-Rotatie
Verlopen tokens worden automatisch gedetecteerd en geroteerd. Dagelijkse monitoring op secrets ouder dan 90 dagen.
AVG-Compliance Artikel voor Artikel
Quest OS voldoet niet zomaar aan de AVG — het is er specifiek op gebouwd. Hieronder ziet u exact hoe elk relevant artikel is geïmplementeerd in onze architectuur.
Dataminimalisatie
Quest OS verzamelt alleen de gegevens die strikt noodzakelijk zijn voor de marketingautomatisering. PII wordt direct gehasht in logbestanden. Geen overbodige data, geen verborgen tracking.
Rechtmatige Verwerking
Alle verwerking is gebaseerd op expliciete toestemming of gerechtvaardigd belang. De WhatsApp GDPR Session Gate (V38) vereist actief opt-in voordat enige communicatie plaatsvindt.
Recht op Vergetelheid
De V51 Hard Delete-functie wist alle PII volledig: leads, vertegenwoordigers, content, vault secrets, OAuth-tokens en taken. Financiële records blijven 7 jaar bewaard (AWR Art. 52).
Dataportabiliteit
Bij offboarding ontvangt elke tenant een volledig dataexport in gestructureerd formaat. Alle content, analytics en configuraties zijn in standaard JSON/CSV beschikbaar.
Privacy by Design
Elke nieuwe module wordt ontwikkeld met privacy als startpunt. Tenant-isolatie via client_id, PII-hashing met uniek salt per tenant, en encryptie van alle secrets — ingebouwd in de architectuur, niet achteraf toegevoegd.
Verwerkersovereenkomst
Quest Automations treedt op als verwerker. Elke tenant ontvangt een verwerkersovereenkomst die exact beschrijft welke gegevens worden verwerkt, door welke sub-verwerkers, en met welke beveiligingsmaatregelen.
Register Verwerkingsactiviteiten
De compliance_audit_log registreert automatisch elke verwerkingsactiviteit: vault_access, pii_access, financial_export, oauth_validation. Met tijdstempel, tenant-ID, severity en GDPR-markering.
Beveiligingsmaatregelen
AES-256 encryptie voor credentials, SHA-256 hashing voor PII, Row Level Security in PostgreSQL, automatische token-rotatie, en 24/7 agent health monitoring met auto-pause bij falen.
EU AI Act: Beperkt Risico, Volledige Transparantie
Quest OS valt onder de categorie “beperkt risico” van de EU AI Act. Dat betekent transparantieverplichtingen, geen verboden toepassingen. Wij gebruiken AI uitsluitend voor marketingoptimalisatie — nooit voor beslissingen die fundamentele rechten raken.
EU AI Act Classificatie
Cluster C12: Human-in-the-Loop
Het HITL Review Cluster is altijd actief — ongeacht de MVO-score. Elk stuk content passeert een menselijke goedkeuringslaag voordat het gepubliceerd wordt.
- Content approval queue met Slack-notificaties
- Pricing HITL met 24-uur auto-approve
- Clearance campaigns met CCO-goedkeuring
- Budget-overschrijding alerts
WhatsApp GDPR Session Gate
Geen WhatsApp-communicatie zonder toestemming. De V38 GDPR Session Gate vereist een actief opt-in (“Hi Quest”) en respecteert een opt-out (“Thanks Quest”) met automatische sessie-time-out na 30 minuten inactiviteit.
Gebruiker stuurt “Hi Quest”
Expliciete opt-in start de GDPR-sessie. Toestemming wordt gelogd in compliance_audit_log.
AI-assistent is actief
Whisper voice-to-text, RAG-gefilterde antwoorden, productcatalogus, afspraakplanning — alles beschikbaar.
Automatische time-out na 30 minuten
Geen activiteit? De sessie sluit automatisch. Geen achtergrondverwerking zonder actieve toestemming.
Opt-out met “Thanks Quest”
Gebruiker beëindigt de sessie. Verwerking stopt onmiddellijk. Bevestiging wordt verstuurd.
Compliance Tooling op Elk Niveau
Vault Secrets
Versleutelde opslag voor OAuth-tokens, API-keys en service credentials met pgcrypto.
Compliance Audit Log
Automatische registratie van elke data-operatie met severity-niveaus en GDPR-markering.
Hard Delete (V51)
Volledige PII-verwijdering na 60-dagen grace period. GDPR-ontvangstbewijs per email.
PII-Hashing
SHA-256 hashing met tenant-specifiek salt. Cross-tenant correlatie is onmogelijk.
Data Retention Config
Per-tenant configureerbare bewaartermijnen. Standaard 730 dagen, aanpasbaar per type.
Row Level Security
PostgreSQL RLS-policies zorgen dat queries alleen data van de eigen tenant retourneren.
Ontdek Meer over Quest OS
Veelgestelde Vragen over Compliance
Hoe waarborgt Quest OS de privacy van mijn klantgegevens?
Quest OS gebruikt een multi-layered security approach. Alle credentials worden AES-256 versleuteld opgeslagen in The Vault. PII-gegevens worden gehasht met een uniek SHA-256 salt per tenant, zodat cross-tenant correlatie onmogelijk is. Elke database-query wordt gefilterd op client_id (tenant-isolatie), en Row Level Security in PostgreSQL voorkomt ongeautoriseerde toegang. Bovendien registreert de compliance_audit_log automatisch elke data-operatie voor volledige traceerbaarheid.
Wat gebeurt er als ik mijn account wil opzeggen?
Bij opzegging start een 60-dagen grace period waarin uw data volledig intact blijft en u kunt reactiveren. Daarna voert het V51 Hard Delete-proces alle PII-gegevens door: leads, vertegenwoordigers, content, vault secrets, OAuth-tokens en taken worden permanent verwijderd. U ontvangt een GDPR-ontvangstbewijs per email. Financiële records worden conform de Algemene Wet inzake Rijksbelastingen (Art. 52) 7 jaar bewaard.
Is Quest OS compliant met de EU AI Act?
Ja. Quest OS valt onder de categorie “beperkt risico” van de EU AI Act. Wij gebruiken AI uitsluitend voor marketingoptimalisatie — content generatie, advertentie-optimalisatie en analytics. Er worden geen hoog-risico toepassingen ingezet. Het Cluster C12 (Human-in-the-Loop) zorgt ervoor dat alle AI-gegenereerde content een menselijke goedkeuringslaag passeert voordat het gepubliceerd wordt, conform de transparantievereisten van de verordening.
Bieden jullie een verwerkersovereenkomst aan?
Absoluut. Quest Automations treedt op als verwerker conform AVG Art. 28. Elke tenant ontvangt een verwerkersovereenkomst die exact beschrijft: welke persoonsgegevens worden verwerkt, het doel van de verwerking, de bewaartermijnen, de beveiligingsmaatregelen (AES-256, PII-hashing, RLS), de sub-verwerkers (Supabase, n8n, Make.com), en de procedure voor datalekken. Deze overeenkomst is onderdeel van het onboardingproces.
Hoe werkt de WhatsApp GDPR Session Gate?
De V38 GDPR Session Gate vereist een expliciete opt-in voordat WhatsApp-communicatie plaatsvindt. Een gebruiker start een sessie door “Hi Quest” te sturen, waarna de AI-assistent actief wordt. De sessie sluit automatisch na 30 minuten inactiviteit, of wanneer de gebruiker “Thanks Quest” stuurt. Alle sessiegebeurtenissen worden gelogd in de compliance_audit_log met GDPR-markering. Er vindt geen achtergrondverwerking plaats buiten een actieve sessie.
Compliant Marketing Begint Hier
Ontdek hoe Quest OS uw marketing automatiseert zonder compromissen op privacy en beveiliging. Neem contact op voor een demo.