Data-omgang

We onderscheiden vier categorieën. Voor elk benoemen we de bron, het doel en of het in onze database wordt opgeslagen.

• Database (PostgreSQL bij Supabase, EU-regio). Alle persistente data: tokens, mail-metadata, concepten, contacten, instellingen. Row-level security zorgt dat elke gebruiker alleen z'n eigen rijen kan zien.
• Edge-runtime (Cloudflare Workers, wereldwijd). Stateless request-handling. Niets persistent. Logs (sample) worden 7 dagen bewaard voor debugging.
• Geen lokale opslag op onze servers. Bijlagen worden alleen tijdens een send-actie tijdelijk in het geheugen verwerkt en daarna direct vrijgegeven.

Als je een conceptantwoord aanvraagt, sturen we de inhoud van die ene mail (afzender, onderwerp, body) naar Anthropic's Claude-API:

• Anthropic verwerkt deze data conform hun privacy policy en gebruikt API-input niet voor het trainen van modellen.
• We sturen geen extra context mee (geen volledige inbox-geschiedenis, geen andere mails) tenzij dat strikt nodig is voor de specifieke actie (bijv. bij forward gaan de originele body's mee).
• De gegenereerde concepten worden alleen aan jou getoond. Wij lezen je concepten niet.
• Schrijfstijl-leren gebeurt op een door jou bewust ingegeven samenvatting (max 500 tekens). We trainen geen modellen op je e-mails.

• Supabase Inc. (database + auth). Persistente opslag, EU-regio. Onderworpen aan SOC 2 Type II + HIPAA-controls.
• Cloudflare Inc. (hosting). Edge-routing, DDoS-bescherming, request handling. Geen persistente opslag van gebruikersdata.
• Anthropic, PBC (AI). LLM-inference voor conceptantwoorden en categorisering. Geen training op API-input.
• Google LLC. Voor het terugschrijven van acties via Gmail/Calendar API (sturen, labelen, snoozen, events aanmaken).
• Resend (transactionele e-mail). Alleen voor uitgaande notificatie-mails vanuit ReplyForge zelf (bijv. afspraak-bevestigingen). Vestiging VS; data-overdracht onder SCC's.
• Lovable B.V. (applicatie-hosting). TanStack Start runtime + Cloudflare Workers worden via Lovable gedeployed. Secret-management via Lovable's secret-manager; Lovable heeft géén toegang tot data in PostgreSQL.
• Unipile SAS (Frankrijk, optioneel). Alleen wanneer je LinkedIn of WhatsApp expliciet koppelt voor unified inbox. Berichten van deze kanalen blijven maximaal 30 dagen in onze DB; daarna ruimt een cleanup-cron ze op.

Wij verkopen, verhuren of delen jouw gegevens niet met andere partijen.

• Transport-encryptie: alle verbindingen via HTTPS/TLS 1.3.
• Storage-encryptie: data at rest versleuteld door Supabase (PostgreSQL-laag + onderliggende storage).
• Row-level security: elke tabel met gebruikersdata heeft RLS-policies die ervoor zorgen dat een sessie alleen z'n eigen rijen kan zien.
• OAuth-tokens: opgeslagen in een aparte tabel met service-role-only toegang; nooit blootgesteld aan de browser.
• Secrets: API-keys (Anthropic, Resend, VAPID-private) staan in Lovable's secret manager, gescheiden van de codebase.
• Logging: we loggen toegangspatronen en API-fouten voor 7 dagen voor debugging. Geen mailinhoud of tokens in logs.
• Dependency-updates: automatische security-patches via Dependabot.

ReplyForge wordt momenteel beheerd door één persoon (Hylke Thiry). Deze persoon heeft voor incident-respons technisch toegang tot de database, maar:

• opent geen individuele e-mailberichten of concepten;
• kan alleen lezen via service-role-toegang, alle reads worden gelogd;
• gebruikt deze toegang uitsluitend voor bug-onderzoek of incident-respons.

• OAuth-tokens: tot je je account ontkoppelt of de toegang in je Google-account intrekt.
• Mail-metadata + conceptantwoorden: zolang je account actief is.
• Logs: 7 dagen rolling window.
• Backups: dagelijkse snapshots door Supabase, 30 dagen retentie.

1. Ontkoppel een account via Instellingen → Accounts → "Ontkoppel". Tokens worden direct ingetrokken; account-rij wordt op inactief gezet.
2. Verwijder je hele ReplyForge-account via Instellingen → Account → "Verwijder mijn account". Alle aan jouw user-ID gekoppelde rijen worden binnen 24 uur gewist. Backups die binnen 30 dagen vallen worden overschreven door dagelijkse snapshot-rotatie.
3. Trek Google-toegang in via myaccount.google.com/permissions. Wij kunnen dan geen nieuwe data meer ophalen. Bestaande database-rijen blijven staan tot jij ook in ReplyForge ontkoppelt.

In het onwaarschijnlijke geval van een datalek:

• Getroffen gebruikers worden binnen 72 uur per e-mail geïnformeerd.
• De Autoriteit Persoonsgegevens wordt zo nodig binnen 72 uur op de hoogte gebracht.
• Tokens van getroffen accounts worden direct ingetrokken.
• Een post-mortem wordt binnen 14 dagen gepubliceerd voor actieve gebruikers.

Vermoed je een kwetsbaarheid? Stuur een mail naar contact@reply-forge.app. We reageren binnen 48 uur en hanteren een "responsible disclosure"-beleid.