Sla menu over — naar hoofdinhoud
Subsidievinder
SubsidievinderBeveiliging

Beveiliging — uw klantgegevens, ons fundament.

Laatste audit: mei 2026 · Hosting in EU · ISO 27001 roadmap

Subsidievinder verwerkt persoonsgegevens van adviseurs én van hun eindklanten. Wij behandelen die data alsof het onze eigen zou zijn — met meervoudige technische en organisatorische maatregelen, conform AVG en best-practice security frameworks.

Encryptie

In-transit (TLS 1.3)

Alle verkeer tussen client en server is versleuteld via TLS 1.3 met moderne cipher suites. HSTS aan met preload, ook voor subdomeinen.

At-rest (AES-256)

Database en bestandsopslag zijn versleuteld via AES-256. Sleutels worden beheerd door de hosting-provider en geroteerd.

Wachtwoorden (bcrypt)

Wachtwoorden worden gehashed met bcrypt (cost-factor 12). Nooit in plain-text opgeslagen, nooit gelogd.

2FA (TOTP)

Twee-factor authenticatie via TOTP (Google Authenticator, 1Password, etc.). Verplicht voor admin-rollen, optioneel voor adviseurs.

Toegangscontrole

  • RBAC — Owner, Admin, Adviseur, Klant (read-only token). Elke endpoint controleert role + organization scope.
  • JWT met korte TTL — access tokens 30 min, refresh tokens 14 dagen. Revocation per device.
  • Audit-log — elke kritieke actie (create/update/delete op klanten, aanvragen, gebruikers) wordt gelogd met user-id, IP, tijdstip. Inzichtelijk in /audit.
  • Rate-limiting — login, register, password-reset, file uploads zijn rate-limited per IP.
  • CSP + frame-ancestors — beschermt tegen XSS en clickjacking.

Hosting & dataresidentie

EU-only hosting

Frontend op Vercel (Frankfurt fra1). Backend op Fly.io Amsterdam (ams). Database op Neon EU-region. Geen US-transfer.

Backups

Point-in-time recovery 7 dagen. Dagelijkse encrypted snapshots, retentie 30 dagen. Restore-procedure jaarlijks getest.

Disaster recovery

RTO < 4u, RPO < 1u voor klant-data. Multi-region failover voor backend (later 2026).

DDoS bescherming

Cloudflare-laag voor anti-bot, Vercel edge protection, Fly.io rate-limits op load balancer niveau.

AVG & verwerking

  • Verwerkersovereenkomst — standaard DPA (Art. 28 AVG) hier in te zien en automatisch onderdeel van uw abonnement.
  • Dataminimalisatie — wij verwerken alleen wat strikt nodig is voor de dienst.
  • Recht op inzage/wissing — accountdata export als ZIP via één klik. Volledige account-deletion binnen 30 dagen na verzoek.
  • Sub-verwerkers — een actuele lijst is opvraagbaar via privacy@subsidievinder.nl.
  • Datalek-procedure — incident-response runbook, melding aan AP binnen 72u indien meldingsplichtig.

Compliance roadmap

ISO 27001 — Q4 2026

Gap-analyse afgerond. Externe audit gepland voor Q4 2026. Tussentijdse SOC 2 Type 1 in Q3.

NEN 7510 — H1 2027

Voor klanten in de zorg-sector (DUS-I VWS regelingen). Voorbereiding loopt parallel aan ISO 27001.

DPIA op aanvraag

DPIA-template + tijgevoeligheidsanalyse beschikbaar voor klanten die het in eigen risico-register willen opnemen.

Pen-test — jaarlijks

Externe penetration test door OWASP-gecertificeerde partij. Rapport beschikbaar onder NDA.

Verantwoorde disclosure

Beveiligingsonderzoekers kunnen kwetsbaarheden melden via security@subsidievinder.nl. We bevestigen binnen 48 uur, lossen high-severity binnen 7 dagen op en publiek erkennen onderzoekers in onze hall of fame na fix.