# Dataresidentie Verklaring

## Verklaring

Noveu Solutions verklaart hierbij dat alle klantdata wordt verwerkt en opgeslagen binnen de Europese Unie, onder Nederlands en EU recht, zonder onderworpenheid aan buitenlandse jurisdicties.

## Scope

Deze verklaring heeft betrekking op:
- Alle primaire klantdata (e-mail, bestanden, identiteit)
- Alle backup en recovery data
- Alle logbestanden en audit trails
- Alle metadata en telemetrie

## Datacenter Locaties

### Primair Datacenter

| Aspect | Details |
|--------|---------|
| Locatie | Amsterdam, Nederland |
| Operator | [EU Datacenter Partner] |
| Tier | Tier III+ |
| Certificeringen | ISO 27001, SOC 2 |
| Eigendom | Europees eigendom |

### Secundair Datacenter

| Aspect | Details |
|--------|---------|
| Locatie | Frankfurt, Duitsland (of NL2) |
| Operator | [EU Datacenter Partner] |
| Gebruik | Disaster recovery, backups |
| Certificeringen | ISO 27001, SOC 2 |

## Juridische Afscherming

### Geen US Jurisdictie

Noveu Solutions:
- Is niet gevestigd in de Verenigde Staten
- Heeft geen US moederbedrijf of dochteronderneming
- Maakt geen gebruik van US cloud providers voor klantdata
- Is niet onderworpen aan:
  - CLOUD Act
  - FISA 702
  - Executive Order 12333
  - Andere US surveillance wetgeving

### EU Recht

Alle dataverwerking valt onder:
- Algemene Verordening Gegevensbescherming (AVG/GDPR)
- Nederlands recht
- EU Cybersecurity Act
- NIS2 richtlijn (waar van toepassing)

## Supply Chain Transparantie

### Infrastructuur Partners

| Partner Type | Jurisdictie | Functie |
|--------------|-------------|---------|
| Datacenter | NL/DE | Fysieke hosting |
| Network | NL | Connectiviteit |
| Hardware | EU supply | Servers, storage |
| Software | Open source / EU | Platform componenten |

### Expliciete Uitsluitingen

De volgende leveranciers worden **niet** gebruikt voor klantdata:
- Amazon Web Services (AWS)
- Microsoft Azure
- Google Cloud Platform
- Oracle Cloud
- Andere US-gebaseerde cloud providers

## Technische Maatregelen

### Encryptie

| Data State | Methode | Key Location |
|------------|---------|--------------|
| At Rest | AES-256-GCM | EU HSM |
| In Transit | TLS 1.3 | EU PKI |
| Backup | AES-256 | EU Key Vault |

### Toegangscontrole

- Alleen EU-gebaseerd personeel heeft toegang tot productiesystemen
- Multi-factor authenticatie vereist
- Alle toegang wordt gelogd en audited
- Principle of least privilege

### Transparantie

- Jaarlijkse externe audit
- Beschikbare penetration test resultaten
- Open source componenten waar mogelijk
- Transparante subprocessor lijst

## Subprocessoren

### Goedgekeurde Subprocessoren

| Subprocessor | Locatie | Dienst | Data Toegang |
|--------------|---------|--------|--------------|
| [DC Partner] | NL | Hosting | Fysiek |
| [DNS Provider] | EU | DNS | Metadata |
| [Monitoring] | NL | Observability | Logs |

*Volledige lijst beschikbaar in DPA (Data Processing Agreement)*

### Wijzigingsprocedure

Nieuwe subprocessoren worden:
1. 30 dagen vooraf aangekondigd
2. Beoordeeld op EU compliance
3. Contractueel gebonden aan zelfde standaarden
4. Bezwaarmogelijkheid voor klanten

## Overheidsverzoeken

### Procedure

Bij verzoeken van overheden:
1. Juridische geldigheid wordt getoetst
2. Alleen proportionele verzoeken worden gehonoreerd
3. Klant wordt geïnformeerd (tenzij wettelijk verboden)
4. Transparantierapport gepubliceerd

### Transparantie

Noveu publiceert jaarlijks:
- Aantal ontvangen verzoeken
- Jurisdictie van verzoeken
- Aantal gehonoreerde verzoeken
- Redenen voor afwijzing

## Contractuele Garanties

Deze verklaring is onderdeel van:
- Algemene Voorwaarden
- Data Processing Agreement (DPA)
- Specifieke contractuele addenda

### Aansprakelijkheid

Noveu is aansprakelijk voor:
- Naleving van deze verklaring
- Schade door niet-naleving
- Kosten van data breach door niet-naleving

## Auditing

### Klant Auditrecht

Klanten mogen:
- Jaarlijks audit evidence opvragen
- Bezoek aan datacenter plannen (met begeleiding)
- Onafhankelijke auditor inschakelen

### Beschikbare Documentatie

- ISO 27001 certificaat
- SOC 2 rapport (onder NDA)
- Penetration test samenvatting
- Datacenter specificaties

## Contact

**Privacy Officer**: privacy@noveu.eu

**Data Protection Officer**: 
- Naam: [DPO Naam]
- E-mail: dpo@noveu.eu
- Adres: [Bedrijfsadres]

**Autoriteit Persoonsgegevens**:
- Website: autoriteitpersoonsgegevens.nl
- Voor klachten over dataverwerking

---

**Document Details**

| Aspect | Details |
|--------|---------|
| Versie | 1.0 |
| Datum | Januari 2026 |
| Volgende review | Januari 2027 |
| Goedkeuring | [Management] |

*Dit document is bindend en maakt onderdeel uit van de contractuele relatie met klanten.*