Gebouwd in de EU. Beveiligd voor de EU.
Keloa wordt gehost in Amsterdam, is end-to-end versleuteld en is van de grond af opgebouwd om te voldoen aan de eisen voor klantgegevensbeveiliging die Europese mkb's en hun toezichthouders daadwerkelijk stellen.
De zes dingen die ertoe doen, in heldere taal.
Gehost in de EU, van begin tot eind
Primaire hosting in Amsterdam, met back-ups in Dublin. Alles op EU-cloudinfrastructuur. Geen klantgegevens verlaten de EER zonder een geldig doorgiftemechanisme.
Versleuteld tijdens transport en in rust
TLS 1.3 op elke verbinding. AES-256-versleuteling voor gegevens in rust. Versleutelingssleutels per klant, elk kwartaal geroteerd. Back-ups versleuteld met aparte sleutels.
Toegangscontrole met MFA en SSO
Alle toegang door Keloa-medewerkers vereist SSO en hardware-MFA. Productietoegang is just-in-time, wordt geaudit en is beperkt tot een kleine on-call rotatie.
Isolatie per klant
De gegevens van elke klant staan in een logisch geïsoleerde tenant met eigen versleutelingssleutels, AI-agent, kennisbank en inbox. Nooit queries tussen tenants.
AI-herkomst en audit
Elk AI-antwoord wordt gelogd met de prompt, de geciteerde bronnen, de modelversie en de confidence score. Volledige export van het auditlog beschikbaar op Scale.
Jaarlijks gepentest
Onafhankelijke beveiligingstests door een geaccrediteerd Nederlands bureau, met samenvattingsrapporten op aanvraag onder NDA. Doorlopende bug bounty voor geselecteerde onderzoekers.
Waar je inkoopteam om kan vragen.
Een kwetsbaarheid gevonden?
Mail naar security@keloa.ai met de details. We reageren binnen één werkdag, lossen kritieke issues binnen 72 uur op en vermelden melders publiekelijk (met toestemming) bij elke fix-release.
Security-vragen, beantwoord.
Waar wordt onze data opgeslagen?
In de EU. Primaire hosting in Amsterdam, met back-ups in Dublin, op EU-cloudinfrastructuur. Geen klantgegevens verlaten de EER zonder een geldig doorgiftemechanisme, en de standaardconfiguratie heeft geen trans-Atlantische gegevensdoorgiften.
Is Keloa AVG-conform?
Ja. Volledig conform AVG artikel 28, met een verwerkersovereenkomst (DPA) beschikbaar voor elke klant op elk plan (inclusief het gratis Starter-plan), niet enkel voor enterprise. Sub-verwerkers staan publiek vermeld met naam, doel en regio. Alle rechten van betrokkenen (export, verwijdering, portabiliteit) zijn ingebouwd in het product.
Is de verwerkersovereenkomst (DPA) bij elk plan inbegrepen?
Ja, op elk plan inclusief het gratis Starter-plan. Je kunt de DPA lezen of downloaden op /legal/dpa, of een medegetekende kopie per e-mail opvragen. Geen upgrade nodig, geen onderhandeling nodig voor de standaardtekst.
Is Keloa ISO 27001- of SOC 2-gecertificeerd?
Nog niet. ISO 27001 staat op de roadmap, de audit start in Q3 2026 en certificering wordt beoogd in Q1 2027. SOC 2 Type II volgt na ISO 27001, met beoogde afronding in 2027. Tot de certificering zijn de controls en beleid in plaats en is een architectuurdocument beschikbaar onder NDA voor security reviews.
Hoe wordt de data versleuteld?
TLS 1.3 op elke verbinding tijdens transport. AES-256 voor data in rust. Versleutelingssleutels per klant, elk kwartaal geroteerd. Back-ups worden versleuteld met aparte sleutels. Elke klant is logisch geïsoleerd, en queries tussen klanten worden op modelniveau geblokkeerd.
Wie heeft toegang tot onze data aan de Keloa-kant?
Alle toegang door medewerkers vereist SSO en hardware-MFA. Productietoegang is just-in-time, volledig geaudit en beperkt tot een kleine on-call rotatie. Geen engineer heeft permanente toegang tot je data; elke read wordt gelogd en gereviewd.
Hoe wordt PII afgehandeld in AI-verzoeken?
E-mails, telefoonnummers, IBAN's en kaartnummers worden verwijderd voordat een AI-verzoek het platform verlaat. Routing geeft voorkeur aan EU-endpoints waar de modelaanbieder die heeft. De volledige DPA dekt de juridische mechanismen (SCC's) die gelden als verwerking buiten de EER nodig is. We trainen AI-modellen nooit op jouw data.
Heeft je compliance-team meer nodig?
We hebben inkoopreviews voor Nederlandse banken, Belgische verzekeraars en Duitse enterprise-IT begeleid, die van jou nemen we ook voor onze rekening. Plan een demo of mail security@keloa.ai.