Subverwerkers – Inora

Versie: 1.0

Inwerkingtreding: 1 september 2025

Beheerder: 1st Principle B.V. (“Inora”, “wij/ons”)

Beheerder: 1st Principle B.V. (“Inora”) • privacy@inora.ai

Wij verwerken zo min mogelijk persoonsgegevens: naam en zakelijk e-mailadres van gebruikers (medewerkers). Gebruikers worden expliciet geïnstrueerd géén patiënt-/cliëntgegevens in te voeren. Eventuele onbedoelde zorginhoud wordt geredigeerd/geblokkeerd en niet doorgestuurd naar AI-model-API’s.

Huidige subverwerkers (kernsamenvatting)

Amazon Web Services (AWS)

– Doel: hosting/IaaS van kernservices en dataopslag.

– Gegevens: accountgegevens (naam, e-mail) en minimale technische logs.

– Locatie: EU/EER-datacenters waar beschikbaar.

– Waarborgen: encryptie in transit/at rest, dataminimalisatie, modelcontractbepalingen (SCC’s) indien buiten EER noodzakelijk.

– Opmerking: geen patiëntdata beoogd/opgeslagen.

Clerk

– Doel: authenticatie en sessiebeheer (SSO, magic links, MFA).

– Gegevens: naam, e-mail, beperkte sessie-/apparaatmetadata.

– Locatie: EU/EER waar mogelijk; anders conform leverancierswaarborgen.

– Waarborgen: verwerkersovereenkomst; SCC’s bij doorgifte buiten EER.

– Opmerking: uitsluitend toegangsverlening; geen inhoudelijke zorgdata.

Dify

– Doel: AI-orkestratie (prompt-routing, tools).

– Gegevens: geredigeerde prompts/outputs (zonder PII/zorginhoud), minimale gebruiksmetadata.

– Locatie: EU/EER-clusters waar mogelijk.

– Waarborgen: “no-training/opt-out” ingesteld waar beschikbaar; SCC’s indien van toepassing.

– Opmerking: filters blokkeren onbedoelde PII; slechts korte technische buffering.

Mistral AI

– Doel: model-inferenzie (LLM-antwoorden).

– Gegevens: geredigeerde prompts/outputs (zonder PII/zorginhoud).

– Locatie: EU-infrastructuur waar beschikbaar.

– Waarborgen: “no-training/opt-out” waar ondersteund door leverancier.

– Opmerking: alleen inferentie; geen persistente opslag beoogd.

Retentie & privacy

  • Termijnen volgen ons Bewaar- & Verwijderbeleid (/data-retention).

  • Subverwerkers krijgen niet langer toegang dan nodig volgens contract/retentie.

Doorgifte buiten de EER

  • Alleen indien noodzakelijk en dan met passende waarborgen (o.a. EU-modelcontractbepalingen).

  • We kiezen waar mogelijk voor EU/EER-datacenters.

Wijzigingen & notificaties

  • Wijzigingen publiceren we op deze pagina en (waar contractueel vereist) melden we aan organisatie-admins met een 30-dagen opzeg-/bezwaartermijn, tenzij spoed vereist is voor beveiliging/continuïteit.