Security &
Vertrouwen.
Jouw data is niet van ons — maar wel onze verantwoordelijkheid. Transparantie over hoe we systemen beveiligen, data beschermen en incidenten afhandelen.
Onze beveiligingspraktijken zijn gebaseerd op de internationale standaard ISO/IEC 27002:2022. Dit is geen certificering, maar een bewuste keuze voor een solide en systematisch kader.
Hosting & Infrastructuur
Alle productieomgevingen draaien op Europese infrastructuur. We werken nooit met infrastructuur buiten de EER voor verwerking van klantdata, tenzij uitdrukkelijk afgesproken.
AWS eu-central-1
Frankfurt, Duitsland
Primaire cloud-infrastructuur
Hetzner
Duitsland / Finland
Dedicated servers & VPS
DigitalOcean
Amsterdam
Aanvullende services
DNS
AWS Route 53 & ClouDNS
DNSSEC-ondersteuning voor bescherming tegen DNS-spoofing.
Gegevensbeveiliging
HTTPS/TLS 1.2–1.3
Alle verbindingen verlopen versleuteld. HSTS-headers zijn actief. HTTP wordt automatisch doorgestuurd naar HTTPS.
Encryptie at rest
Gevoelige gegevens worden versleuteld opgeslagen op schijfniveau en applicatieniveau.
Wachtwoord-hashing via bcrypt
Wachtwoorden worden nooit als platte tekst bewaard. We gebruiken bcrypt met een hoge cost-factor.
Environment variables
Secrets, API-sleutels en database-credentials worden nooit in code opgeslagen. Alles via geheimgehouden omgevingsvariabelen.
Security headers
CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy en Permissions-Policy zijn geconfigureerd op alle productieomgevingen.
Toegangsbeheer
Least privilege
Elk systeem en elke medewerker heeft alleen toegang tot wat strikt noodzakelijk is voor de taak.
Multi-factor authenticatie (MFA)
MFA is verplicht voor alle beheeraccounts, cloud-consoles en kritieke systemen.
SSH key-only toegang
Servers zijn niet bereikbaar via wachtwoord-authenticatie. Alleen asymmetrische sleutels worden geaccepteerd.
Toegangslogging
Alle SSH-sessies en beheertoegang worden gelogd en bewaard.
Softwareontwikkeling
Privé Git-repositories op EU-infrastructuur
Broncode wordt beheerd in privé-repositories die uitsluitend op Europese servers draaien.
Dependency monitoring
Afhankelijkheden worden automatisch gemonitord op bekende kwetsbaarheden via geautomatiseerde security scans.
Code review
Alle wijzigingen in productiesystemen worden beoordeeld voor deployment.
Geautomatiseerde tests
Kritieke systemen worden gedekt door geautomatiseerde testsuites die bij elke deploy worden uitgevoerd.
Back-ups
Dagelijks
Geautomatiseerde back-ups elke 24 uur, buiten piekuren.
Versleuteld
Back-upbestanden worden versleuteld opgeslagen. Toegang vereist sleutelbeheer.
30 dagen retentie
Back-ups worden minimaal 30 dagen bewaard, geografisch redundant binnen de EU.
Privacy & AVG/GDPR
Verwerkersovereenkomst (DPA)
Wanneer Coding Agency persoonsgegevens verwerkt in uw opdracht, sluiten wij een DPA conform artikel 28 AVG. Op te vragen via contact@coding.agency?subject=Security.
Geen deling zonder toestemming
Persoonsgegevens worden nooit gedeeld met derden voor commerciële of marketingdoeleinden.
AI-anonimisatie
Wanneer AI-tools worden ingezet, worden persoonsgegevens geanonimiseerd of gepseudonimiseerd voordat ze worden verwerkt.
Recht op vergetelheid
Op verzoek worden persoonsgegevens verwijderd conform artikel 17 AVG.
Incidentrespons
Bij een beveiligingsincident of datalek hanteren we een vaste procedure:
Detectie & inperking
< 24 uurRealtime monitoring detecteert afwijkingen. Bij een incident wordt direct gehandeld om verdere schade te beperken.
Melding Autoriteit Persoonsgegevens
< 72 uurBij een datalek dat een risico vormt voor betrokkenen melden we dit binnen 72 uur bij de AP, conform artikel 33 AVG.
Opdrachtgever informeren
DirectAls verwerker informeren we de verwerkingsverantwoordelijke (opdrachtgever) onverwijld zodat deze aan de meldplicht kan voldoen.
Registratie & evaluatie
ContinuElk incident wordt intern gedocumenteerd inclusief oorzaak, impact en genomen maatregelen.
Leveranciers & Subverwerkers
Met alle partijen die persoonsgegevens verwerken in onze opdracht is een verwerkersovereenkomst gesloten. Wij delen geen persoonsgegevens met partijen voor commerciële of marketingdoeleinden van derden.
| Subverwerker | Doel | Gegevens | Locatie |
|---|---|---|---|
| Amazon Web Services (AWS) | Cloudhosting en infrastructuur | Alle gegevens die via de website worden verwerkt | EU (Frankfurt) |
| Proton AG | E-mail (end-to-end versleuteld) | E-mailcorrespondentie | Zwitserland |
| Lettermint | Transactionele e-mail (formulierbevestigingen) | Naam, e-mailadres, berichtinhoud | EU |
| Clear Analytics | Privacy-vriendelijke websiteanalytics | Geanonimiseerde bezoekgegevens (geen cookies) | EU |
| Bunny.net (Bunny Fonts) | Lettertype-CDN | IP-adres (bij laden van lettertypes) | EU (Slovenië) |
| Moneybird | Boekhouding en facturatie | Naam, bedrijfsnaam, adres, e-mailadres, facturatiegegevens | EU (Nederland) |
| Hourly.business | Tijdregistratie en urenverantwoording | Naam, projectgegevens, gewerkte uren | EU |
| Cody.support | Projectmanagement en issue tracking | Naam, e-mailadres, projectinhoud, ticketinhoud | EU (Frankfurt) |
| OpenAI Ireland Ltd. | AI-verwerking voor chat-assistent Cody | Inhoud van chatberichten (niet opgeslagen of gebruikt voor training) | EU (Ierland) |
| Mapbox Inc. | Interactieve kaart op contactpagina | IP-adres bij laden kaarttegels (telemetrie geblokkeerd) | VS (SCC) |
Deze lijst wordt bijgewerkt wanneer er wijzigingen plaatsvinden. Bij substantiële wijzigingen worden opdrachtgevers geïnformeerd.
Security
Contact.
Heb je een beveiligingsmelding, wil je een DPA aanvragen, of heb je vragen over hoe Coding Agency met jouw data omgaat? Stuur een e-mail — we reageren binnen één werkdag.
contact@coding.agencyMet subject: Security
