NoveuNOVEU
InloggenDemo aanvragenStart 14 dagen gratis →
Terug naar juridische documenten
Juridisch · Sub-verwerkers

Sub-verwerkers

Actueel overzicht · AVG art. 28 lid 2 · 30 dagen aankondigingstermijn bij wijzigingen

Sub-verwerkers Noveu Solutions

Versie: 1.1 Laatst bijgewerkt: 16 juni 2026 Context: Dit overzicht hoort bij Bijlage 2 van de Verwerkersovereenkomst (DPA) en vormt een verplichte AVG-transparantie-publicatie (art. 28 lid 2 AVG).

Noveu Solutions schakelt voor de uitvoering van haar diensten een beperkt aantal sub-verwerkers in. Wijzigingen worden minimaal 30 dagen vooraf aangekondigd, zodat Opdrachtgevers gemotiveerd bezwaar kunnen maken conform artikel 6 van de DPA. Deze pagina is het actuele, publiek raadpleegbare overzicht.

Overzicht actuele sub-verwerkers

#Sub-verwerkerVestigingVerwerkingslocatieDoel / DienstCategorieën gegevensWaarborg
1Hetzner Online GmbHDuitsland (EU)Falkenstein (DE) + Helsinki (FI)Dedicated server, storage en offsite back-upsAlle categorieën art. 3 DPAAVG — EU-entiteit + DPA
2Cloudflare, Inc.VS (EU-entity beschikbaar)EU-datacenters + global edgeCDN, DDoS-mitigatie, DNS, Cloudflare TunnelIP-adressen, metadata, TLS-terminatieEU-VS DPF + SCC's + DPA
3Stripe Payments Europe Ltd.Ierland (EU)EUBetalingsverwerking (kaart, SEPA)Facturatie-, bedrijfs- en betaalgegevensAVG — EU-entiteit + DPA
4Mollie B.V.Nederland (EU)NederlandBetalingsverwerking (iDEAL, SEPA, kaart)Facturatie- en betaalgegevensAVG — NL-entiteit + DPA
5Google LLC (Gemini API)VS (Google Ireland Ltd. als EU-entiteit)VSAI-functionaliteit (Noveu AI) — alleen LLM-tekstgeneratie, uitsluitend bij expliciete activering. Embeddings worden niet meer naar Google verstuurd; deze draaien on-premise (zie zelf-gehoste lijst hieronder).Alleen content die de gebruiker aan de AI aanbiedtEU-VS DPF + SCC's + Google DPA + data-minimisatie/pseudonimisatie in de Noveu AI-gateway

Toelichting per sub-verwerker

1. Hetzner Online GmbH (primaire hosting)

  • Rol: kernleverancier van compute, storage en netwerkcapaciteit.
  • Locaties: primaire productie in Falkenstein (Duitsland); versleutelde offsite back-ups op Hetzner Storage Box in Helsinki (Finland).
  • Architectuur: eigen dedicated hardware onder Proxmox VE; geen multi-tenant hyperscaler.
  • Waarborgen: Duitse AVG-jurisdictie, ISO 27001-gecertificeerd datacenter, Hetzner DPA toegepast.

2. Cloudflare, Inc.

  • Rol: edge-netwerk vóór het platform — CDN, DDoS-mitigatie, WAF, DNS en Cloudflare Tunnel.
  • Inbound-architectuur: het Noveu-platform heeft geen publieke inbound ports; al het verkeer wordt via Cloudflare Tunnel afgehandeld, waardoor origin-IP's afgeschermd blijven.
  • Waarborgen: EU-VS Data Privacy Framework, Standard Contractual Clauses (SCC's), Cloudflare Data Processing Addendum, EU-routering voor metadata.

3. Stripe Payments Europe Ltd.

  • Rol: betalingsverwerking voor zakelijke abonnementen (kaarten, SEPA).
  • Locatie: EU — verwerking via Stripe's Ierse entiteit binnen de EER.
  • Waarborgen: Stripe DPA, PCI-DSS Level 1, AVG-conforme verwerking.

4. Mollie B.V.

  • Rol: Nederlandse betaaldienstverlener voor iDEAL, SEPA en kaartbetalingen.
  • Locatie: Amsterdam, Nederland — alle verwerking binnen Nederland.
  • Waarborgen: Mollie DPA, AVG-conforme verwerking onder Nederlands toezicht (DNB).

5. Google LLC — Gemini API (AI — alleen na activering, alleen LLM)

  • Rol: LLM-provider voor Noveu AI-functionaliteit. De huidige productie-AI gebruikt Google Gemini (gemini-2.5-flash) uitsluitend voor tekstgeneratie via de Gemini API.
  • Embeddings on-premise: de embeddings (vectorisatie) voor AI-kennisophaling worden niet meer naar Google verstuurd. Deze draaien sinds juni 2026 op onze eigen infrastructuur (BAAI bge-m3 via zelf-gehoste Text-Embeddings-Inference op vm-platform). De (gepseudonimiseerde) tekst verlaat onze infrastructuur niet.
  • Activering: uitsluitend ingezet indien Opdrachtgever AI-functies expliciet activeert per feature of gebruiker. Zonder activering wordt er geen content naar Google verstuurd.
  • Verwerking: alleen de content die de gebruiker aan de AI-functie aanbiedt wordt naar de Gemini API gestuurd; deze betalende API-laag wordt niet gebruikt om Google's modellen te trainen.
  • Waarborgen: EU-VS Data Privacy Framework, Standard Contractual Clauses (SCC's), Google Data Processing Addendum, aanvullende data-minimisatie en pseudonimisatie in de Noveu AI-gateway.

Zelf-gehoste infrastructuur (geen aparte sub-verwerker)

De volgende componenten draaien op onze eigen infrastructuur (Hetzner Dedicated, EU). Het zijn geen zelfstandige sub-verwerkers; de verwerking valt onder Hetzner (nr. 1 hierboven).

  • pgvector (vectoropslag voor AI-kennisophaling / embeddings) — een zelf-gehoste PostgreSQL-extensie op onze eigen infrastructuur; er is geen externe/third-party vector-database.
  • AI-embeddings — on-premise (BAAI bge-m3 via zelf-gehoste Text-Embeddings-Inference op vm-platform) — de vectoren voor AI-kennisophaling worden lokaal gegenereerd; de (gepseudonimiseerde) tekst verlaat onze infrastructuur niet en er wordt geen externe embedding-API gebruikt.

Voorgenomen wijzigingen

Op dit moment staan er geen wijzigingen in de sub-verwerkerslijst gepland.

Voorgenomen toevoegingen of vervangingen worden hier gepubliceerd, met daarbij:

  • de naam, vestiging en verwerkingslocatie van de (nieuwe) sub-verwerker;
  • het doel en de categorieën persoonsgegevens;
  • de beoogde ingangsdatum (minimaal 30 dagen na aankondiging);
  • de waarborgen (DPA, SCC's, certificeringen).

Bezwaar maken tegen een sub-verwerker

Opdrachtgevers kunnen binnen 30 dagen na aankondiging gemotiveerd bezwaar maken tegen een voorgenomen wijziging. Leidt overleg niet binnen 14 dagen tot overeenstemming, dan mag Opdrachtgever de Hoofdovereenkomst opzeggen met 30 dagen opzegtermijn, zonder schadevergoeding (DPA art. 6.4).

Bezwaar indienen: privacy@noveu.eu of via het customer portal.

Contact

Vragen over dit document?

Mail ons juridisch team — reactie binnen één werkdag.

legal@noveu.eu