Renewly is een dual-region dienst. U kiest uw regio bij registratie en uw contracten, accountgegevens en auditlogs blijven in die regio gedurende de hele levensduur van de workspace. Deze pagina is de canonieke kaart van de subverwerkers die uw gegevens verwerken en de twee extractiefasen die vandaag de regiogrens kruisen.
EU of VS, vastgelegd bij registratie, onveranderbaar vanuit de UI
Your contracts and account data are stored in the EU on Supabase eu-central-1 (AWS Frankfurt). Contract data extraction runs in the EU region via Google Vertex.
Your contracts and account data are stored in the United States on Supabase us-east-1 (AWS N. Virginia). Contract data extraction runs in the US region via Google Vertex.
De regio wordt bij registratie vastgelegd en kan niet worden gewijzigd via de instellingen in de app. Om een workspace tussen regio's te migreren, neemt u contact op met support; operations voert dan het cutover-proces uit.
Twee extractiefasen, beide met opt-out
PDF text extraction is performed by our sub-processor Reducto. Data handling is governed by our agreement with Reducto; a per-org opt-out is available on request.
The validation pass runs via Anthropic Direct API for both EU and US customers. Anthropic operates under zero data retention for API traffic and does not use API data for model training, per Anthropic API terms. A per-org opt-out is available; an in-region migration is planned.
Als uw complianceprogramma vereist dat ook een van beide fasen in de eigen regio draait, neem dan contact op met support; wij activeren dan de opt-out-vlag op uw workspace. De betreffende fasen worden overgeslagen (extracties draaien nog steeds, met iets lagere nauwkeurigheid op alleen de primaire stap). Een enkele vlag per organisatie regelt beide fasen.
Wie uw contractgegevens verwerkt
| Provider | Doel | Gedeelde gegevens | Residentie |
|---|---|---|---|
| Supabase | Database, file storage, authentication | Account data, contracts, extracted metadata, uploaded files | Customer-selected region: EU eu-central-1 (AWS Frankfurt) or US us-east-1 (AWS N. Virginia) |
| Vercel | Application hosting | Request logs, IP addresses | Single-instance; operational logs may transit regions Vercel operates in. |
| Stripe | Payment processing | Email, billing details (no contract data) | Global. Stripe handles payments under PCI Level 1. |
| Resend | Email notifications | Email address, notification content | US-based GDPR-compliant email service. |
| Reductoopt-out | PDF text extraction (pre-LLM stage) | PDF text only — no account data or identifiers. | Sub-processor; data handling per our agreement with Reducto. Per-org opt-out available on request. |
| Google Vertex (Gemini) | Structured field extraction (primary LLM) | Parsed contract text only | Runs in-region: Google Vertex in the EU region for EU customers, in the US region for US customers. Zero retention and no model training on data, per Google Vertex terms. |
| Anthropic (Claude)opt-out | Cross-check / validation pass (secondary LLM) | Parsed contract text only | Runs via Anthropic Direct API for both EU and US customers. Zero retention and no model training on API data, per Anthropic API terms. Per-org opt-out available; in-region migration planned. |
| Crisp | Live chat support | Email address, chat messages | Single-instance. |
De operationele schaduw die u moet kennen
Uw contractgegevens bevinden zich in de door u gekozen regio. Een klein aantal infrastructuurleveranciers dat wij gebruiken voor hosting, foutrapportage, job-orkestratie en rate limiting is single-instance. Hun operationele logs (request-metadata, ID's, regiotags) kunnen buiten uw primaire regio passeren, ook al doet de contractinhoud zelf dat niet. Contractinhoud wordt niet gelogd.
| Leverancier | Doel | Gedeelde gegevens | Status |
|---|---|---|---|
| Sentry | Error and exception tracking | Stack traces and error context (PII redacted before logging) | Single-instance; events may transit outside the customer's primary region. |
| Inngest | Background job orchestration | Job payloads (region tag, IDs); contract content is not logged. | Single-instance worker plane; the `region` field on payloads is honoured so jobs run against the correct project. |
| Upstash Redis | Rate limiting | Counter keys (org/user identifiers) and counts; no contract content. | Per-region keys; the service itself is single-instance. |
Attributie per provider
Vercel + Supabase, SOC 2 Type II
Our hosting providers (Supabase and Vercel) hold SOC 2 Type II certification. Renewly itself is not in audit scope; the certifications belong to our infrastructure vendors.
Supabase carries ISO/IEC 27001:2022
Supabase is certified to ISO/IEC 27001:2022 across its full information security management system. Renewly itself is not in audit scope.
Compliant
Renewly is GDPR compliant. EU and EEA users have full rights to access, correct, delete, and export their personal data. We have a signed DPA with Supabase.
California residents have the right to know, access, and delete their personal information. We do not sell personal data.
PCI Level 1
Payments are processed by Stripe under PCI Level 1.
Wij hebben een ondertekende DPA met Supabase. Een Renewly-DPA is op verzoek beschikbaar voor klanten die er een nodig hebben - neem contact op via security@renewly.gg.
Voor gegevensdoorgiften buiten de EER (en het VK) steunt Renewly op Standard Contractual Clauses (en waar van toepassing het UK International Data Transfer Addendum) met de hierboven genoemde subverwerkers.
Voor de volledige beveiligingspositie, zie /security. Voor vragen over dataresidentie in gewone taal, zie het helpartikel.