Schriftly

Veiligheid

Hoe wij kindergegevens beschermen.

Privacy zit in onze opbouw, niet in een footer-tekst. Hieronder wat dat concreet betekent - in gewone woorden.

Acht harde toezeggingen

Dit is geen beloften-lijstje. Het is hoe Schriftly is gebouwd - onder de motorkap én op het scherm.

Alle data in Nederland

Schriftly draait op servers in een Nederlands datacenter. Geen partners buiten Europa in de keten voor kindergegevens - geen verborgen onderaannemers die gegevens ergens anders parkeren.

Gegevens per bureau apart bewaard

De gegevens van elk bureau worden apart bewaard, met een eigen slot dat alleen voor dat bureau geldt. Niemand kan zomaar bij wat van een ander bureau is.

Bureaus zien elkaars gegevens niet

Iedere bureau-eigenaar ziet alleen haar eigen gastouders, kinderen en ouders. De scheiding zit in de fundering van Schriftly - niet alleen op het scherm. Een vergissing kan er niet doorheen.

Ouders zien wie iets over hun kind heeft bekeken

Iedere ouder kan in de app zien wanneer welke gastouder of bureaumedewerker iets over haar kind opende of exporteerde. Inzage-recht uit de AVG, in de praktijk gebracht.

AI op het apparaat zelf — committed posture

AI-functies (foto-tagging, spraak-naar-tekst, dagverslag-suggesties) staan op de roadmap. Wij committen vooraf dat ze op-het-apparaat draaien waar dat kan; voor de zeldzame serverwerk-stappen kiezen we een Europese leverancier — nooit OpenAI of Anthropic voor kindergegevens. Foto's van de kinderen blijven vandaag al op de telefoon van de gastouder en op onze Nederlandse servers — niet doorgestuurd voor analyse.

Tweestapsverificatie verplicht voor bureau-medewerkers

Inloggen met alleen een wachtwoord kan niet. Elke bureau-account heeft een tweede stap (code uit een authenticator-app) en alle login-pogingen staan in een logboek.

Ouders kunnen al hun gegevens downloaden

Eén klik in de ouder-app levert een volledig pakket op: alle dagverslagen, foto's, urenstaten en compliance-stukken die over jouw kind gaan. Recht van inzage en gegevensportabiliteit (AVG art. 15 + 20) ingebouwd, niet op aanvraag.

Recht om vergeten te worden, met audit-spoor

Een verwijderingsverzoek door de ouder loopt via de bureau-laag (juridische bewaartermijnen worden gerespecteerd) en blijft vastgelegd in een onafhankelijk audit-logboek. Geen "we hebben het wel gedaan" zonder bewijs.

Veiligheidslek gevonden? Meld het.

Heb je een lek of zwakke plek ontdekt? Stuur een mail naar info@schriftly.nl. Deel het probleem niet eerst met derden, en gebruik het niet verder dan nodig om aan te tonen dat het probleem echt is.

Wat zet je in de mail?

  • Korte beschrijving van het probleem.
  • Stappen om het te laten zien.
  • Wat een aanvaller ermee zou kunnen.
  • Jouw naam (of dat je liever anoniem blijft).

Wat je van ons mag verwachten

  • Reactie binnen 1 werkdag op je melding
  • Status-update binnen 3 werkdagen
  • Oplossing voor ernstige kwetsbaarheden binnen 14 dagen
  • Geen juridische actie tegen oprecht onderzoek dat binnen het beleid valt

Wat hoort hier niet thuis?

Sommige meldingen behandelen we niet via dit kanaal:

  • · Pogingen om de site plat te leggen of overbelasten
  • · Onze medewerkers of klanten via mail of telefoon misleiden om informatie te krijgen
  • · Fysiek inbreken op kantoor of in een datacenter
  • · Aanvallen op systemen van klant-bureaus zelf, zonder hun toestemming
  • · Spam- of phishingmeldingen die geen concrete kwetsbaarheid bevatten

Hoe wij het scherp houden

  • Eens per kwartaal een review van de lijst leveranciers en de privacy-impact
  • Externe veiligheidstest vóór de eerste klant-go-live en bij elke major architectuurwijziging (eerstvolgend gepland Q3 2026)
  • Dagelijkse beveiligde kopie; 30 dagen bewaard
  • Datalek-draaiboek conform AVG: melding bij de Autoriteit Persoonsgegevens binnen 72 uur
  • Beveiligingscertificaten alleen uitgegeven door vooraf-goedgekeurde uitgevers