Beveiliging & vertrouwen
Veesie laat zien hoe AI-assistenten zoals ChatGPT, Gemini en Perplexity over jouw merk praten. Daarvoor vertrouw je ons je merkdata toe, en soms je Google Analytics. Op deze pagina lees je precies hoe we die data beschermen: versleuteld, in de EU, en alleen toegankelijk voor jou.
Altijd versleuteld
Gevoelige velden, zoals je Google-tokens, staan versleuteld met AES-256-GCM. Alle verbindingen lopen over HTTPS met HSTS.
EU-hosting
Je account, merken en resultaten staan in een PostgreSQL-database in Frankfurt. Geen kerndata buiten de EU.
Read-only AI-toegang
De Google Analytics-koppeling is uitsluitend leestoegang. Veesie kan je statistieken nooit wijzigen of verwijderen.
Strikte isolatie
Elke klant ziet alleen de eigen data, dubbel afgedwongen op databaseniveau (RLS) en in de applicatie.
1. Jouw data en AI-monitoring
Om te meten hoe AI je merk ziet, stuurt Veesie jouw prompts (vragen over je merk, je sector en je concurrenten) naar AI-providers zoals OpenAI, Anthropic, Google en Perplexity. Hun antwoorden bewaren we in onze EU-database.
- De prompts gaan over merken en thema's, niet over personen. Ze bevatten normaal geen persoonsgegevens.
- De antwoorden, scores en analyses die hieruit volgen worden opgeslagen in de EU.
- Veesie gebruikt jouw data nooit om modellen te trainen of voor advertenties.
2. Versleuteling
Onderweg (in transit)
Al het verkeer naar veesie.com loopt over HTTPS. We sturen een Strict-Transport-Security-header (HSTS) met een looptijd van twee jaar en staan op de HSTS preload-lijst, zodat browsers nooit onversleuteld verbinden.
In rust (at rest)
Gevoelige velden in onze database, zoals je Google Analytics access- en refresh-tokens en eventuele webhook-URLs, worden versleuteld met AES-256-GCM (authenticated encryption). Wordt er met de versleutelde data geknoeid, dan faalt het ontsleutelen automatisch. De sleutel wordt apart van de database bewaard als Cloudflare Worker-secret.
3. De Google Analytics-koppeling
Veel klanten koppelen hun Google Analytics 4 aan Veesie om verkeersdata naast hun AI-zichtbaarheid te zien. Die koppeling is bewust minimaal opgezet:
- Read-only: we vragen uitsluitend de scope
analytics.readonly. Veesie kan je Analytics lezen, nooit wijzigen, verwijderen of delen. - Beschermd tegen CSRF: de OAuth-flow gebruikt een HMAC-ondertekende state die aan jouw sessie gebonden is en na tien minuten vervalt. Niemand kan de koppeling namens jou forceren.
- Versleuteld: de tokens die Google teruggeeft, worden versleuteld opgeslagen (zie Versleuteling).
- Ontkoppelbaar: je trekt de toegang op elk moment in, zowel in Veesie als rechtstreeks in je Google-account.
4. Toegang en authenticatie
- Inloggen verloopt via Supabase Auth. Wachtwoorden worden gehasht opgeslagen, nooit in leesbare vorm.
- Aanmeld- en contactpagina's zijn beschermd tegen bots met Cloudflare Turnstile.
- Tijdens de early access is registratie op uitnodiging (invitecode).
- Interne beheeromgevingen draaien achter Cloudflare Zero Trust Access en zijn niet publiek bereikbaar. De directe workers.dev-URL is uitgeschakeld, zodat die beveiliging niet te omzeilen valt.
5. Infrastructuur en isolatie
- Hosting: de applicatie draait op Cloudflare Workers, op het wereldwijde edge-netwerk van Cloudflare.
- Database: een PostgreSQL-database bij Supabase in Frankfurt (EU).
- Multi-tenant isolatie: elke organisatie ziet uitsluitend de eigen data. Dat is dubbel afgedwongen: met Row Level Security op databaseniveau, en met eigenaarschapscontroles in elke server-actie van de applicatie.
- Cloudflare en Supabase zijn beide gecertificeerd volgens internationale standaarden (waaronder SOC 2 en ISO 27001) voor hun infrastructuur.
6. Applicatiebeveiliging
Veesie wordt doorlopend intern op beveiliging gecontroleerd. De codebase doorliep meerdere security-audits tegen de OWASP-richtlijnen voor API's en voor LLM-toepassingen. Concrete maatregelen, onder meer:
- HTTP-beveiligingsheaders: een strikte Content-Security-Policy, HSTS, X-Frame-Options (DENY), X-Content-Type-Options en een restrictief Permissions-Policy.
- SSRF-bescherming: uitgaande webhooks mogen alleen naar publieke HTTPS-adressen, interne IP-reeksen worden geblokkeerd.
- Prompt-injection-hardening: opgeslagen AI-antwoorden en gebruikersinvoer worden geneutraliseerd voor ze opnieuw in een AI-prompt belanden.
- Bescherming tegen CSV-formule-injectie in exports, timing-veilige vergelijking van geheimen, en geparametriseerde databasequery's tegen SQL-injectie.
Geen enkele dienst kan absolute beveiliging garanderen, maar we werken doorlopend aan het verkleinen van risico's en aan het verbeteren van onze maatregelen.
7. Betalingen
Betalingen verlopen via Stripe Checkout. Je kaartgegevens komen rechtstreeks bij Stripe terecht, een PCI-DSS-gecertificeerde betaalprovider. Veesie ziet of bewaart je kaartgegevens nooit; we bewaren alleen een referentie naar je Stripe-klant.
8. Subverwerkers
Om de dienst te leveren werken we met een beperkt aantal zorgvuldig gekozen subverwerkers:
| Subverwerker | Functie | Locatie |
|---|---|---|
| Supabase (Postgres + Auth) | Database, authenticatie | EU (Frankfurt) |
| Cloudflare (Workers) | Applicatie-hosting, edge-verwerking | Global edge, verwerking in de dichtstbijzijnde EU-regio |
| Resend | Transactionele e-mail (notificaties, rapporten) | EU-regio |
| Stripe | Betalingsverwerking (enkel bij betaald plan) | Ierland (EU) |
| Sentry | Foutmonitoring (error tracking) | EU (Frankfurt, Duitsland) |
| OpenAI, Anthropic, Google, Perplexity | LLM-calls (prompts worden naar providers gestuurd) | VS / EU (afhankelijk van provider), op basis van SCC's |
De kerndata (account, merken, resultaten) staat uitsluitend in de EU. Doorgifte naar providers buiten de EU gebeurt op basis van de Standaardcontractbepalingen (SCC's). De volledige lijst en uitleg staan in het privacybeleid.
9. GDPR en jouw rechten
De verwerkingsverantwoordelijke voor Veesie is Manon BV (handelend onder de naam ClickForest), gevestigd in Bonheiden, België, ondernemingsnummer BE 0549.803.522.
- Je kunt je volledige data exporteren in JSON-formaat via Instellingen, Privacy.
- Je kunt je account en alle bijhorende data zelf verwijderen via Instellingen, Account verwijderen. De verwijdering is onmiddellijk en cascadeert door alle gekoppelde data.
- Al je GDPR-rechten (inzage, rectificatie, wissen, beperking, overdraagbaarheid, bezwaar) staan in detail beschreven in ons privacybeleid.
10. Een kwetsbaarheid melden
Denk je dat je een beveiligingsprobleem hebt gevonden? Laat het ons weten via hello@veesie.com. We onderzoeken elke melding en houden je op de hoogte. We vragen je om kwetsbaarheden niet publiek te maken voor we ze samen hebben kunnen oplossen (responsible disclosure).
Laatst bijgewerkt: 31 mei 2026. Terug naar veesie.com