Data Protection Impact Assessment (DPIA)
Versie 1.0 | 30 maart 2026
1. Beschrijving van de verwerking
PrivaAI verwerkt persoonsgegevens van gebruikers (naam, e-mailadres) en de content die zij invoeren (chatberichten, documenten). Deze data wordt gebruikt om AI-antwoorden te genereren en een kennisbank op te bouwen per organisatie.
2. Noodzakelijkheid en evenredigheid
De verwerking is noodzakelijk voor de dienstverlening. Wij verwerken alleen de data die nodig is om de AI-functionaliteit te bieden. Er worden geen onnodige persoonsgegevens verzameld.
3. Risico-analyse
| Risico | Kans | Impact | Maatregel |
|---|---|---|---|
| Ongeautoriseerde toegang | Laag | Hoog | Bcrypt wachtwoorden, sessie-authenticatie, org-isolatie |
| Data lek via AI-model | Laag | Hoog | Geen model-training op gebruikersdata, EU verwerking |
| Cross-tenant data lekkage | Zeer laag | Zeer hoog | org_id filtering op elke database query |
| Data verlies | Laag | Middel | Cloudflare redundantie, meerdere kopies |
| Medewerker onzorgvuldig gebruik | Middel | Middel | Audit logging, admin dashboard, token budgetten |
4. Technische maatregelen
- Alle data opgeslagen in EU (Cloudflare West-Europa)
- TLS 1.3 encryptie voor alle communicatie
- Multi-tenant isolatie op database-niveau (org_id)
- Volledige audit trail van alle acties
- GDPR data export en verwijdering beschikbaar voor admins
- Security headers (CSP, X-Frame-Options, CORS)
5. Conclusie
De verwerking door PrivaAI vormt een beheersbaar risico. De genomen technische en organisatorische maatregelen zijn proportioneel aan de aard en omvang van de verwerking.