Spring naar inhoud
VrijLevenVrijLeven

Hoe we data beschermen, systemen beveiligen en privacy waarborgen. Transparantie over onze beveiligingspraktijken.

Versleuteling overal

Publieke verbindingen lopen via HTTPS. Data in rust is versleuteld op schijfniveau en interne database-verbindingen worden afgeschermd binnen de serveromgeving.

Europese servers

De eigen applicaties draaien op Europese servers waar dat binnen onze macht ligt. Waar externe AI- of SaaS-leveranciers nodig zijn, leggen we verwerkersafspraken, regio-keuzes en doorgifte-afspraken expliciet vast.

Authenticatie en autorisatie

Waar accounts nodig zijn gebruiken we korte sessies, httpOnly cookies waar passend, sterke password hashing en role-based access control met tenant isolation.

Tenant isolatie

Multi-tenant systemen gebruiken row-level security. Elke tenant kan alleen bij eigen data — afgedwongen op database-niveau, niet alleen in de applicatie.

Rate limiting

API endpoints zijn beschermd met rate limiting om brute-force en abuse te voorkomen. Gevoelige endpoints (login, wachtwoord reset) hebben strengere limieten.

Security headers

X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy en HSTS staan op applicatieresponses. CSP voeren we per product bewust in zodra third-party scripts en embeds scherp afgebakend zijn.

Dependency management

Dependencies worden actief bijgehouden en bij security-updates beoordeeld op risico, bereik en impact. Kritieke kwetsbaarheden krijgen voorrang boven regulier werk.

Back-ups

Productiedata wordt geautomatiseerd geback-upt met retentie passend bij het systeem. Restorebaarheid hoort bij de afspraak: een backup telt pas als herstel getest kan worden.

Monitoring en logging

Publieke endpoints en containers hebben health checks en alerts waar het systeem daarom vraagt. Logs worden beperkt gehouden en mogen geen inhoudelijke klantdata of gevoelige input bevatten.

Minimale dataverzameling

We verzamelen alleen wat nodig is. Analytics loopt via Taklo Analytics: geen cookies, geen persoonlijke profielen, geen Google Analytics en geen Facebook Pixel.

Responsible Disclosure

Heb je een beveiligingskwetsbaarheid gevonden in een van onze systemen? We waarderen het als je dit verantwoord meldt.

  • Stuur via onze contactpagina met "Security disclosure" als onderwerp
  • Beschrijf de kwetsbaarheid zo gedetailleerd mogelijk
  • Geef ons minimaal 90 dagen om het te verhelpen voordat je het publiceert
  • We reageren binnen 5 werkdagen met een bevestiging

Compliance

AVG / GDPR

Ingericht op naleving

WCAG 2.2 AA

Ontwerpstandaard

EU Hosting

Eigen infra waar passend

Meer over hoe we met persoonsgegevens omgaan staat in ons privacybeleid. Afspraken over opdrachten staan in onze algemene voorwaarden.