Subverwerkers
CRA Evidence maakt gebruik van de volgende externe subverwerkers om onze diensten te leveren. Deze lijst wordt bijgehouden in overeenstemming met AVG Artikel 28 en onze Verwerkersovereenkomst.
Kennisgeving bij Wijzigingen
Wij informeren klanten ten minste 30 dagen van tevoren over het toevoegen of vervangen van een subverwerker. U kunt zich abonneren op updates door contact op te nemen via privacy@craevidence.com.
Als u bezwaar heeft tegen een nieuwe subverwerker, kunt u dit binnen 30 dagen na ontvangst van de kennisgeving doen door contact op te nemen via privacy@craevidence.com.
Infrastructuursubverwerkers
| Subverwerker | Doel | Verwerkte Gegevens | Locatie |
|---|---|---|---|
| Amazon Web Services (AWS) | Cloudhosting, rekenkracht en opslag | Alle klantgegevens | eu-west-1 (Dublin, Ierland) |
| Amazon RDS | Beheerde PostgreSQL-database | Alle gestructureerde gegevens (accounts, producten, kwetsbaarheden) | eu-west-1 (Dublin, Ierland) |
| Amazon S3 | Objectopslag | SBOM's, technische documenten, firmware-images | eu-west-1 (Dublin, Ierland) |
| Amazon CloudFront | Contentlevering en edge-beveiliging | Statische assets, verzoekroutering | EU-edge-locaties |
| Amazon SES | Transactionele e-mailbezorging | E-mailadressen, meldingsinhoud | eu-west-1 (Dublin, Ierland) |
Applicatiesubverwerkers
| Subverwerker | Doel | Verwerkte Gegevens | Locatie |
|---|---|---|---|
| Google Workspace | SMTP-relay voor e-mailbezorging | E-mailadressen, e-mailinhoud | Google globale infrastructuur (EU SCC's inbegrepen) |
| Stripe | Betalingsverwerking | Facturatienaam, e-mail, betaalmethode | Verenigde Staten (EU SCC's / DPF) |
| Cloudflare Turnstile | Botbeveiliging bij registratie en aanmelden | IP-adres, browservingerafdruk | Edge-verwerking (geen PII opgeslagen) |
| Tailscale | Zero-trust VPN voor beheerderstoegang tot infrastructuur | Apparaatmetadata van medewerkers, netwerktoegangslogboeken (geen klantinhoud) | Coördinatieserver: Canada/VS; gegevensverkeer: peer-to-peer WireGuard binnen AWS EU |
| PostHog | Productanalyse (cookieloze modus op openbare pagina's, volledige analyse voor geauthenticeerde gebruikers met toestemming) | Paginabezoeken, functiegebruik, geanonimiseerde interactiegegevens | EU (eu.posthog.com, Frankfurt, Duitsland) |
Zelf Gehoste Componenten
| Component | Doel | Verwerkte Gegevens | Locatie |
|---|---|---|---|
| Grype (Anchore) | Kwetsbaarheidsscanning van SBOM's | SBOM-inhoud, pakketmetadata | Zelf gehost binnen onze AWS-infrastructuur (eu-west-1) |
Opmerkingen
- Alle klantgegevens worden uitsluitend opgeslagen in de EU (AWS eu-west-1, Dublin, Ierland).
- Stripe verwerkt betalingsgegevens in de Verenigde Staten onder standaard contractuele clausules (SCC's) en het EU-VS Data Privacy Framework (DPF).
- Google Workspace valt onder het Cloud Data Processing Addendum (CDPA), dat standaard contractuele clausules voor internationale overdrachten bevat.
- Cloudflare Turnstile verwerkt gegevens aan de edge uitsluitend voor botbeveiliging. Er worden geen persoonlijke gegevens opgeslagen.
- Grype draait volledig binnen onze eigen infrastructuur en verstuurt geen gegevens naar externe diensten.
- De coördinatieserver van Tailscale verwerkt uitsluitend apparaatidentiteit en sleuteluitwisseling. Al het gegevensverkeer verloopt peer-to-peer via WireGuard-versleuteling binnen onze AWS-infrastructuur. Geen klantgegevens passeren Tailscale-servers.
- PostHog werkt op openbare pagina's in cookieloze modus en verzamelt alleen geanonimiseerde paginabezoekgegevens zonder cookies te plaatsen of lokale opslag te gebruiken. Voor geauthenticeerde gebruikers die toestemming geven voor analyse, biedt PostHog inzicht in functiegebruik. Alle gegevens worden verwerkt in de EU (Frankfurt, Duitsland).
Contact
Voor vragen over onze subverwerkers, neem contact op via privacy@craevidence.com.
Laatste update: februari 2026.