Versie 3.0 · Ingangsdatum: 16 juni 2026 · Herzien: 20 juni 2026 · Conform AVG (EU) 2016/679, UAVG, NIS2 (Cbw), AI Act (EU) 2024/1689, CRA (EU) 2024/2847 & EDPB Richtsnoeren 07/2020
De verhuurder die een account aanmaakt bij PropAI en daarmee huurdergegevens via het platform verwerkt. Hierna: "Verhuurder" of "u".
Lars Tils, handelend onder de naam PropAI, gevestigd te Zilverschoon 53, 1422NZ Uithoorn, Nederland. KvK: 42081154. E-mail: privacy@propai.nl. Hierna: "PropAI".
De huurders en andere natuurlijke personen van wie de persoonsgegevens via het PropAI-platform worden verwerkt.
PropAI verwerkt persoonsgegevens uitsluitend ten behoeve van de dienstverlening aan de Verhuurder, te weten: het aanbieden van een SaaS-platform voor vastgoedbeheer, inclusief huurderportaal, contractgeneratie, ticketbeheer, onboarding en communicatie.
De verwerkersovereenkomst is van kracht zolang de Verhuurder gebruik maakt van PropAI. Na beëindiging van de dienst geldt artikel 11 (verwijdering en retour).
Opslag, weergave, analyse, doorsturen, aanmaken, wijzigen en verwijderen van persoonsgegevens via de PropAI-applicatie.
| Categorie | Voorbeelden | Betrokkenen | Bewaartermijn |
|---|---|---|---|
| Identificatiegegevens | Naam, adres, geboortedatum | Huurders | Contractduur + 2 jaar |
| Contactgegevens | E-mailadres, telefoonnummer | Huurders, verhuurders | Contractduur + 2 jaar |
| Financiële gegevens | Huurbetalingen, betalingsstatus | Huurders | 7 jaar (art. 52 AWR) |
| Onboarding-documenten | Inkomensbewijs, borgsombevestiging | Huurders | Max. 90 dagen na upload |
| Huurcontracten | Volledige contractinhoud, handtekeningen | Huurders, verhuurders | 7 jaar (art. 52 AWR) |
| Communicatie | Berichten, tickets, notities | Huurders | Contractduur + 2 jaar |
| Plaatsbeschrijvingen | Foto's woningconditie | Huurders (indirect) | Contractduur + 2 jaar |
| Technische gegevens | Inlogmomenten, IP-adressen (geanon.) | Alle gebruikers | 90 dagen |
PropAI verplicht zich tot het volgende:
PropAI verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verhuurder, tenzij een wettelijke verplichting anders vereist. In dat geval informeert PropAI de Verhuurder vooraf, tenzij dit wettelijk verboden is (art. 28 lid 3 sub a AVG).
PropAI zorgt ervoor dat alle medewerkers en eventuele derden met toegang tot persoonsgegevens gebonden zijn aan een geheimhoudingsplicht (art. 28 lid 3 sub b AVG).
PropAI treft passende technische en organisatorische maatregelen conform art. 32 AVG (art. 28 lid 3 sub c AVG). Zie artikel 8 voor de specifieke maatregelen.
PropAI schakelt sub-verwerkers in alleen met toestemming van de Verhuurder. Door akkoord met deze overeenkomst geeft de Verhuurder algemene toestemming voor de sub-verwerkers vermeld in artikel 6. PropAI informeert de Verhuurder minimaal 30 dagen van tevoren bij wijzigingen (art. 28 lid 3 sub d AVG).
PropAI verleent de Verhuurder redelijke bijstand bij het afhandelen van verzoeken van betrokkenen om uitoefening van hun rechten (art. 28 lid 3 sub e AVG).
PropAI verleent bijstand bij het naleven van de verplichtingen uit art. 32-36 AVG, waaronder het melden van inbreuken en het uitvoeren van gegevensbeschermingseffectbeoordelingen (art. 28 lid 3 sub f AVG).
Na afloop van de verwerking verwijdert PropAI alle persoonsgegevens of geeft deze terug aan de Verhuurder, conform artikel 11 van deze overeenkomst (art. 28 lid 3 sub g AVG).
PropAI stelt alle informatie beschikbaar die nodig is om naleving van art. 28 AVG aan te tonen en verleent medewerking aan audits door de Verhuurder of een door hem aangewezen accountant. Audits worden minimaal 30 dagen van tevoren aangekondigd en vinden plaats tijdens kantooruren (art. 28 lid 3 sub h AVG).
Grondslag: art. 25 AVG | EDPB Guidelines 4/2019 v2.0 (goedgekeurd 20 oktober 2020) | IAPP 2026 Implementation Guidance | Recital 78 AVG
PropAI integreert gegevensbeschermingsbeginselen structureel in het ontwerp en de werking van het platform. Dit omvat, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en verwerkingsdoeleinden, en de risico's voor de rechten en vrijheden van betrokkenen (EDPB Guidelines 4/2019, par. 7–13):
PropAI verwerkt standaard uitsluitend persoonsgegevens die strikt noodzakelijk zijn voor elk specifiek doel. Dit geldt voor (art. 25 lid 2, 2e volzin AVG):
PropAI draagt als verwerker actief bij aan de mogelijkheid van de Verhuurder om te voldoen aan art. 25 AVG. PropAI:
De Verhuurder is verantwoordelijk voor een rechtmatige grondslag (art. 6 AVG) voor elke verwerking van persoonsgegevens via PropAI.
De Verhuurder informeert huurders conform art. 13/14 AVG over de verwerking van hun persoonsgegevens. PropAI biedt hiervoor een standaard privacyverklaring aan (propai.nl/privacy) die de Verhuurder kan doorverwijzen naar huurders.
De Verhuurder behandelt verzoeken van huurders op uitoefening van hun AVG-rechten (inzage, rectificatie, verwijdering, bezwaar) tijdig en correct.
De Verhuurder geeft PropAI uitsluitend rechtmatige instructies. De Verhuurder verwerkt via PropAI geen bijzondere categorieën persoonsgegevens (art. 9 AVG) tenzij hij hiervoor een geldige grondslag heeft en PropAI hiervan op de hoogte heeft gesteld.
De Verhuurder instrueert huurders nimmer een BSN-nummer te delen via PropAI en uploadt zelf geen documenten met BSN via het platform (UAVG art. 46).
Grondslag: BW art. 1:233 (minderjarigheid) | BW art. 1:234 (handelingsbekwaamheid) | BW art. 3:32 (vernietigbaarheid) | Art. 6 lid 1 sub b AVG (uitvoering overeenkomst) | Art. 9 AVG (bijzondere categorieën) | EDPB Statement 1/2025 over leeftijdsborging (11 februari 2025) | AP toezichtsprioriteit 2026: AI en kwetsbare groepen
PropAI is een B2B-platform voor verhuurders. Huurkandidaten zijn in beginsel meerderjarig (18+). De Verhuurder is verantwoordelijk voor het vaststellen van de leeftijd van huurkandidaten vóór verwerking van hun persoonsgegevens via PropAI. Het volgende beleid is van toepassing:
PropAI maakt gebruik van de volgende sub-verwerkers. De Verhuurder geeft door ondertekening van deze overeenkomst algemene toestemming (art. 28 lid 2 AVG).
| Sub-verwerker | Functie | Locatie | Doorgifte-mechanisme |
|---|---|---|---|
| Supabase Pte. Ltd. | Database & bestandsopslag | EU (Frankfurt) | Binnen EER — geen doorgifte |
| Resend (Plus Five Five Inc.) | E-mailverzending | VS | EU SCCs (2021/914) + DPF |
| Vercel Inc. | Hosting & CDN | VS / EU edge | EU SCCs (2021/914) |
| Stripe Payments Europe Ltd. | Betalingsverwerking | Ierland / VS | EU SCCs + DPF |
| OpenAI Ireland Ltd. | AI-taalmodel (GPT) — tekst- en documentanalyse, screening | Ierland / VS | EU SCCs (2021/914); OpenAI DPA v2026 (eff. 1 jan 2026); EEA-verwerking via OpenAI Ireland Ltd. |
| Groq Inc. | AI-inferentie (ZDR ingeschakeld) | VS | EU SCCs (2021/914) |
PropAI geeft persoonsgegevens alleen door aan landen buiten de EER als daarvoor een passend beschermingsniveau geldt. Voor de sub-verwerkers in de VS (Resend, Vercel, Stripe, Groq) zijn EU Standaardcontractbepalingen van toepassing conform Commissiebesluit (EU) 2021/914.
Voor Groq geldt aanvullend Zero Data Retention (ZDR): persoonsgegevens worden na de inferentie direct gewist en nooit bewaard op de servers van Groq.
Alle DPA's met sub-verwerkers zijn beschikbaar op verzoek via privacy@propai.nl.
PropAI heeft de volgende technische en organisatorische maatregelen getroffen:
Grondslag: Art. 32 AVG (beveiliging — vermogen om vertrouwelijkheid, integriteit en beschikbaarheid te waarborgen én te herstellen) | ENISA Guidelines on Pseudonymisation Techniques 2019 | ISO 27001:2022 Annex A.8.15 (Logging) | NIS2 Cbw art. 21 maatregel #2 (toegangsbeheer) | AP Richtsnoeren Beveiliging Persoonsgegevens | EDPB Recommendation 01/2020 on supplementary measures
PropAI registreert automatisch activiteiten waarbij persoonsgegevens worden verwerkt. Audit logging is een passende technische maatregel conform art. 32 AVG en vereist door ISO 27001:2022 Annex A.8.15 en NIS2 Cbw maatregel #2.
| Logtype | Wat wordt gelogd | Bewaartermijn | Grondslag |
|---|---|---|---|
| Authenticatielog | Login/logout, mislukte inlogpogingen, sessie-ID (via Supabase Auth) | 90 dagen | Art. 32 AVG; ISO A.8.15 |
| Activiteitenlog (audit_log) | Aanmaken, wijzigen, verwijderen van panden, huurders, contracten, tickets; gebruiker-ID, tijdstip, actie, tabel | 1 jaar (daarna geanonimiseerd) | Art. 32 AVG; ISO A.8.15; Cbw maatregel #2 |
| AI-prompts log | Tijdstip, type AI-aanroep, geanonimiseerde invoer (geen namen/e-mails), model, responstijd | 30 dagen | Art. 32 AVG; AI Act art. 12 (traceerbaarheid) |
| AVG Compliance Scanlog | Dagelijkse scan-resultaten, geconstateerde afwijkingen, timestamps | 1 jaar | Art. 5 lid 2 AVG (accountability); art. 24 |
| Dataleklog | Alle incidenten en beveiligingsincidenten, ongeacht meldplicht (conform art. 33 lid 5 AVG) | 5 jaar | Art. 33 lid 5 AVG (documentatieplicht datalekken) |
Logs zijn uitsluitend toegankelijk voor geautoriseerde PropAI-beheerders (need-to-know principe). Logs worden beveiligd via Row Level Security (RLS) en zijn niet toegankelijk voor verhuurders of huurders tenzij de Verhuurder hier via een audit-verzoek op grond van art. 28 lid 3 sub h AVG om verzoekt.
Grondslag: EU NIS2-richtlijn (EU) 2022/2555 | Cyberbeveiligingswet (Cbw) — verwachte inwerkingtreding 1 juli 2026, goedgekeurd Tweede Kamer 15 april 2026 (Bird & Bird, 27 april 2026) | NCSC-NL Cbw-documentatie (geraadpleegd 20 juni 2026) | Cbw art. 21 (zorgplicht) | Cbw art. 21a (leveranciersverbod) | Art. 32 AVG (technische beveiliging) | uComply analyse Cbw Q2 2026
De Cyberbeveiligingswet (Nederlandse implementatie van NIS2) is van toepassing op essentiële en belangrijke entiteiten in aangewezen sectoren, die voldoen aan de drempelwaarden:
Conclusie per 20 juni 2026: PropAI (eenmanszaak/micro-onderneming, KvK 42081154) valt als early-stage startup niet rechtstreeks onder de Cyberbeveiligingswet op basis van de huidige drempelwaarden. De sector "digitale dienstverlening / SaaS voor vastgoedbeheer" valt niet onder de limitatief opgesomde essentiële sectoren (energie, transport, zorg, financiën, digitale infrastructuur, overheid, ruimtevaart) of de aanvullende belangrijke sectoren.
Hoewel PropAI formeel buiten de directe Cbw-scope valt, hanteert PropAI de tien verplichte maatregelen van Cbw art. 21 als leidraad voor het beveiligingsbeleid, in aansluiting op de bestaande art. 32 AVG-verplichtingen:
| # | Cbw-maatregel | PropAI-implementatie |
|---|---|---|
| 1 | Risicoanalyse | DPIA uitgevoerd (juni 2026); AVG Compliance Scanner dagelijks 03:00u |
| 2 | Toegangsbeheer en personeel | JWT + Row Level Security (RLS); need-to-know principe; MFA aanbevolen (in uitvoering) |
| 3 | Bedrijfscontinuïteit | Dagelijkse versleutelde back-ups via Supabase (EU Frankfurt); Vercel multi-region failover |
| 4 | Incidentrespons | Datalekprocedure met 48u-meldtermijn; zie propai.nl/datalekprocedure |
| 5 | Cyberhygiëne | Sterke wachtwoorden (bcrypt); automatische sessie-expiratie; dependency updates via Vercel |
| 6 | Netwerk- en informatiebeveiliging | TLS 1.3; AES-256 at rest; private storage bucket; geen publieke API-endpoints zonder auth |
| 7 | Supply chain-beveiliging | Sub-verwerkers: Supabase (SOC 2 Type II), Vercel (ISO 27001), OpenAI (DPA 2026), Groq (ZDR). Zie artikel 6. |
| 8 | Cryptografie en versleuteling | AES-256 at rest; TLS in transit; bcrypt wachtwoorden; signed URLs (max. 1u) |
| 9 | Multi-factor authenticatie | MFA op Supabase, Vercel en GitHub via TOTP (authenticator app): geïmplementeerd per 20 juni 2026 conform NIS2 art. 21(2)(j) en AVG art. 32. Backup TOTP-factor geregistreerd. Recovery codes veilig opgeslagen. |
| 10 | Evaluatie en verbetering | Halfjaarlijkse AVG-audit; compliance scanner; GitHub Actions CI-pipeline met syntax checks |
PropAI monitort actief de voortgang van de Cyberbeveiligingswet. Bij groei van PropAI voorbij de drempelwaarden (≥50 fte of ≥€10M omzet), of bij een formele aanwijzing door de toezichthouder, zal PropAI zich onverwijld registreren bij het NCSC-entiteitenregister en volledig voldoen aan de Cbw-verplichtingen (registratieplicht, meldplicht, zorgplicht). Deze overeenkomst wordt op dat moment dienovereenkomstig bijgewerkt.
Laatste scope-beoordeling: 20 juni 2026. Volgende herziening: bij inwerkingtreding Cbw (verwacht 1 juli 2026) en daarna jaarlijks of bij materiële wijziging van de wet of van PropAI's bedrijfsomvang.
Grondslag: ISO/IEC 27001:2022 (Annex A, 93 controls — van toepassing als leidraad) | ISO/IEC 27002:2022 (implementatiegids) | SOC 2 Trust Services Criteria (AICPA 2017, herzien 2022) | AVG art. 32 lid 1 sub b (integriteit en vertrouwelijkheid) | AVG art. 32 lid 2 (risicobeoordeling) | ENISA Cloud Security Guidelines 2024 | Cbw art. 21 maatregel #2 (toegangsbeheer) | AP Beveiliging van persoonsgegevens (2021) | Konfirmity ISO 27001 Controls Guide 2026
PropAI is als micro-onderneming op dit moment niet ISO 27001-gecertificeerd en niet SOC 2-gecertificeerd. Dit is eerlijk vermeld omdat enterprise- of institutionele Verhuurders hierop kunnen toetsen. PropAI hanteert de ISO 27001:2022-controls (Annex A) en de SOC 2 Trust Services Criteria als leidraad voor het beveiligingsbeleid — aantoonbaar via de implementaties beschreven in art. 8, art. 8.1 en art. 8a van deze overeenkomst.
PropAI implementeert de volgende meest relevante ISO 27001:2022 Annex A-controls voor een SaaS-platform met persoonsgegevens (AVG art. 32 + ISO 27001:2022 Clause 6.1.3 Statement of Applicability-benadering):
| Control | Omschrijving | PropAI-status |
|---|---|---|
| A.8.2 | Beheer bevoorrechte toegangsrechten | ✅ Supabase RLS + beheerderrol (tils1993@gmail.com only) |
| A.8.3 | Authenticatie-informatie | ✅ bcrypt wachtwoorden; ✅ MFA geïmplementeerd 20 juni 2026 |
| A.8.5 | Veilige authenticatie | ✅ JWT + sessie-expiratie; ✅ MFA geïmplementeerd 20 juni 2026 |
| A.8.11 | Gegevensversleuteling | ✅ AES-256 at rest (Supabase); TLS 1.3 in transit |
| A.8.15 | Logging | ✅ Zie art. 8.1 (audit_log, auth-log, dataleklog) |
| A.8.24 | Gebruik van cryptografie | ✅ AES-256 + bcrypt + signed URLs (max. 1u) |
| A.5.23 | Informatiebeveiliging bij gebruik clouddiensten | ✅ Supabase (SOC 2 Type II), Vercel (ISO 27001), OpenAI Ireland (DPA 2026) |
| A.5.29 | Informatiebeveiliging bij incidenten | ✅ Datalekprocedure met 48u interne meldtermijn; zie art. 9 |
| A.5.30 | ICT-gereedheid voor bedrijfscontinuïteit | ✅ Dagelijkse back-ups Supabase EU; ⚠️ formeel BCP-document Q3 2026 |
| A.8.8 | Beheer technische kwetsbaarheden | ⚠️ Via Supabase/Vercel CVE-monitoring; eigen pentest gepland Q4 2026 |
| A.8.9 | Configuratiebeheer | ✅ GitHub Actions CI-pipeline met syntaxchecks; IaC via Vercel |
PropAI hanteert een formeel RBAC-model (Role-Based Access Control) conform ISO 27001:2022 A.8.2 (beheer bevoorrechte toegangsrechten) en AVG art. 32 lid 1 sub b (permanente beschikbaarheid, integriteit en vertrouwelijkheid):
| Rol | Toegang | Technische afdwinging |
|---|---|---|
| Admin (PropAI) | Volledige toegang alle tabellen; gebruikersbeheer; AVG-register | Supabase service role key (geheim, alleen server-side); ✅ MFA geïmplementeerd 20 juni 2026 |
| Verhuurder | Eigen panden, huurders, contracten, tickets, betalingen (eigen account) | Supabase RLS: auth.uid() = user_id op alle tabellen; JWT-authenticatie |
| Huurder | Eigen profiel, eigen berichten, eigen tickets; geen andere huurderdata | Supabase RLS: auth.email() = huurder_email; apart auth-domein (huurder.html) |
| Publiek (niet ingelogd) | Geen toegang tot persoonsgegevens; alleen publieke pagina's (index, privacy, dpa) | Supabase anon key met lege RLS-policies; geen SELECT op persoonsgegevens-tabellen |
Toegangsrollen worden uitsluitend toegekend op basis van het need-to-know principe (ISO A.8.2 + AVG art. 5 lid 1 sub c dataminimalisatie). Rollen worden gecontroleerd bij elke halvejaarlijkse AVG-audit.
SOC 2 (AICPA Trust Services Criteria, herzien 2022) is een Amerikaanse auditstandaard die vijf principes toetst: beveiliging (CC), beschikbaarheid (A), verwerkingsintegriteit (PI), vertrouwelijkheid (C) en privacy (P). PropAI is niet SOC 2-gecertificeerd maar voldoet aan de meest relevante criteria via de volgende implementaties:
PropAI streeft naar formele SOC 2 Type II-certificering zodra de bedrijfsomvang en klantbehoefte dit rechtvaardigen. Enterprise-klanten kunnen een aantoonbaarheidsrapport opvragen conform art. 28 lid 3 sub h AVG.
Grondslag: AVG art. 32 lid 1 sub c ("het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen") | AVG art. 32 lid 1 sub d ("een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen") | ISO/IEC 27001:2022 Annex A.5.29 (Informatiebeveiliging bij storingen) | ISO/IEC 27001:2022 Annex A.5.30 (ICT-gereedheid voor bedrijfscontinuïteit) | ENISA Cloud Security Guidelines 2024 | NIS2 Cbw art. 21 maatregel #3 (bedrijfscontinuïteit)
Dit Business Continuity Plan beschrijft de maatregelen die PropAI neemt om de beschikbaarheid van persoonsgegevens en de continuïteit van de dienstverlening te waarborgen bij incidenten, storingen of calamiteiten. Het BCP is een passende technische en organisatorische maatregel conform AVG art. 32 lid 1 sub c en ISO 27001:2022 A.5.30.
| Scenario | Kans | Impact | Maatregel | RTO |
|---|---|---|---|---|
| Vercel CDN-storing | Laag | Hoog (platform onbereikbaar) | Vercel multi-region failover; automatisch Vercel incident dashboard | < 30 min |
| Supabase database-storing | Laag | Kritiek (dataverlies risico) | Dagelijkse versleutelde back-ups (Supabase EU Frankfurt); Point-in-Time Recovery (PITR) beschikbaar via Supabase Pro | < 4u |
| Datalek / cyberaanval | Laag | Hoog (AVG art. 33) | Datalekprocedure (48u interne melding); RLS-isolatie beperkt schade; zie art. 9 | 48u melding |
| OpenAI/Groq API onbeschikbaar | Gemiddeld | Laag (AI-functies tijdelijk uitgeschakeld; kernplatform werkt door) | AI-functies graceful degradation; platform functioneel zonder AI-modules | 0 min (kern) |
| GitHub/deployment-storing | Laag | Laag (alleen nieuwe deploys geblokkeerd; bestaande versie draait door) | Vercel bewaart laatste 10 productie-deploys; rollback binnen 1 muisklik | < 15 min |
| Dataverlies (accidenteel) | Zeer laag | Hoog | Supabase dagelijkse back-up + PITR; maximaal gegevensverlies = 24 uur (RPO) | < 4u (RPO 24u) |
RTO = Recovery Time Objective (maximale hersteltijd). RPO = Recovery Point Objective (maximaal acceptabel gegevensverlies).
Bij een storing of calamiteit met impact op de dienstverlening aan Verhuurders:
Grondslag: ISO/IEC 27001:2022 Annex A.8.8 (Beheer van technische kwetsbaarheden) | AVG art. 32 lid 1 ("passende technische en organisatorische maatregelen rekening houdend met de stand van de techniek") | NIS2 Cbw art. 21 maatregel #5 (cyberhygiëne en opleiding) | OWASP Testing Guide v4.2 (2021) | ENISA Good Practices for Security of IoT and Smart Infrastructures 2022 | CVE/NVD (National Vulnerability Database) | Scrut.io ISO 27001 Penetration Testing Guide 2025
PropAI voert een gestructureerd kwetsbaarheidsbeheer uit op de volgende componenten van het platform:
| Maatregel | Frequentie | Verantwoordelijke | Status |
|---|---|---|---|
| Dependency-scan (npm audit) | Bij elke deployment (GitHub Actions CI) | Automatisch | ✅ Actief |
| Vercel security updates | Automatisch bij deployment | Vercel (ISO 27001) | ✅ Actief via sub-verwerker |
| Supabase CVE-monitoring | Continu (Supabase SOC 2 Type II programma) | Supabase (SOC 2 Type II) | ✅ Actief via sub-verwerker |
| JS Syntax & Code Quality Check | Bij elke GitHub-push (GitHub Actions) | Automatisch | ✅ Actief (node --check) |
| AVG Compliance Scanner | Dagelijks om 03:00 (geautomatiseerd) | Automatisch | ✅ Actief |
| OWASP Top 10 handmatige review | Halfjaarlijks | PropAI (eigenaar) | ✅ Actief (laatste: juni 2026) |
| Externe penetratietest | Jaarlijks (eerste: gepland Q4 2026) | Externe partij (CREST/OSCP gecertificeerd) | ⚠️ Gepland Q4 2026 |
PropAI hanteert responsetijden gebaseerd op de CVSS v3.1-score (Common Vulnerability Scoring System):
| Ernst (CVSS) | Score | Max. reactietijd | Actie |
|---|---|---|---|
| Kritiek | 9.0–10.0 | 24 uur | Onmiddellijke patch of tijdelijke mitigatie; gebruikersmelding indien persoonsgegevens betrokken |
| Hoog | 7.0–8.9 | 72 uur | Patch in eerstvolgende sprint; tijdelijke mitigatie indien nodig |
| Gemiddeld | 4.0–6.9 | 2 weken | Gepland in regulier release-schema |
| Laag | 0.1–3.9 | 30 dagen | Opgenomen in kwartaalreview |
De eerste externe penetratietest is gepland voor Q4 2026. Scope en methodologie:
Verhuurders kunnen het samenvatting-rapport van de laatste penetratietest opvragen via privacy@propai.nl (conform art. 28 lid 3 sub h AVG — vertrouwelijke behandeling vereist).
Grondslag: AVG art. 25 lid 1 (gegevensbescherming door ontwerp — "privacy by design") | AVG art. 25 lid 2 (gegevensbescherming door standaardinstellingen — "privacy by default") | AVG art. 32 lid 1 (passende technische en organisatorische maatregelen) | Verordening (EU) 2024/2847 (Cyber Resilience Act) — art. 14 vulnerability disclosure van toepassing 11 september 2026; full compliance 11 december 2027 | NIS2 (Richtlijn (EU) 2022/2555) art. 21 maatregel #7 ("beveiligde softwareontwikkeling") | ENISA Privacy and Data Protection by Design (2014, methodologie) | ENISA Secure By Design and Default Playbook v0.4 (2026) | Datatilsynet (Noors DPA) Secure SDLC Guidelines | OWASP Software Assurance Maturity Model (SAMM) v3.0 | Microsoft Security Development Lifecycle (SDL)
AVG art. 25 lid 1 verplicht PropAI als verwerker om zowel bij het bepalen van de middelen voor de verwerking als bij de feitelijke verwerking passende technische en organisatorische maatregelen te treffen die privacybeginselen (dataminimalisatie) doeltreffend implementeren. Dit is geen inspanningsverplichting maar een resultaatsverplichting: de maatregelen moeten aantoonbaar zijn geborgd in het ontwikkelproces.
AVG art. 25 lid 2 verplicht tot privacy by default: standaardinstellingen mogen uitsluitend de persoonsgegevens verwerken die voor het specifieke verwerkingsdoel noodzakelijk zijn. Maximale privacybescherming is de standaard, niet een optie.
Boetes voor schending van art. 25 AVG: tot €10.000.000 of 2% van de wereldwijde jaaromzet (art. 83 lid 4 AVG). Handhaving door Autoriteit Persoonsgegevens (AP) en Europese toezichthouders.
PropAI hanteert een Secure SDLC conform de ENISA Secure by Design Playbook (2026) en de Datatilsynet Secure SDLC Guidelines, geïntegreerd in het GitHub/Vercel CI-CD pipeline:
| Fase | Privacy/Security maatregel | Grondslag | Status |
|---|---|---|---|
| 1. Design | DPIA-toets bij nieuwe feature met persoonsgegevens; dataminimalisatie als ontwerpregel; threat modelling | AVG art. 25 + art. 35 | ✅ Actief (DPIA onboarding gepubliceerd) |
| 2. Requirements | Privacy-eisen opgenomen in functionele specificaties; "need-to-know" als basisregel; geen overbodige datavelden | AVG art. 5 lid 1 sub c (dataminimalisatie) | ✅ Actief |
| 3. Coding | AI-prompts geanonimiseerd (geen namen/e-mails naar OpenAI); RLS op alle tabellen; geen persoonsgegevens in logs; geen hardcoded secrets | AVG art. 25 + art. 32; ENISA Secure SDLC | ✅ Actief (zie ook art. 8, art. 8.1) |
| 4. Code Review | Elke push: automatische JS-syntax check (GitHub Actions); OWASP Top 10 handmatige review (halfjaarlijks) | ISO A.8.8; NIS2 maatregel #7; OWASP SAMM | ✅ Actief |
| 5. Testing | RLS-policies getest per Supabase rol; authenticatieflows getest; geen productiedata in testomgeving | AVG art. 25 + art. 32; ISO A.8.8 | ✅ Actief; ⚠️ geautomatiseerde security-test suite Q4 2026 |
| 6. Release | GitHub Actions CI-gate: syntaxcheck móét slagen vóór deployment; rollback-mechanisme (Vercel); commitlog met semantische versievermelding | CRA art. 14 (vulnerability disclosure); ISO A.8.9 (configuratiebeheer) | ✅ Actief |
| 7. Maintenance | Dagelijkse AVG-compliance scan; patchbeleid (CVSS, zie art. 8d); jaarlijkse OWASP-herziening; back-up en BCP (art. 8c) | AVG art. 32 lid 1 sub d; ISO A.5.30; CRA art. 14 | ✅ Actief |
PropAI heeft de volgende privacy-by-default maatregelen structureel in het platform ingebouwd:
auth.uid() = user_id);De CRA (Verordening (EU) 2024/2847) is van kracht per 10 december 2024 en is volledig van toepassing per 11 december 2027. PropAI kwalificeert als "pure SaaS" (cloud-hosted, geen lokale installatie, niet als product op de markt gebracht) en valt daarmee buiten het primaire toepassingsbereik van de CRA als "product met digitale elementen" (conform CRA art. 3 en Overweging 15; analyse DLA Piper, Technology's Legal Edge, februari 2026).
De volgende CRA-gebaseerde acties zijn desondanks proactief genomen:
Grondslag: AVG art. 32 lid 1 sub b ("het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te garanderen") | AVG art. 32 lid 1 sub c ("het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen") | AVG art. 28 lid 3 sub c (verwerker verleent alle vereiste medewerking om te zorgen dat aan de beveiligingsvereisten wordt voldaan) | EDPB Richtsnoeren 07/2020 over verwerkersverantwoordelijke en verwerker (par. 90–99): DPA moet "specifiekere en concretere informatie" bevatten dan herhaling van de AVG-tekst | AVG art. 5 lid 1 sub f (integriteits- en vertrouwelijkheidsbeginsel)
PropAI streeft naar een beschikbaarheid van minimaal 99,5% per kalendermaand (gemeten over de primaire gebruikersfuncties: inloggen, beheer panden/huurders/contracten/tickets).
| Maatstaf | Waarde | Toelichting |
|---|---|---|
| Beschikbaarheidsdoelstelling | ≥ 99,5% per maand | Maximaal ~3,6 uur downtime per maand als streefdoel |
| Geplande onderhoudsvensters | Niet meegerekend als downtime | Onderhoud wordt minimaal 48u vooraf gecommuniceerd via e-mail aan de Verhuurder |
| RTO (Recovery Time Objective) | < 4 uur | Maximale hersteltijd bij kritieke storing; zie risicoscenario's in art. 8c |
| RPO (Recovery Point Objective) | < 24 uur | Maximaal dataverlies bij calamiteit (dagelijkse back-up door Supabase) |
| AI-functies beschikbaarheid | Best-effort | AI-functies (PropertyGPT, risicoscores) zijn afhankelijk van OpenAI/Groq API-beschikbaarheid; kernplatform werkt door bij AI-uitval (graceful degradation) |
| Categorie | Omschrijving | Initiële respons | Streefdoel herstel |
|---|---|---|---|
| P1 — Kritiek | Platform volledig onbereikbaar; dataverlies; beveiligingsincident | 1 uur | 4 uur |
| P2 — Ernstig | Kernfunctie deels onbeschikbaar (bijv. contracten-module of betalingsmodule) | 4 uur | 24 uur |
| P3 — Normaal | Beperkte functionaliteitsstoring; workaround beschikbaar | 8 uur (werkdag) | 5 werkdagen |
| P4 — Laag | Cosmetisch probleem; informatievraag | 2 werkdagen | Volgend releasevenster |
Incidenten kunnen worden gemeld via support@propai.nl met vermelding van het prioriteitsniveau en een beschrijving van het probleem.
De beschikbaarheidsdoelstelling geldt niet voor onderbrekingen als gevolg van:
PropAI monitort de beschikbaarheid continu via:
Verhuurders kunnen de actuele status opvragen via support@propai.nl. PropAI publiceert een beschikbaarheidsrapport op verzoek van de Verhuurder conform art. 28 lid 3 sub h AVG.
Grondslag: AVG art. 32 lid 1 sub b (vertrouwelijkheid, integriteit en beschikbaarheid van verwerkingssystemen) | ISO/IEC 27001:2022 Annex A.8.2 (beheer bevoorrechte toegangsrechten) | ISO/IEC 27001:2022 Annex A.8.3 (authenticatie-informatie) | ISO/IEC 27001:2022 Annex A.8.5 (veilige authenticatie) | NIST SP 800-63B (Digital Identity Guidelines, authenticatieniveaus) | Cbw art. 21 maatregel #2 (toegangsbeheer) | Aanbeveling: ENISA Guidelines on Security of Personal Data Processing (2017)
Single Sign-On (SSO) is een authenticatiemechanisme waarbij een gebruiker éénmalig inlogt via een centrale identiteitsprovider (IdP) en daarmee toegang verkrijgt tot meerdere systemen of diensten zonder herhaald inloggen. SSO is geen wettelijke verplichting onder de AVG of enige andere op PropAI van toepassing zijnde EU-regelgeving per juni 2026. SSO is een enterprise-beveiligingsfaciliteit die de beveiliging en het gebruiksgemak voor organisaties met meerdere gebruikers kan verbeteren.
PropAI hanteert momenteel directe authenticatie via Supabase Auth, conform de volgende standaarden:
PropAI is bereid om SSO te faciliteren voor enterprise-klanten die dit contractueel vereisen. De geplande roadmap:
| Fase | Capability | Technologie | Planning |
|---|---|---|---|
| 1 (nu actief) | E-mail + wachtwoord (bcrypt + JWT) | Supabase Auth | ✅ Live |
| 2 | MFA (TOTP + SMS) | Supabase Auth MFA (ingebouwd) | ⚠️ Q3 2026 |
| 3 | OAuth 2.0 Social Login (Google, Microsoft) | Supabase Auth OAuth providers | ⚠️ Q4 2026 (op verzoek) |
| 4 | Enterprise SSO (SAML 2.0 / OIDC — bijv. Azure AD, Okta) | Supabase Enterprise / custom SAML-integratie | ⚠️ Op verzoek enterprise-klanten (2027+) |
Conform NIST SP 800-63B (Level of Assurance 2) en ENISA-aanbevelingen geldt MFA als de effectiefste maatregel om accountcompromittering te voorkomen. Voor PropAI — met enkelvoudige inlogpunten per gebruikerstype — biedt MFA meer beveiligingswaarde dan SSO. SSO is primair relevant bij meerdere interne systemen per organisatie (federatief identiteitsbeheer), een scenario dat pas bij enterprise-klanten met meerdere beheerders relevant wordt.
Enterprise-klanten die SSO als contractuele eis stellen, kunnen dit opnemen in een aanvullende overeenkomst. PropAI verleent medewerking aan een redelijke implementatietijdlijn en zal de Verhuurder tijdig informeren over de beschikbaarheid van SSO-functionaliteit.
PropAI meldt een inbreuk op de beveiliging van persoonsgegevens zo spoedig mogelijk aan de Verhuurder, en in ieder geval binnen 48 uur nadat PropAI hiervan kennis heeft genomen. De melding bevat minimaal:
De Verhuurder is verantwoordelijk voor het beoordelen of de inbreuk gemeld moet worden aan de Autoriteit Persoonsgegevens (binnen 72 uur, art. 33 AVG) en/of aan de betrokkenen (art. 34 AVG). PropAI verleent hierbij redelijke bijstand. De volledige datalekprocedure is beschikbaar op propai.nl/datalekprocedure.
Indien een huurder of andere betrokkene een verzoek indient bij PropAI over uitoefening van zijn rechten (inzage, rectificatie, verwijdering, beperking, overdraagbaarheid, bezwaar), dan:
PropAI heeft in het platform een directe verwijderfunctie voor documenten beschikbaar voor de Verhuurder.
Grondslag: art. 5 lid 1 sub e AVG (opslagbeperking) | AP richtlijn bewaren persoonsgegevens | BW art. 2:24 (bewaarplicht) | AWR art. 52 (fiscale bewaarplicht 7 jaar) | BW art. 3:310 (verjaringstermijn 5 jaar) | Law&More NL januari 2026
PropAI hanteert de volgende bewaartermijnen voor persoonsgegevens tijdens de actieve dienstverlening. Gegevens worden na afloop van de termijn automatisch verwijderd of geanonimiseerd, tenzij een wettelijke bewaarplicht langer bewaren vereist.
| Gegevenscategorie | Bewaartermijn | Juridische grondslag |
|---|---|---|
| Huurcontracten (tekst, partijen, voorwaarden) | Duur huurovereenkomst + 7 jaar na beëindiging | BW art. 2:24 (bewaarplicht administratie); AWR art. 52 (fiscale bewaarplicht); BW art. 3:310 (verjaringstermijn vorderingen) |
| Geüploade documenten (ID-bewijzen, inkomensbewijzen, werkgeversverklaringen) | 2 jaar na einde huurovereenkomst, daarna automatisch verwijderd | Art. 5 lid 1 sub e AVG (opslagbeperking — niet langer dan noodzakelijk); AP richtlijn: ID-kopieën mogen niet langer bewaard worden dan het verificatiedoel vereist |
| Plaatsbeschrijvingen + foto's | Duur huurovereenkomst + 2 jaar (bewijsfunctie schade/geschillen) | BW art. 3:310 (verjaring rechtsvorderingen 2 jaar na ontdekking schade, max. 5 jaar absoluut); proportionaliteitsbeginsel AVG |
| Betalingsgegevens (bedrag, datum, status — geen volledige bankgegevens) | 7 jaar na het kalenderjaar van de betaling | AWR art. 52 (fiscale bewaarplicht 7 jaar); BW boek 2 art. 24 |
| Servicetickets en onderhoudsverzoeken | Afhandeling + 2 jaar | Art. 5 lid 1 sub e AVG; BW art. 3:310 lid 1 (verjaringstermijn wanprestatie) |
| Huurder-accounts en profielgegevens (naam, e-mail, telefoon) | Einde huurovereenkomst + 1 jaar, daarna geanonimiseerd | Art. 5 lid 1 sub e AVG; noodzakelijk voor afwikkeling eventuele vorderingen (BW art. 3:307) |
| AI-gegenereerde risicoscores en analyses | Duur huurrelatie; na beëindiging direct geanonimiseerd | Art. 5 lid 1 sub e AVG; art. 22 AVG (geautomatiseerde besluitvorming — minimale bewaartermijn conform doel) |
| Verhuurder-account en abonnementsgegevens | Duur abonnement + 7 jaar (facturatiehistorie) | AWR art. 52 (fiscale administratie); BW art. 2:24 |
| Berichten / inbox (communicatie verhuurder–huurder) | Duur huurovereenkomst + 1 jaar | Art. 5 lid 1 sub e AVG; proportionaliteitsbeginsel |
PropAI streeft naar automatische verwijdering van gegevens na het verstrijken van de bewaartermijn. De huidige implementatie:
Na beëindiging van het PropAI-abonnement verwijdert PropAI alle persoonsgegevens van de Verhuurder en zijn huurders binnen 30 dagen, tenzij de Verhuurder binnen die periode verzoekt om retournering in CSV/JSON-formaat.
Gegevens met een lopende wettelijke bewaarplicht (zie tabel 11.1) worden na beëindiging voor de resterende wettelijke termijn bewaard in geïsoleerde opslag, zonder actieve verwerking, en daarna onherstelbaar verwijderd.
PropAI verstrekt op verzoek van de Verhuurder een schriftelijke bevestiging van verwijdering. Bij een verzoek om vergetelheid (art. 17 AVG) van een huurder beoordeelt de Verhuurder als verwerkingsverantwoordelijke of een wettelijke bewaarplicht het verzoek beperkt. PropAI verleent technische bijstand bij de uitvoering.
Grondslag: Verordening (EU) 2023/2854 van 13 december 2023 (Dataverordening / EU Data Act) | Van toepassing vanaf 12 september 2025 | Hoofdstuk VI art. 23–31 (overstappen dataverwerkingsdiensten) | Art. 25 (contractuele bepalingen bij overstap) | Art. 23 (verbod op belemmeringen) | Art. 29 (overstapkosten) | EUR-Lex CELEX:32023R2854 | Clairfield analyse Data Act SaaS november 2025 | Hannes Snellman Digital Horizon Data Act Commentary 2025
PropAI is een aanbieder van dataverwerkingsdiensten (SaaS-platform) die persoonsgegevens verwerkt namens de Verhuurder. PropAI valt daarmee onder het toepassingsbereik van Hoofdstuk VI van de EU Data Act (art. 23–31), dat van toepassing is vanaf 12 september 2025. De bepalingen in dit artikel zijn rechtstreeks werkend EU-recht en hebben voorrang op tegenstrijdige contractuele bedingen.
PropAI legt de Verhuurder geen commerciële, technische, contractuele of organisatorische belemmeringen op die de overstap naar een andere aanbieder van dataverwerkingsdiensten bemoeilijken of verhinderen. Verboden zijn onder meer:
Conform art. 25 lid 2 van de EU Data Act bevat deze overeenkomst de volgende verplichte bepalingen:
| Art. 25 lid 2 | Vereiste | PropAI-invulling |
|---|---|---|
| sub a | Overstap op verzoek, binnen 30 dagen transitieperiode | PropAI voert het overstapproces uit binnen 30 kalenderdagen na verzoek, inclusief volledige data-export en overdracht aan de nieuwe aanbieder. |
| sub a-i | Redelijke assistentie bij overstap | PropAI verleent technische bijstand aan de Verhuurder en door de Verhuurder gemachtigde derden gedurende het overstapproces. |
| sub a-ii | Bedrijfscontinuïteit gedurende overstap | PropAI garandeert continuïteit van alle overeengekomen functies en diensten gedurende de transitieperiode. |
| sub a-iv | Hoge beveiliging tijdens overstap | Gegevens worden versleuteld overgedragen (TLS 1.3 + AES-256). Beveiligingsniveau blijft gehandhaafd gedurende de volledige retrievalperiode. |
| sub b | Ondersteuning exit-strategie | PropAI verstrekt alle relevante informatie (datastructuur, API-documentatie, exportformaten) die noodzakelijk is voor een succesvolle migratie. |
| sub d | Max. opzegtermijn 2 maanden | De opzegtermijn voor het initiëren van het overstapproces bedraagt maximaal 2 kalendermaanden. |
| sub e | Specificatie exporteerbare data | Alle gegevens in de PropAI-database behorend bij het account van de Verhuurder zijn exporteerbaar (zie art. 11a.4 voor het overzicht). |
| sub g | Min. 30 dagen data-retrievalperiode | Na afloop van de transitieperiode heeft de Verhuurder minimaal 30 kalenderdagen om gegevens op te halen. Na deze periode worden gegevens verwijderd conform art. 11. |
| sub h | Volledige verwijdering na retrievalperiode | PropAI verwijdert alle exporteerbare gegevens en digitale assets van de Verhuurder na het verstrijken van de retrievalperiode, tenzij wettelijke bewaarplicht geldt. |
| sub i | Overstapkosten (art. 29) | PropAI brengt geen overstapkosten in rekening (zie art. 11a.5). |
De volgende gegevenscategorieën zijn exporteerbaar in machineleesbaar formaat (CSV/JSON/PDF):
Interne configuratiedata specifiek voor de PropAI-architectuur (databaseschema, interne logging, beveiligingssleutels) is uitgezonderd van de export conform art. 25 lid 2 sub f Data Act, voor zover openbaarmaking een risico op schending van bedrijfsgeheimen oplevert en de overstap niet belemmert.
Op grond van art. 29 van de EU Data Act geldt het volgende regime voor overstapkosten:
PropAI is aansprakelijk voor schade die het gevolg is van een verwerkingsactiviteit waarbij PropAI niet heeft voldaan aan de specifiek op verwerkers gerichte verplichtingen van de AVG, of waarbij PropAI buiten de rechtmatige instructies van de Verhuurder heeft gehandeld (art. 82 lid 2 AVG).
PropAI is niet aansprakelijk als zij aantoont dat haar geen schuld treft voor de schadeveroorzakende gebeurtenis (art. 82 lid 3 AVG).
PropAI kan deze verwerkersovereenkomst aanpassen bij wetswijzigingen of operationele noodzaak. Verhuurders worden minimaal 30 dagen van tevoren per e-mail geïnformeerd. Voortgezet gebruik na de ingangsdatum geldt als akkoord.
Bij substantiële wijzigingen die de rechten van betrokkenen beïnvloeden, heeft de Verhuurder het recht de overeenkomst te beëindigen zonder kosten.
Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Amsterdam, tenzij partijen overeenkomen het geschil via mediation te beslechten.
De Autoriteit Persoonsgegevens is de bevoegde toezichthoudende autoriteit (art. 51 AVG): www.autoriteitpersoonsgegevens.nl
Door gebruik te maken van PropAI en het accepteren van de Servicevoorwaarden gaat de Verhuurder akkoord met deze verwerkersovereenkomst. Voor een getekend exemplaar per e-mail: privacy@propai.nl
Verwerker: PropAI
Lars Tils — Founder & Verwerkingsverantwoordelijke
Zilverschoon 53, 1422NZ Uithoorn
KvK: 42081154 | privacy@propai.nl
Datum ondertekening: 16 juni 2026 (v1.0) — Herzien: 20 juni 2026 (v3.0)
Verwerkingsverantwoordelijke: Verhuurder
Naam: ___________________________
Bedrijf (indien van toepassing): _______________
E-mail: ___________________________
Datum: ___________________________