Trust center

Trust center

Transparantie staat centraal in alles wat we doen. Ontdek onze beveiligingspraktijken, compliance-status en de maatregelen die we nemen om je gegevens te beschermen.

Beveiliging in een oogopslag

Gegevensversleuteling

Alle gegevens worden versleuteld tijdens transport met TLS 1.3 en in rust met AES-256-versleuteling.

Infrastructuur

Gehost op EU-gebaseerde infrastructuur met Bunny.net CDN voor wereldwijde prestaties en DDoS-bescherming.

Toegangscontrole

Multi-factor authenticatie, rolgebaseerde toegangscontroles en uitgebreide auditregistratie.

Privacy by design

Minimale gegevensverzameling, geen tracking-cookies en een privacy-first architectuur vanaf de basis.

Incidentrespons

Gedocumenteerd incidentresponsproces met toezegging van melding van inbreuken binnen 24 uur.

Continue monitoring

Geautomatiseerde kwetsbaarheidsscans, afhankelijkheidsaudits en continue beveiligingsbeoordelingen.

Compliance en regelgeving

We zetten ons in om te voldoen aan alle wettelijke vereisten - en die te overtreffen. Hieronder vind je onze huidige nalevingsstatus.

Conform

AVG

Volledige naleving van de Algemene Verordening Gegevensbescherming van de EU, inclusief dataminimalisatie, toestemmingsbeheer en rechten van betrokkenen.

Conform

EPrivacy-richtlijn

Conform de EU ePrivacy-vereisten. Onze analytics werkt zonder tracking-cookies.

Conform

CCPA

Naleving van de California Consumer Privacy Act met transparante gegevenspraktijken en gebruikersrechten.

Gepland

SOC 2 type II

SOC 2 Type II-auditcertificering is gepland als onderdeel van onze beveiligingsroadmap.

Gepland

ISO 27001

Certificering voor informatiebeveiligingsbeheer is gepland als onderdeel van onze compliance-roadmap.

Subverwerkers

Wij geloven in volledige transparantie over de diensten van derden die we gebruiken om ons platform te leveren. Alle subverwerkers zijn gebonden door verwerkersovereenkomsten.

LeverancierDoelLocatieJurisdictieVerwerkte gegevens
ScalewayCloud-infrastructuur (Kubernetes, PostgreSQL, MySQL, NATS, image registry)EU (frankrijk)Alleen EUAlle applicatiegegevens
Bunny.netCDN en DNSEU (slovenië)Alleen EUVerzoekmetadata, IP-adressen
ProtonE-mail en werkruimteZwitserlandFADP (zwitserland)E-mailcommunicatie
PaddleBetalingsverwerking (merchant of record)VKVK (geen FISA)Facturerings- en betalingsgegevens
GitHubCode-repositoriesVSFISA sectie 702 / Cloud actBroncode, ontwikkelingsgegevens
BillyBoekhoudingEU (denemarken)Alleen EUFinanciële en facturatiegegevens
Simply.comDomeinregistrar (primaire domeinen)EU (denemarken)Alleen EUDomeinregistratiegegevens
CloudflareDomeinregistrar (merk-tLD's)VSFISA sectie 702 / Cloud actDomeinregistratiegegevens

Wij geven ten minste 30 dagen van tevoren bericht over eventuele wijzigingen in onze subverwerkers, zoals beschreven in onze Verwerkersovereenkomst.

Onze aanpak van datasoevereiniteit

In de VS gevestigde aanbieders zijn onderworpen aan FISA Sectie 702 en de Cloud Act, die openbaarmaking van gegevens kunnen afdwingen, ongeacht waar deze zijn opgeslagen. De serverlocatie alleen beschermt gegevens niet tegen deze wetten. FISA Cloud Act

We werken actief aan het minimaliseren van onze afhankelijkheid van diensten die onderworpen zijn aan de Amerikaanse jurisdictie. Onze kerninfrastructuur (hosting, databases, CDN, DNS, e-mail en betalingen) wordt uitsluitend beheerd door in de EU gevestigde aanbieders, buiten het bereik van FISA en de Cloud Act. De enige aan de VS onderworpen diensten die we gebruiken (GitHub, Cloudflare) verwerken broncode en domeinregistraties, geen persoonlijke klantgegevens.

Ons langetermijndoel is het elimineren van alle afhankelijkheden van aanbieders die onderworpen zijn aan extraterritoriale Amerikaanse surveillancewetten.

Juridische documenten en beleid

Meld een beveiligingsprobleem

Wij nemen beveiliging serieus en waarderen verantwoorde openbaarmaking. Ontdek je een kwetsbaarheid? Neem dan rechtstreeks contact met ons op.

[email protected]

Woordenlijst

AVG
Algemene Verordening Gegevensbescherming: de uitgebreide gegevensbeschermingswet van de EU die regelt hoe persoonsgegevens van EU-inwoners worden verzameld, verwerkt en opgeslagen.
EPrivacy-richtlijn
EU-richtlijn 2002/58/EG die privacy in elektronische communicatie regelt, met betrekking tot cookies, tracking en vertrouwelijkheid van communicatie.
CCPA
California Consumer Privacy Act: een Amerikaanse staatswet die inwoners van Californië rechten geeft over hun persoonsgegevens, waaronder het recht om te weten, te verwijderen en zich af te melden voor de verkoop ervan.
FISA sectie 702
Foreign Intelligence Surveillance Act, Sectie 702: machtigt Amerikaanse inlichtingendiensten om communicatie van niet-amerikaanse personen buiten de Verenigde Staten te verzamelen, inclusief gegevens bij Amerikaanse cloudaanbieders, zonder rechterlijk bevel.
Cloud act
Clarifying Lawful Overseas Use of Data Act (2018): een Amerikaanse federale wet die het voor Amerikaanse wetshandhaving mogelijk maakt om Amerikaanse technologiebedrijven te dwingen gegevens te verstrekken die op servers zijn opgeslagen, ongeacht of de gegevens in de VS of in het buitenland zijn opgeslagen.
FADP (zwitserland)
Federale wet inzake gegevensbescherming: de nationale Zwitserse wet op de gegevensbescherming, die een beschermingsniveau biedt dat door de EU als adequaat wordt erkend. Zwitserse aanbieders zijn niet onderworpen aan FISA of de Cloud Act.
Verwerkersovereenkomst
Verwerkersovereenkomst: een juridisch bindend contract tussen een verwerkingsverantwoordelijke en een verwerker dat beschrijft hoe persoonsgegevens worden verwerkt, vereist onder de AVG.
SOC 2
Service Organization Control 2: een auditstandaard die de controles van een organisatie beoordeelt met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.
ISO 27001
Een internationale standaard voor managementsystemen voor informatiebeveiliging (ISMS), die een systematische aanpak biedt voor het beheer van gevoelige bedrijfsinformatie.
TLS 1.3
Transport Layer Security versie 1.3: het nieuwste cryptografische protocol dat gegevens versleutelt tijdens het transport tussen de browser van een gebruiker en een server.
AES-256
Advanced Encryption Standard met 256-bits sleutels: een breed vertrouwd symmetrisch versleutelingsalgoritme dat wordt gebruikt om gegevens in rust te beschermen.
Merchant of record (moR)
Een derde partij die betalingsverwerking, belastingnaleving en facturering verzorgt namens een verkoper en optreedt als de wettelijke verkoper voor transacties.

Vragen over beveiliging?

Ons team staat klaar om je beveiligings- en compliance-vereisten te bespreken.