Trust & security

Vertrouwen is techniek, geen marketing.

Hoe wij data behandelen, waar het staat, wie er bij kan, en wat er gebeurt als er iets misgaat. Één pagina — geen verborgen clausules.

§ 01 — Pijlers

Vier niet-onderhandelbare principes.

§ 01

Data residency in de EU

Alle klantdata (vlootdata, accountdata, logs) wordt opgeslagen op servers binnen de EU. Geen doorgifte naar derde landen zonder Standard Contractual Clauses en technische waarborgen.

§ 02

Minimale dataverzameling

We verzamelen alleen wat nodig is voor de operatie: positie, rit, CAN-signalen, tachograph. Geen shadow-profielen, geen doorverkoop, geen behavioural advertising.

§ 03

Encryptie in transit & at rest

TLS 1.3 voor al het verkeer. AES-256 voor data at rest. Gehashte wachtwoordopslag. Secrets beheerd via hosting-provider key management.

§ 04

Toegangscontrole

Role-based access, SSO-ready (SAML / OIDC), audit logs per gebruikersactie. Need-to-know-principe intern; geen developer heeft ongeautoriseerde productiedata-toegang.

§ 02 — Subprocessors

De partijen die we vertrouwen.

PartijDoelRegio
Gurtam (Wialon)HubLogiQ Platform infrastructuurEU
FlespiDevice integration layerEU
VercelWebsite hosting & edge deliveryEU / global edge
FormspreeFormulier-inzendingen verwerkenEU
PlausibleCookieloze website-analyticsEU (Duitsland)
Cloudflare TurnstileAnti-spam op formulierenEU / global

Wijzigingen aan deze lijst worden minimaal 30 dagen van tevoren gecommuniceerd aan klanten met een actieve DPA.

§ 03 — Incident response

Wat er gebeurt als er iets gebeurt.

  1. T+0

    Detectie via monitoring of klantmelding.

  2. T+1u

    Triage — scope, severity, initial containment.

  3. T+24u

    Betrokken klanten op de hoogte gebracht; bij datalek ≥ 72u notificatie aan AP.

  4. T+7d

    Post-mortem met root cause en preventieve maatregelen, gedeeld met betrokken klanten.

§ 04 — FAQ

Veelgestelde trust-vragen.

Heeft HubLogiQ ISO 27001 of SOC 2?

We volgen ISO 27001 controls en werken aan formele certificering in 2027. SOC 2 is niet primair voor EU-markten; compliance richt zich op AVG, EN 301 549 en ISO 27001.

Wie heeft toegang tot mijn vlootdata?

Alleen uw eigen gebruikers (conform uw eigen rolstructuur) en een gelimiteerde groep HubLogiQ-engineers onder logged access, uitsluitend voor support en incident response.

Kan ik een DPA (verwerkersovereenkomst) krijgen?

Ja — een DPA conform art. 28 AVG is standaard onderdeel van elke overeenkomst. Custom clausules op verzoek.

Wat gebeurt er bij contractbeëindiging met mijn data?

Klantdata wordt op verzoek geëxporteerd (CSV + API dump) en daarna binnen 90 dagen verwijderd, tenzij wettelijke bewaarplicht anders bepaalt.

Melden jullie datalekken?

Ja — conform AVG art. 33. Binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens en direct aan betrokken klanten.

§ 05 — Vragen?

Specifieke security- of DPA-vraag?

Stuur uw vraag naar [email protected] of plan een security-call via de Fleet Scan link — we reageren binnen één werkdag.

Plan Fleet ScanMail security-team