UWV / SUWI Compliance
Laatst bijgewerkt: april 2026
Sollicio is een handelsnaam van Kynovia (KvK 88082865, Barendrecht). Deze pagina beschrijft hoe Sollicio voldoet aan de vereisten van het UWV Inkoopkader Re-integratie en de verplichtingen voortvloeiend uit de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI), in het bijzonder artikel 74.
1. Toepasselijkheid
Sollicio kan worden ingezet door re-integratiecoaches en re-integratiebedrijven die werken onder het UWV Inkoopkader Re-integratie. In dat geval verwerkt Sollicio persoonsgegevens van cliënten (uitkeringsgerechtigden) namens de coach of het re-integratiebedrijf.
De coach of het re-integratiebedrijf treedt op als verwerkingsverantwoordelijke. Sollicio treedt op als verwerker in de zin van de AVG en de SUWI wet.
2. SUWI wet artikel 74
Artikel 74 van de SUWI wet verplicht re-integratiebedrijven en hun verwerkers om persoonsgegevens van cliënten adequaat te beschermen en uitsluitend te verwerken voor het doel waarvoor zij zijn verstrekt: de begeleiding naar werk.
Sollicio voldoet aan deze verplichting door:
- Persoonsgegevens uitsluitend te verwerken voor het opstellen en verbeteren van het CV van de cliënt.
- Geen persoonsgegevens te delen met derden voor commerciële doeleinden.
- Alle gegevensverwerking binnen de Europese Unie te laten plaatsvinden.
- Een verwerkersovereenkomst (DPA) beschikbaar te stellen aan coaches en re-integratiebedrijven.
- Technische en organisatorische maatregelen te treffen conform de AVG (zie sectie 4).
3. UWV modus
Sollicio biedt een specifieke UWV modus voor coaches die werken onder het UWV Inkoopkader. Wanneer een gebruiker de UWV modus inschakelt, gelden de volgende aanvullende maatregelen:
- Verlengde auditlog bewaartermijn: het AI auditlog wordt bewaard gedurende 2 jaar in plaats van de standaard 30 dagen. Dit maakt controle door de verwerkingsverantwoordelijke en het UWV mogelijk.
- Gehashte registratie: het auditlog bevat geen leesbare CV inhoud. Elke AI interactie wordt geregistreerd als een SHA-256 hash, zodat aantoonbaar is dat AI is ingezet zonder de inhoud van prompts te bewaren.
- Pseudonimisering: naam, e-mailadres en telefoonnummer worden niet meegestuurd naar het AI model. Alleen de neutrale CV inhoud (functietitel, omschrijving, vaardigheden) wordt verwerkt.
- EU only verwerking: AI verwerking vindt uitsluitend plaats via AWS Bedrock in de regio EU (Ierland, eu-west-1). Gegevens verlaten de EU niet.
De UWV modus is instelbaar per gebruikersaccount via Instellingen. Coaches kunnen dit inschakelen voor alle cliëntbegeleiding onder het UWV Inkoopkader.
4. Technische en organisatorische maatregelen (TOMs)
| Maatregel | Implementatie |
|---|---|
| Versleuteling in transit | TLS 1.2+ op alle verbindingen |
| Versleuteling in rust | AES-256 via Supabase (AWS RDS) |
| Toegangscontrole | Row Level Security (RLS): elke gebruiker ziet alleen eigen data |
| Authenticatie | Wachtwoord + optioneel Google SSO via Supabase Auth |
| Pseudonimisering AI | Persoonsidentificerende gegevens worden verwijderd vóór AI-verwerking |
| Datalocatie | Alle verwerking binnen de EU (Supabase EU Frankfurt, AWS eu-west-1 Ierland) |
| Auditlog | Gehashte registratie van elk AI gebruik, 2 jaar bewaard in UWV modus |
| Geen modeltraining | AWS Bedrock garandeert contractueel dat prompts niet worden gebruikt voor training |
5. Subverwerkers
Sollicio maakt gebruik van de volgende subverwerkers voor de verwerking van persoonsgegevens. Voor alle subverwerkers buiten de EU zijn Standard Contractual Clauses (SCC) van kracht.
| Verwerker | Doel | Locatie |
|---|---|---|
| Supabase | Database (accountgegevens, CV inhoud) | EU (Frankfurt) |
| AWS Bedrock | AI-tekstverwerking (gepseudonimiseerde CV inhoud) | EU (Ierland) |
| Vercel | Applicatie-hosting | VS (SCC) |
| Supabase Storage | Opslag van CV foto's | EU (Frankfurt) |
| Stripe | Betalingsverwerking (alleen voor betalende gebruikers) | VS / EU (SCC) |
6. Verwerkersovereenkomst (DPA)
Coaches en re-integratiebedrijven die Sollicio inzetten voor cliënten onder het UWV Inkoopkader dienen een verwerkersovereenkomst met Sollicio te sluiten. Dit is een wettelijke verplichting op grond van artikel 28 AVG.
De standaard verwerkersovereenkomst van Sollicio is beschikbaar via sollicio.nl/verwerkersovereenkomst. Voor vragen over de DPA of maatwerkafspraken kunt u contact opnemen via contact@sollicio.nl.
7. Contact en vragen
Voor vragen over UWV/SUWI compliance, de UWV modus of de verwerkersovereenkomst kunt u contact opnemen via contact@sollicio.nl.