Jouw data, netjes beschermd.
Qlimbr koppelt je Google-data, je webshop en je content workflow. Daar hoort een serieus security-fundament bij. Hier lees je precies wat we doen om jouw data veilig te houden, en welke rechten je hebt om hem op te halen of te verwijderen.
Laatst bijgewerkt: 30 april 2026
Onze vier pijlers
Credentials versleuteld at rest
Google OAuth tokens, shop API keys en andere gevoelige integratie-gegevens worden voor opslag versleuteld met AES-256-GCM, één van de sterkste symmetrische versleutelingen die er nu beschikbaar zijn. De encryptiesleutel staat niet in de database, maar als losse omgevingsvariabele bij onze hostingprovider.
Wij trainen geen modellen op jouw content
Jouw teksten, productdata en Google-analyses worden alleen gebruikt om jouw eigen output te maken. We gebruiken Anthropic en andere AI-providers met een API-overeenkomst die expliciet uitsluit dat klantdata wordt gebruikt voor model-training. Niets van wat je in Qlimbr typt belandt in een trainingsset.
AVG/GDPR vanaf dag één
Qlimbr is gebouwd vanuit Europa voor Europa. We werken volgens AVG-principes (data-minimalisatie, doelbinding, bewaartermijnen) en hebben een actuele lijst van subprocessors plus een DPA-template beschikbaar. Voor klanten met een eigen DPA-vereiste leveren we maatwerk.
Server-locatie binnen de EU
De primaire database (Supabase) en hosting (Vercel) draaien op datacenters binnen de Europese Unie. Een aantal AI-providers heeft hoofdvestiging in de VS, daarvoor hanteren we de Standaard Contractuele Bepalingen (SCC) van de Europese Commissie als rechtsbasis voor data-overdracht. De volledige lijst staat op onze subprocessors-pagina.
Hoe we credentials versleutelen
Wanneer je Google Search Console, Analytics of een webshop koppelt aan Qlimbr ontvangen we OAuth-tokens of API-sleutels. Voordat die naar de database gaan, versleutelen we ze met AES-256-GCM. Dat is dezelfde standaard die overheden gebruiken voor classified data.
De versleutelingssleutel zelf staat niet in de database, maar in een afgeschermde omgevingsvariabele bij onze hosting-provider. Zelfs als iemand een database-snapshot zou bemachtigen, blijven de tokens zonder die externe sleutel onleesbaar.
Bij elk gebruik wordt het token tijdelijk in het geheugen ontsleuteld voor de API-call, en daarna direct weggegooid. We bewaren ontsleutelde versies nergens.
Toegangscontrole en RLS
- Klant-data is per account afgeschermd via Row Level Security in de database
- Alleen onze server-side API-routes (met service-role-sleutel) kunnen bij data, browser-clients hebben geen directe DB-toegang
- Toegang tot productie is beperkt tot een handvol engineers, met 2FA-verplichting en gelogde sessies
Verkeer over het netwerk
- HTTPS/TLS 1.2 of hoger op alle eindpunten, met automatische certificaatrotatie via Vercel
- Geen credentials in URL-parameters of in onze loggegevens
- JWT-sessies met korte levensduur en server-side validatie bij elke beschermde request
Jouw rechten over je data
Je houdt altijd de regie. Onder de AVG heb je het recht op inzage, correctie, dataportabiliteit en verwijdering. Hoe dat in Qlimbr werkt:
Inzage in je data
Op verzoek krijg je binnen 30 dagen een gestructureerd overzicht van alle persoonsgegevens die we van jou verwerken. Mail privacy@qlimbr.ai met je accountnaam.
Export van je content
Alle gegenereerde content, brand profielen, scans en analyses kan je via je account downloaden als JSON of CSV. Een one-click bulk-export staat op onze roadmap voor Q2 2026.
Verwijdering van je account
Bij het opzeggen van je account verwijderen we alle aan jou gekoppelde data binnen 30 dagen onomkeerbaar uit onze productiedatabase. Backups worden binnen 90 dagen geroteerd. Wettelijk verplichte administratie (facturen) bewaren we zoals de wet voorschrijft.
Loskoppelen van bronnen
Je kan op elk moment in de app je Google- of shop-koppeling verbreken. We trekken dan de tokens in en verwijderen de bijbehorende sessies binnen enkele seconden uit onze systemen.
Incident response
Mocht er ondanks alles iets mis gaan, dan informeren we getroffen klanten zo snel mogelijk en in elk geval binnen de wettelijke termijn van 72 uur na ontdekking, zoals voorgeschreven in artikel 33 AVG. We documenteren wat er is gebeurd, wat we hebben gedaan om het op te lossen, en welke maatregelen we treffen om herhaling te voorkomen.
Vond je een security-issue in onze applicatie? Mail security@qlimbr.ai en we koppelen binnen één werkdag terug. Een formeel responsible disclosure-programma met bug bounty staat op onze roadmap voor 2026.
Vragen of een DPA nodig?
Bekijk de volledige lijst van partijen die jouw data verwerken op de subprocessors-pagina, of neem contact op voor een ondertekende DPA.