trust

Trust- & Compliancecentrum

Beveiliging en vertrouwen, in alle openheid.

The Quantum Club is gebouwd voor elite werving onder streng toezicht. Dit is het bewijs — onze compliancepositie, waar uw data staat, hoe we die beschermen en hoe onze AI wordt beheerst.

EU-gehostGDPR-conformEU-AI-Act-afgestemduw data wordt nooit gebruikt om modellen te trainen

Live platformstatusstatus.thequantumclub.com ↗Laatst bijgewerkt 

01Trust- & Compliancecentrum

Compliance & certificeringen

Frameworks waaraan we vandaag voldoen, en de attestaties die lopen. Elke status weerspiegelt wat we nu kunnen aantonen.

GDPRActief

In-product conform: inzage, export, wissing en rectificatie door betrokkenen; granulaire, uitdrukkelijke toestemming; vastgestelde bewaartermijnen; datalekmelding binnen 72 uur. Een DPA is nu beschikbaar.

Details →
EU data residencyActief

Klantgegevens worden opgeslagen en verwerkt binnen de Europese Unie (AWS eu-west-1, via Supabase). Geen multiregio-schakelaar — EU standaard en vanuit het ontwerp.

Details →
EU AI ActAfgestemd

Club AI is ondersteunend; een mens neemt altijd de wervingsbeslissing. Assessments dienen uitsluitend ter screeningsondersteuning — nooit als zelfstandige selectie. Ontworpen om te voldoen aan de transparantie- en menselijk-toezichtplichten voor wervings-AI.

Details →
SOC 2 (Type II)Afgestemd

Controles zijn geïmplementeerd conform de SOC 2 Trust Services Criteria (beveiliging, beschikbaarheid, vertrouwelijkheid). Een onafhankelijke Type II-attestatie staat op onze roadmap; deze pagina publiceert het rapport en de auditor zodra deze is afgerond.

Details →
ISO/IEC 27001Afgestemd

Ons informatiebeveiligingsbeheer is afgestemd op de controles van ISO/IEC 27001:2022. Formele certificering is gepland; we publiceren het certificaat en de reikwijdteverklaring zodra deze zijn afgegeven.

Details →
ISO/IEC 42001 (AI)Roadmap

De norm voor AI-managementsystemen biedt de meest waardevolle zekerheid voor een wervings-AI-platform. Het nastreven van certificering staat op onze roadmap en wordt hier aangetoond.

Details →
02Trust- & Compliancecentrum

Documentenkluis

Beleid en rapporten. Publieke documenten openen direct; afgeschermde rapporten op aanvraag of onder NDA.

Beveiligings- & Trust-whitepaperPDF · download · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
BeveiligingsoverzichtGids · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
PrivacybeleidBeleid · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
Verwerkersovereenkomst (DPA)Overeenkomst · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
AI-transparantiebeleidBeleid · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
Dataresidentie & overdrachtenNaslagwerk · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
Beleid voor aanvaardbaar gebruikBeleid · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
CookiebeleidBeleid · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
GDPR-rechten van betrokkenenNaslagwerk · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
Beveiligingsvragenlijst (CAIQ-Lite)Vragenlijst · Laatst bijgewerkt 2026-06
Openbaar Bekijk ↗
SOC 2 Type II-rapportAuditrapport
NDA vereist
Samenvatting penetratietestAttestatie
Toegang aanvragen
03Trust- & Compliancecentrum

Subverwerkers

Elke derde partij die klantdata kan verwerken, wat ze doen en waar.

LeverancierDoelGegevensRegioDPA
Supabase Database, authenticatie, bestandsopslag Account- & sollicitatiegegevens EU (AWS eu-west-1)
Cloudflare CDN, edge compute, DNS, WAF Verzoekmetadata tijdens transport Wereldwijde edge (EU-bediend)
Stripe Betalingsverwerking Factuurgegevens (kaartgegevens worden niet door ons opgeslagen) EU / VS (DPF, SCC’s)
Resend Transactionele & lifecycle-e-mail Naam, e-mailadres, berichtinhoud EU / VS (SCC’s)
AI model providers (Anthropic, Google) Club AI-functies (matching, assistent) Prompts — nooit gebruikt om modellen te trainen EU / VS (SCC’s)
PostHog Productanalyse — toestemmingsgebonden, standaard uit Geanonimiseerde gebruiksgebeurtenissen EU
04Trust- & Compliancecentrum

Dataresidentie & dataflow

Waar uw data wordt opgeslagen en verwerkt, en hoe grensoverschrijdende overdrachten zijn geregeld.

Standaard Europese residentie. Klantgegevens worden opgeslagen en verwerkt binnen de Europese Unie — AWS eu-west-1, via Supabase. Er is geen instelling die kernklantgegevens buiten de EU plaatst.

Grensoverschrijdende overdrachten naar subverwerkers worden geregeld via modelcontractbepalingen (Standard Contractual Clauses) en, waar van toepassing, het EU–VS Data Privacy Framework. De gezaghebbende overdrachtslijst is de subverwerkerstabel hierboven en onze verwerkersovereenkomst.

UCloudflare edge (EU)Club OS · Supabase (EU eu-west-1)
05Trust- & Compliancecentrum

Beveiligingsarchitectuur

Defense-in-depth over identiteit, toegang, netwerk en detectie — elke controle draait in productie.

Identiteit & toegang

Passkey-first-authenticatie
WebAuthn met gebruikersverificatie; phishingbestendig vanuit het ontwerp.
Enterprise-SSO
SAML 2.0- en OIDC-federatie voor partnerorganisaties.
SCIM 2.0-provisioning
RFC 7644 directory-gestuurde joiner/mover/leaver met volledig auditspoor.
MFA + step-up (AAL2)
Multifactor met afgedwongen herauthenticatie voor gevoelige handelingen.

Gegevensbescherming

Versleuteling tijdens transport
TLS 1.2+ overal; HSTS met preload.
Versleuteling in rust
Database, opslag en back-ups versleuteld in rust (AES-256).
Row-Level Security
Postgres RLS afgedwongen over 100+ tabellen — tenant-isolatie op databaseniveau.
Beheer van geheimen
Geen geheimen in clientcode; service-role-materiaal staat uitsluitend server-side.

Detectie & veerkracht

Atomaire rate limiting
Auth-bewuste, fail-closed limiter (per account + per IP) op elk authenticatie-eindpunt.
Anomaliedetectie
Continue scan (elke 5 min) op credential-stuffing-, spraying-, snelheids- en overnamepatronen — vandaag al met alerting.
Accountherstel
PBKDF2-gehashte herstelcodes; vijf herstelpaden met anti-enumeratiegaranties.
Auditlogging
Beveiligingsrelevante gebeurtenissen vastgelegd in een append-only auditstroom.
06Trust- & Compliancecentrum

Privacy & uw rechten

GDPR-rechten van betrokkenen, bewaartermijnen en hoe u ze uitoefent.

U kunt uw persoonsgegevens inzien, exporteren, corrigeren en wissen via uw privacy-instellingen in Club OS. Toestemming voor het opnemen van meetings is granulair en uitdrukkelijk (video, audio en transcriptie zijn afzonderlijk).

Bewaartermijnen zijn per gegevenstype vastgesteld en verwijdering op verzoek wordt gehonoreerd. Persoonsgegevens worden uitsluitend bewaard zolang dit nodig is voor het doel waarvoor ze zijn verzameld of zolang de wet dit vereist; ons bewaarschema is gedocumenteerd en op aanvraag beschikbaar.

Onze Functionaris voor Gegevensbescherming is bereikbaar op privacy@thequantumclub.com en fungeert als aanspreekpunt voor verzoeken van betrokkenen en toezichthoudende autoriteiten. Volledige details: GDPR-rechten.

07Trust- & Compliancecentrum

AI-governance

Hoe Club AI wordt beheerst voor hoog-risico werving onder de EU AI Act — transparantie, menselijk toezicht en uw data.

Uw gegevens worden nooit gebruikt om modellen te trainen

Cv’s, notities en meetingtranscripties van kandidaten worden nooit gebruikt om openbare LLM’s te trainen of fine-tunen. Alleen interne, geanonimiseerde telemetrie kalibreert onze eigen prompts.

Een mens beslist altijd

Club AI is ondersteunend. Matchscores, samenvattingen en aanbevelingen informeren mensen; ze nemen nooit een geautomatiseerde wervingsbeslissing.

Wervings-AI is hoog-risico — zo behandelen wij het

De EU AI Act classificeert wervings-AI als hoog-risico. We ontwerpen voor transparantie (gebruikers weten wanneer AI betrokken is), menselijk toezicht en tegen nadelige impact.

Assessments zijn screeningsondersteuning, geen oordelen

Onze assessments zijn gepositioneerd als geobserveerd werkmonsterbewijs, nooit als zelfstandige selectie of klinische/persoonlijkheidsdiagnose.

AI-subverwerkers worden met naam genoemd

De modelaanbieders achter Club AI staan in onze subverwerkerstabel, met regio en voorwaarden voor gegevensverwerking.

08Trust- & Compliancecentrum

Veerkracht & continuïteit

Beschikbaarheid, back-ups, incidentrespons en datalekmelding.

Beschikbaarheid wordt in realtime gepubliceerd op status.thequantumclub.com, inclusief componentstatus en historische uptime.

Hersteldoelstellingen
We hanteren gedefinieerde hersteltijd- en herstelpuntdoelstellingen (RTO / RPO) per servicelaag. De specifieke doelstellingen en ons bedrijfscontinuïteitsplan zijn op aanvraag onder NDA beschikbaar.
Back-ups
Klantgegevens worden volgens een terugkerend schema geback-upt, met versleuteling in rust. Back-ups erven de Europese residentie en worden periodiek hersteltest om te verifiëren dat ze daadwerkelijk herstelbaar zijn en niet enkel weggeschreven.
Incidentrespons
We voeren een gedocumenteerd incidentresponsproces uit — detectie, triage, indamming, eliminatie, herstel en evaluatie achteraf — met escalatie op basis van ernst. Beveiligingsrelevante gebeurtenissen worden vastgelegd in een append-only auditstroom.
Datalekmelding
We stellen getroffen klanten en, waar vereist, de bevoegde toezichthoudende autoriteit binnen 72 uur na ontdekking van een inbreuk in verband met persoonsgegevens op de hoogte, conform GDPR art. 33–34.
09Trust- & Compliancecentrum

Kwetsbaarheden melden

Hoe u een beveiligingsprobleem meldt, en wat u van ons mag verwachten.

Een beveiligingsprobleem gevonden? Mail security@thequantumclub.com — ook gepubliceerd in onze security.txt (RFC 9116). Ons beleid voor gecoördineerde melding beschrijft reikwijdte en termijnen: meldingsbeleid.

We hanteren verantwoorde melding en houden u op de hoogte tijdens het herstel. Raadpleeg geen gegevens die niet van u zijn en gun ons redelijke tijd om het op te lossen voordat u publiceert.

Vrijwaring. We ondernemen geen juridische stappen tegen, en doen geen melding bij autoriteiten van, onderzoekers die te goeder trouw en in overeenstemming met dit beleid handelen — binnen de reikwijdte blijven, privacyschendingen en serviceverstoring vermijden, en geen gegevens onttrekken buiten het minimum dat nodig is om een bevinding aan te tonen. Twijfelt u of uw test is toegestaan, vraag het ons dan eerst via security@thequantumclub.com.

10Trust- & Compliancecentrum

FAQ beveiligingsreview

De vragen die enterprise-securityteams het vaakst stellen.

Waar worden onze gegevens opgeslagen?
In de Europese Unie — AWS eu-west-1, via Supabase. EU-residentie is de standaard en er is geen instelling die kernklantgegevens buiten de EU verplaatst.
Gebruikt u onze gegevens om AI-modellen te trainen?
Nee. Klantgegevens worden nooit gebruikt om openbare AI-modellen te trainen of fine-tunen. Prompts die naar modelaanbieders worden gestuurd, worden onder contract verwerkt en niet gebruikt voor training.
Bent u SOC 2 / ISO 27001-gecertificeerd?
Onze controles zijn geïmplementeerd conform de SOC 2 Trust Services Criteria en afgestemd op ISO/IEC 27001. Onafhankelijke attestatie/certificering staat op onze roadmap — we publiceren elk rapport en de auditor hier zodra deze is afgerond, in plaats van een certificaat te suggereren dat we nog niet bezitten.
Hoe gaat u onder de EU AI Act om met wervings-AI?
Club AI is ondersteunend en een mens neemt altijd de beslissing. We bouwen voor transparantie, menselijk toezicht en tegen nadelige impact, en behandelen assessments uitsluitend als screeningsondersteuning.
Ondersteunt u SSO en SCIM?
Ja — SAML 2.0- en OIDC-single sign-on, plus SCIM 2.0-gebruikersprovisioning en -deprovisioning met auditlogging.
Hoe snel worden datalekken gemeld?
Binnen 72 uur na ontdekking, conform GDPR-artikel 33/34.
Kunnen we een DPA ondertekenen?
Ja. Onze verwerkersovereenkomst is nu beschikbaar via de documentenkluis hierboven, inclusief de subverwerkerslijst en EU-overdrachtsmechanismen (SCC’s).
Hoe melden we een kwetsbaarheid?
Mail ons securityteam of gebruik het contact in onze security.txt. Ons beleid voor gecoördineerde melding beschrijft de reikwijdte en wat u kunt verwachten.
Kunnen we onze eigen beveiligingsreview uitvoeren of een vragenlijst sturen?
Ja. We publiceren een vooraf beantwoorde CAIQ-Lite-beveiligingsvragenlijst op dit Trust Center (en als machineleesbare JSON) die de meeste inkoopvragen vooraf beantwoordt. Heeft u een specifieke vragenlijst nodig (SIG, uw eigen sjabloon), neem dan contact op met ons trust-team en wij regelen het.
Hoe worden uw AI-subverwerkers beheerst?
De modelaanbieders achter Club AI (Anthropic, Google) staan met naam in onze subverwerkerstabel met regio en gegevensvoorwaarden, en elk is gebonden aan een DPA met SCC’s. Prompts worden onder contract verwerkt en nooit gebruikt om hun modellen te trainen of fine-tunen. We vermelden ze zodat u altijd weet welke derde partijen AI-gerelateerde gegevens aanraken.
Wat gebeurt er met onze gegevens als we vertrekken?
U kunt uw gegevens op elk moment exporteren via selfservice in de app, en bij contractbeëindiging worden klantgegevens op verzoek verwijderd binnen onze vastgestelde bewaartermijnen. We bewaren klantgegevens nooit langer dan we contractueel of wettelijk verplicht zijn.
Ondersteunt u auditlogging en SIEM-export?
Beveiligingsrelevante gebeurtenissen worden vandaag al vastgelegd in een append-only auditstroom. Een selfservice SIEM-/logexportintegratie staat op onze roadmap; tot die tijd kunnen we auditgegevens op verzoek leveren voor enterprise-klanten.
11Trust- & Compliancecentrum

Praat met ons trust-team

Meld een kwetsbaarheid

security@thequantumclub.com

Privacy- & dataverzoeken

privacy@thequantumclub.com

Beveiligingsreviews & documenten

trust@thequantumclub.com