---
title: "Security & Vertrouwen"
description: "Hoe Coding Agency jouw data beschermt. ISO 27002-gebaseerde beveiliging, Europese hosting, AVG-compliance en transparante incidentrespons."
url: https://coding.agency/security-vertrouwen
source: Coding Agency (https://coding.agency)
language: nl
---

/ Vertrouwen als fundament#  Security &amp;  
 Vertrouwen. 

 Jouw data is niet van ons — maar wel onze verantwoordelijkheid. Transparantie over hoe we systemen beveiligen, data beschermen en incidenten afhandelen.

 ISO/IEC 27002:2022 

 Onze beveiligingspraktijken zijn gebaseerd op de internationale standaard ISO/IEC 27002:2022. Dit is geen certificering, maar een bewuste keuze voor een solide en systematisch kader.

    [ Hosting ](#hosting) [ Beveiliging ](#gegevensbeveiliging) [ Toegang ](#toegangsbeheer) [ Software ](#softwareontwikkeling) [ Back-ups ](#backups) [ Privacy ](#privacy) [ Incidenten ](#incidentrespons) [ Subverwerkers ](#subverwerkers) [ Contact ](#contact) 

Inhoud

 [  Hosting &amp; Infrastructuur ](#hosting) [  Gegevensbeveiliging ](#gegevensbeveiliging) [  Toegangsbeheer ](#toegangsbeheer) [  Softwareontwikkeling ](#softwareontwikkeling) [  Back-ups ](#backups) [  Privacy &amp; AVG ](#privacy) [  Incidentrespons ](#incidentrespons) [  Leveranciers &amp; Subverwerkers ](#subverwerkers) [  Contact ](#contact) 

## Hosting &amp; Infrastructuur

Alle productieomgevingen draaien op Europese infrastructuur. We werken nooit met infrastructuur buiten de EER voor verwerking van klantdata, tenzij uitdrukkelijk afgesproken.

AWS eu-central-1

Frankfurt, Duitsland

Primaire cloud-infrastructuur

Hetzner

Duitsland / Finland

Dedicated servers &amp; VPS

DigitalOcean

Amsterdam

Aanvullende services

DNS

AWS Route 53 &amp; ClouDNS

DNSSEC-ondersteuning voor bescherming tegen DNS-spoofing.

## Gegevensbeveiliging

HTTPS/TLS 1.2–1.3

Alle verbindingen verlopen versleuteld. HSTS-headers zijn actief. HTTP wordt automatisch doorgestuurd naar HTTPS.

Encryptie at rest

Gevoelige gegevens worden versleuteld opgeslagen op schijfniveau en applicatieniveau.

Wachtwoord-hashing via bcrypt

Wachtwoorden worden nooit als platte tekst bewaard. We gebruiken bcrypt met een hoge cost-factor.

Environment variables

Secrets, API-sleutels en database-credentials worden nooit in code opgeslagen. Alles via geheimgehouden omgevingsvariabelen.

Security headers

CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy en Permissions-Policy zijn geconfigureerd op alle productieomgevingen.

## Toegangsbeheer

Least privilege

Elk systeem en elke medewerker heeft alleen toegang tot wat strikt noodzakelijk is voor de taak.

Multi-factor authenticatie (MFA)

MFA is verplicht voor alle beheeraccounts, cloud-consoles en kritieke systemen.

SSH key-only toegang

Servers zijn niet bereikbaar via wachtwoord-authenticatie. Alleen asymmetrische sleutels worden geaccepteerd.

Toegangslogging

Alle SSH-sessies en beheertoegang worden gelogd en bewaard.

## Softwareontwikkeling

Privé Git-repositories op EU-infrastructuur

Broncode wordt beheerd in privé-repositories die uitsluitend op Europese servers draaien.

Dependency monitoring

Afhankelijkheden worden automatisch gemonitord op bekende kwetsbaarheden via geautomatiseerde security scans.

Code review

Alle wijzigingen in productiesystemen worden beoordeeld voor deployment.

Geautomatiseerde tests

Kritieke systemen worden gedekt door geautomatiseerde testsuites die bij elke deploy worden uitgevoerd.

## Back-ups

Dagelijks

Geautomatiseerde back-ups elke 24 uur, buiten piekuren.

Versleuteld

Back-upbestanden worden versleuteld opgeslagen. Toegang vereist sleutelbeheer.

30 dagen retentie

Back-ups worden minimaal 30 dagen bewaard, geografisch redundant binnen de EU.

## Privacy &amp; AVG/GDPR

Verwerkersovereenkomst (DPA)

Wanneer Coding Agency persoonsgegevens verwerkt in uw opdracht, sluiten wij een DPA conform artikel 28 AVG. Op te vragen via contact@coding.agency?subject=Security.

Geen deling zonder toestemming

Persoonsgegevens worden nooit gedeeld met derden voor commerciële of marketingdoeleinden.

AI-anonimisatie

Wanneer AI-tools worden ingezet, worden persoonsgegevens geanonimiseerd of gepseudonimiseerd voordat ze worden verwerkt.

Recht op vergetelheid

Op verzoek worden persoonsgegevens verwijderd conform artikel 17 AVG.

 [ Lees het volledige privacybeleid ](https://coding.agency/privacy) 

## Incidentrespons

Bij een beveiligingsincident of datalek hanteren we een vaste procedure:

 1 

Detectie &amp; inperking

 &lt; 24 uur 

Realtime monitoring detecteert afwijkingen. Bij een incident wordt direct gehandeld om verdere schade te beperken.

 2 

Melding Autoriteit Persoonsgegevens

 &lt; 72 uur 

Bij een datalek dat een risico vormt voor betrokkenen melden we dit binnen 72 uur bij de AP, conform artikel 33 AVG.

 3 

Opdrachtgever informeren

 Direct 

Als verwerker informeren we de verwerkingsverantwoordelijke (opdrachtgever) onverwijld zodat deze aan de meldplicht kan voldoen.

 4 

Registratie &amp; evaluatie

 Continu 

Elk incident wordt intern gedocumenteerd inclusief oorzaak, impact en genomen maatregelen.

## Leveranciers &amp; Subverwerkers

Met alle partijen die persoonsgegevens verwerken in onze opdracht is een verwerkersovereenkomst gesloten. Wij delen geen persoonsgegevens met partijen voor commerciële of marketingdoeleinden van derden.

 | Subverwerker | Doel | Gegevens | Locatie |

| Amazon Web Services (AWS) | Cloudhosting en infrastructuur | Alle gegevens die via de website worden verwerkt | EU (Frankfurt) |
| Proton AG | E-mail (end-to-end versleuteld) | E-mailcorrespondentie | Zwitserland |
| Lettermint | Transactionele e-mail (formulierbevestigingen) | Naam, e-mailadres, berichtinhoud | EU |
| Clear Analytics | Privacy-vriendelijke websiteanalytics | Geanonimiseerde bezoekgegevens (geen cookies) | EU |
| Bunny.net (Bunny Fonts) | Lettertype-CDN | IP-adres (bij laden van lettertypes) | EU (Slovenië) |
| Moneybird | Boekhouding en facturatie | Naam, bedrijfsnaam, adres, e-mailadres, facturatiegegevens | EU (Nederland) |
| Hourly.business | Tijdregistratie en urenverantwoording | Naam, projectgegevens, gewerkte uren | EU |
| Cody.support | Projectmanagement en issue tracking | Naam, e-mailadres, projectinhoud, ticketinhoud | EU (Frankfurt) |
| OpenAI Ireland Ltd. | AI-verwerking voor chat-assistent Cody | Inhoud van chatberichten (niet opgeslagen of gebruikt voor training) | EU (Ierland) |
| Mapbox Inc. | Interactieve kaart op contactpagina | IP-adres bij laden kaarttegels (telemetrie geblokkeerd) | VS (SCC) |

Deze lijst wordt bijgewerkt wanneer er wijzigingen plaatsvinden. Bij substantiële wijzigingen worden opdrachtgevers geïnformeerd.

   / Vragen of meldingen##  Security  
Contact. 

 Heb je een beveiligingsmelding, wil je een DPA aanvragen, of heb je vragen over hoe Coding Agency met jouw data omgaat? Stuur een e-mail — we reageren binnen één werkdag.

 [ contact@coding.agency ](mailto:contact@coding.agency?subject=Security)Met subject: Security

---
*Bron: [Coding Agency](https://coding.agency/security-vertrouwen)*