/ Vertrouwen als fundament

Security &
Vertrouwen.

EU-richtlijn 2022/2555 (NIS2) NL Cyberbeveiligingswet ISO/IEC 27002:2022 AVG/GDPR

Jouw data is niet van ons — maar wel onze verantwoordelijkheid. De EU-richtlijn NIS2 (in werking 16 januari 2023, transpositie-deadline 17 oktober 2024) en de Nederlandse implementatie via de Cyberbeveiligingswet (Cbw) maken supply-chain security wettelijk afdwingbaar. Onze aanpak is daarop ingericht: aantoonbaar werken volgens ISO/IEC 27002:2022 en de risicobeheersmaatregelen van NIS2 Artikel 21 — zodat opdrachtgevers die onder NIS2 of de Cbw vallen hun keten-verplichting met onze documentatie kunnen onderbouwen.

ISO/IEC 27002:2022

Beveiligingspraktijken gebaseerd op de internationale standaard. Geen certificering, wel een systematisch kader dat aansluit op ISMS conform ISO/IEC 27001:2022.

NIS2 / Cbw

Aanpak afgestemd op de risicobeheersmaatregelen uit NIS2 Artikel 21 en de Nederlandse Cyberbeveiligingswet. Geen formele aanwijzing, wel volledige inhoudelijke aansluiting.

AVG / GDPR

Verwerkersovereenkomst conform Art. 28, beveiligingsmaatregelen conform Art. 32, meldplicht datalekken conform Art. 33.

Hosting & Infrastructuur

Alle productieomgevingen draaien op Europese infrastructuur. We werken nooit met infrastructuur buiten de EER voor verwerking van klantdata, tenzij uitdrukkelijk afgesproken.

AWS eu-central-1

Frankfurt, Duitsland

Primaire cloud-infrastructuur

Hetzner

Duitsland / Finland

Dedicated servers & VPS

DigitalOcean

Amsterdam

Aanvullende services

DNS

AWS Route 53 & ClouDNS

DNSSEC-ondersteuning voor bescherming tegen DNS-spoofing.

Gegevensbeveiliging

HTTPS/TLS 1.2–1.3

Alle verbindingen verlopen versleuteld. HSTS-headers zijn actief. HTTP wordt automatisch doorgestuurd naar HTTPS.

Encryptie at rest

Gevoelige gegevens worden versleuteld opgeslagen op schijfniveau en applicatieniveau.

Wachtwoord-hashing via bcrypt

Wachtwoorden worden nooit als platte tekst bewaard. We gebruiken bcrypt met een hoge cost-factor.

Environment variables

Secrets, API-sleutels en database-credentials worden nooit in code opgeslagen. Alles via geheimgehouden omgevingsvariabelen.

Security headers

CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy en Permissions-Policy zijn geconfigureerd op alle productieomgevingen.

Toegangsbeheer

Least privilege

Elk systeem en elke medewerker heeft alleen toegang tot wat strikt noodzakelijk is voor de taak.

Multi-factor authenticatie (MFA)

MFA is verplicht voor alle beheeraccounts, cloud-consoles en kritieke systemen.

SSH key-only toegang

Servers zijn niet bereikbaar via wachtwoord-authenticatie. Alleen asymmetrische sleutels worden geaccepteerd.

Toegangslogging

Alle SSH-sessies en beheertoegang worden gelogd en bewaard.

Softwareontwikkeling

Privé Git-repositories op EU-infrastructuur

Broncode wordt beheerd in privé-repositories die uitsluitend op Europese servers draaien.

Dependency monitoring

Afhankelijkheden worden automatisch gemonitord op bekende kwetsbaarheden via geautomatiseerde security scans.

Code review

Alle wijzigingen in productiesystemen worden beoordeeld voor deployment.

Geautomatiseerde tests

Kritieke systemen worden gedekt door geautomatiseerde testsuites die bij elke deploy worden uitgevoerd.

Back-ups

Dagelijks

Geautomatiseerde back-ups elke 24 uur, buiten piekuren.

Versleuteld

Back-upbestanden worden versleuteld opgeslagen. Toegang vereist sleutelbeheer.

30 dagen retentie

Back-ups worden minimaal 30 dagen bewaard, geografisch redundant binnen de EU.

Privacy & AVG/GDPR

Verwerkersovereenkomst (DPA)

Wanneer Coding Agency persoonsgegevens verwerkt in uw opdracht, sluiten wij een DPA conform artikel 28 AVG. Op te vragen via het contactformulier op deze pagina.

Geen deling zonder toestemming

Persoonsgegevens worden nooit gedeeld met derden voor commerciële of marketingdoeleinden.

AI-anonimisatie

Wanneer AI-tools worden ingezet, worden persoonsgegevens geanonimiseerd of gepseudonimiseerd voordat ze worden verwerkt.

Recht op vergetelheid

Op verzoek worden persoonsgegevens verwijderd conform artikel 17 AVG.

Lees het volledige privacybeleid

NIS2 & Cyberbeveiligingswet

De Europese richtlijn NIS2 (2022/2555) verplicht essentiële en belangrijke entiteiten in 18 sectoren — van energie tot zorg, financiën, ICT-dienstverlening en digitale infrastructuur — om hun cyberbeveiliging aantoonbaar op orde te brengen, inclusief de toeleveringsketen. De Nederlandse implementatie via de Cyberbeveiligingswet (Cbw) wordt in 2026 nationaal afdwingbaar; toezicht ligt bij de RDI en NCSC.

Coding Agency valt als eenmanszaak (1 fte) niet zelf onder de richtlijn, maar verwerkt data en levert software voor opdrachtgevers die er wél onder vallen. Daarom is onze aanpak nu al inhoudelijk afgestemd op NIS2 Artikel 21 — zodat opdrachtgevers vanaf inwerkingtreding direct kunnen aantonen dat hun keten op orde is.

NIS2 Art. 21 lid 2 Hoe wij dit invullen Bewijs
a) Risicoanalyse & beleid ISMS conform ISO/IEC 27001:2022, jaarlijks risicoregister, informatiebeveiligingsbeleid (DOC-002). Op verzoek (NDA)
b) Incidentbehandeling Vaste incidentprocedure met detectie, inperking en herstel binnen vooraf gedefinieerde termijnen. ↓ Sectie hieronder
c) Bedrijfscontinuïteit & back-ups Dagelijkse versleutelde back-ups, 30 dagen retentie, geografisch redundant binnen de EU. ↓ Sectie back-ups
d) Supply-chain security Volledige subverwerkersregister, DPA met elke partij, jaarlijkse leveranciersbeoordeling. ↓ Sectie subverwerkers
e) Veiligheid in ontwikkeling & onderhoud Privé Git op EU-infra, dependency scanning, code review, geautomatiseerde tests vóór deploy. ↓ Sectie software
f) Effectiviteitsbeoordeling Evaluatie bij elk significant incident, bij scope-wijzigingen en bij wijzigingen in wet- en regelgeving. Review-ritme is per opdrachtgever contractueel afspreekbaar. Op aanvraag
g) Basishygiëne & training Least privilege, MFA op alle beheeraccounts, security awareness, hardening van workstations. ↓ Sectie toegang
h) Cryptografie TLS 1.2/1.3 in transit, encryptie at rest op schijf- en applicatieniveau, bcrypt voor wachtwoorden. ↓ Sectie beveiliging
i) Personeel & toegangsbeheer SSH key-only toegang, toegangslogging, scheiding productie/development, NDA met freelancers. ↓ Sectie toegang
j) MFA & versleutelde communicatie MFA verplicht op cloud-consoles en kritieke systemen, end-to-end versleutelde e-mail (Proton). ↓ Sectie toegang

Voor inkoop & security-officers: wij leveren op aanvraag een NIS2-supplier statement met directe mapping op Artikel 21, een security one-pager en de DPA. Geschikt om direct toe te voegen aan jouw vendor-dossier.

→ NIS2-eisen aan softwareleveranciers → NIS2 & softwareontwikkeling → Onze NIS2-aanpak in detail

Incidentrespons

Bij een beveiligingsincident of datalek hanteren we een vaste procedure die zowel AVG Artikel 33 als de getrapte meldplicht uit NIS2 Artikel 23 ondersteunt:

1

Detectie, inperking & early warning

< 24 uur

Realtime monitoring detecteert afwijkingen. Bij significante incidenten bij NIS2-pligtige opdrachtgevers ondersteunen wij hen in de early warning aan het CSIRT/NCSC binnen 24 uur (NIS2 Art. 23 lid 4 sub a).

2

Opdrachtgever informeren

Direct

Als verwerker informeren we de verwerkingsverantwoordelijke (opdrachtgever) onverwijld zodat deze aan haar AVG- en NIS2-meldplicht kan voldoen.

3

AP-melding & NIS2-incidentnotificatie

< 72 uur

Datalek met risico voor betrokkenen: melding bij de AP conform AVG Art. 33. Voor NIS2-pligtige klanten leveren wij in dezelfde termijn de informatie voor hun incidentnotificatie aan het CSIRT (NIS2 Art. 23 lid 4 sub b).

4

Eindrapportage

< 1 maand

Bijdrage aan het eindrapport voor opdrachtgevers conform NIS2 Art. 23 lid 4 sub d: root-cause, mitigerende maatregelen en eventuele grensoverschrijdende impact.

5

Registratie & evaluatie

Continu

Elk incident wordt intern gedocumenteerd inclusief oorzaak, impact, getroffen maatregelen en lessons learned — als input voor verbetering van procedures en controls.

Leveranciers & Subverwerkers

Met alle partijen die persoonsgegevens verwerken in onze opdracht is een verwerkersovereenkomst gesloten. Wij delen geen persoonsgegevens met partijen voor commerciële of marketingdoeleinden van derden.

Subverwerker Doel Gegevens Locatie
Amazon Web Services (AWS) Cloudhosting en infrastructuur Alle gegevens die via de website worden verwerkt EU (Frankfurt)
DigitalOcean LLC Cloudhosting en infrastructuur Alle gegevens die via gehoste applicaties worden verwerkt EU (Amsterdam)
Proton AG E-mail (end-to-end versleuteld) E-mailcorrespondentie Zwitserland
Lettermint Transactionele e-mail (formulierbevestigingen) Naam, e-mailadres, berichtinhoud EU
Clear Analytics Privacy-vriendelijke websiteanalytics Geanonimiseerde bezoekgegevens (geen cookies) EU
Bunny.net (Bunny Fonts) Lettertype-CDN IP-adres (bij laden van lettertypes) EU (Slovenië)
Moneybird Boekhouding en facturatie Naam, bedrijfsnaam, adres, e-mailadres, facturatiegegevens EU (Nederland)
Hourly.business Tijdregistratie en urenverantwoording Naam, projectgegevens, gewerkte uren EU
Cody.support Projectmanagement en issue tracking Naam, e-mailadres, projectinhoud, ticketinhoud EU (Frankfurt)
OpenAI Ireland Ltd. AI-verwerking voor chat-assistent Cody Inhoud van chatberichten (niet opgeslagen of gebruikt voor training) EU (Ierland)
Mapbox Inc. Interactieve kaart op contactpagina IP-adres bij laden kaarttegels (telemetrie geblokkeerd) VS (SCC)

Deze lijst wordt bijgewerkt wanneer er wijzigingen plaatsvinden. Bij substantiële wijzigingen worden opdrachtgevers geïnformeerd.

/ Vragen of meldingen

Security
Contact.

Vendor security questionnaire, DPA, NIS2-supplier statement of beveiligingsmelding? Stuur een e-mail — reactie binnen één werkdag.

Op aanvraag beschikbaar

  • Security One-Pager (PDF, voor inkoop)
  • NIS2-supplier statement (mapping op Art. 21)
  • Verwerkersovereenkomst (DPA, AVG Art. 28)

Versie 1.2 · Laatst bijgewerkt: 16 april 2026 · Onderliggende ISMS-documentatie (DOC-001 Scope, DOC-002 Beleid, DOC-003 SoA en risicoregister) op verzoek beschikbaar onder NDA · Beoordeeld op aansluiting met ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2 (EU 2022/2555), Cyberbeveiligingswet en AVG.