De R2-auditor staat voor de deur.
Jij bent er klaar voor.
Jij werkt elke dag met data van anderen. Elke laptop die van de truck komt, kan financiele gegevens, personeelsbestanden of erger bevatten. Je tools moeten dat even serieus nemen als jij. EU-datacenters. Tenant isolation op databaseniveau. Erasure tracking per drive. Audit trails op alles. Compliance-documentatie die zichzelf opbouwt.
Gebouwd voor een sector die geaudit wordt.
GDPR-compliant
Je klanten geven je laptops vol personeelsdata, financiele gegevens en dingen die liever niemand ziet. Wij behandelen die verantwoordelijkheid op dezelfde manier als jij. Volledige GDPR-compliance. DPAs klaar om te tekenen. Recht op vergetelheid echt geimplementeerd — niet “we komen er nog op terug.”
ISO 27001 aligned
Je security questionnaire telt 47 vragen en je bent moe van ze voor elke vendor opnieuw te beantwoorden. We aligneren met ISO 27001 zodat je klanten naar onze documentatie kan verwijzen in plaats van telkens een roman te schrijven wanneer iemand vraagt: “hoe beschermen jullie onze data?”
R2 / R2v3 ready
Als je R2-gecertificeerd bent, weet je hoe meedogenloos de documentatievereisten zijn. Chain of custody, downstream vendor tracking, data security verification, environmental compliance — ReVend OS genereert het terwijl je werkt. De auditor komt binnen, jij trekt het rapport, en je gaat terug naar je koffie.
ADISA-compatible
Erasure tracking per drive met Blancco-compatible certificates. Want de ADISA-auditor weet dat die Dell Latitude twee NVMe-drives had, en “we hebben de laptop gewist” is niet genoeg. Status per drive. Certificaat per drive. Gemoedsrust per drive.
Security is geen feature. Het is de architectuur.
We hebben security er niet achteraf opgeplakt. We hebben het platform ermee gebouwd.
EU Data Residency
Frankfurt, Duitsland. eu-central-1. Je data verlaat de Europese Unie niet. Niet voor verwerking, niet voor backups, niet voor analytics, niet omdat een engineer in Californie iets wil debuggen. Ze blijft in de EU. Punt.
Encryptie overal
AES-256 at rest. TLS 1.3 in transit. Data op disk is versleuteld. Data tussen je browser en onze servers is versleuteld. Er is geen moment waarop je data onversleuteld ligt te hopen dat niemand kijkt.
Tenant isolation
Postgres Row Level Security op elke tabel. Je concurrent die ook ReVend OS gebruikt kan je data niet zien. Niet via de API, niet via een bug, niet via iets anders. De database zelf bewaakt de muren tussen tenants. Niet de applicatie. De database.
Role-Based Access + MFA
Je warehouse operator hoeft settlement financials niet te zien. Je salesteam hoeft interne grading notes niet te zien. Je intern hoeft zeker geen admin access. Elke rol ziet precies wat ze moet zien. Niets meer. TOTP-gebaseerde multi-factor authentication is ingeschakeld op elk account, want een sterk wachtwoord alleen is niet genoeg in 2026.
Append-only audit trails
Wie verplaatste die asset van Zone A naar Zone B? Wanneer werd de grade veranderd van B naar C, en door wie? Wie keurde de settlement goed? Alles wordt gelogd. Alles is doorzoekbaar. De audit_events table is append-only op database trigger level — niemand, ook platform admins niet, kan de geschiedenis herschrijven. De chain of custody op elke asset is immutable. Als de auditor vraagt, hoef je niet te gokken. En niemand kan stilletjes opruimen.
Defence-in-depth database
Drieenzeventig SECURITY DEFINER functions kregen expliciet beperkte callers. RLS policies geconsolideerd. search_path gepind op elke functie zodat privilege-escalation via schema-shadowing niet kan. De applicatielaag bewaakt tenancy; de databaselaag doet dat opnieuw, voor het geval de applicatie het verkeerd doet.
Incident response
We hebben gedocumenteerde procedures voor security incidents, inclusief melding binnen 72 uur volgens GDPR. We hebben ze getest. We hopen ze nooit te gebruiken. Maar de procedures bestaan, het team is getraind, en niemand moet om 3 uur 's nachts improviseren.
Elk toestel is een liability tot het gewist is.
Die Dell Latitude van de bank? Daar kunnen financiele klantgegevens op de SSD staan. Die HP van het ziekenhuis? Medische dossiers. Die ThinkPad van het advocatenkantoor? Je wil het niet eens weten.
ReVend OS volgt datasecurity vanaf het moment dat een toestel binnenkomt. Datadragende toestellen worden bij check-in gemarkeerd. Erasure wordt per drive gevolgd, niet per toestel — want die laptop met twee NVMe-drives heeft twee certificaten nodig. Blancco-compatible reports worden automatisch gekoppeld.
Wanneer de ADISA-auditor vraagt “hoe bewijs je erasure voor storage device B in laptop RV-000003412?” open je het record. Drive serial number. Erasure method. Timestamp. Certificate number. Tijd sinds je stopte met je zorgen maken: nul seconden. Want je bent er nooit mee begonnen.
Documentatie die zichzelf opbouwt terwijl je werkt.
Je kent die einde-kwartaalpaniek waarbij het compliance-team R2-documentatie nodig heeft en iedereen begint te zoeken? Dat gebeurt niet wanneer de documentatie ontstaat terwijl je werkt.
Verwerk een toestel door de standaardflow: receive, test, grade, wipe, ship. Bij elke stap worden de relevante compliance artifacts aangemaakt. Certificates of recycling. Certificates of destruction. Downstream vendor documentation. Mass balance reports. ESG sustainability data. Alles gekoppeld aan de juiste toestellen, de juiste orders, de juiste klanten.
Auditvoorbereiding gaat van “drie mensen, twee weken, een gevoel van naderend onheil” naar “trek het rapport, stuur de link, ga terug aan het werk.” Je compliance officer glimlacht misschien zelfs. Dat deel kunnen we niet garanderen.
Je data is van jou. Daar valt niet over te onderhandelen.
Volledige data-export op elk moment. CSV, JSON, welk formaat je systemen nodig hebben. Elke asset, elke grade, elk erasure certificate, elke settlement — van jou om in een klik te downloaden. We maakten vertrekken gemakkelijk omdat we vertrouwen dat je dat niet zal willen. Maar als je het doet, wandelt je data met je mee naar buiten. Geen retention fees. Geen lock-in. Geen “neem contact op met je account manager om de opties te bespreken.” Negentig dagen grace period na annulatie, daarna verwijderen we alles. Niet “scheduled for cleanup.” Verwijderd.
We tekenen DPAs voor het ontbijt. We verwelkomen security reviews — ook die met 47 vragen waarvan de helft hetzelfde vraagt in andere woorden. We lopen je DPO door onze architectuur voor je iets tekent. Stuur ons je security questionnaire. We hebben vorige week waarschijnlijk een ergere beantwoord. Transparantie is geen marketingclaim. Het is de default. Als je compliance officer rechtstreeks met ons engineeringteam wil praten, plannen we de call. Misschien vindt die het zelfs leuk.
Vragen over security?
We lopen graag met je team door onze security-architectuur. Of stuur je security questionnaire door. We hebben die waarschijnlijk al eens beantwoord.