Veiligheid en Compliance

Wij weten dat je ons je financiële data toevertrouwt. Dat nemen wij serieus. Hieronder leggen wij uit hoe wij jouw gegevens beschermen.

Data-opslag

Waar wordt mijn data opgeslagen?

Alle data blijft binnen de EU. Wij gebruiken vier diensten, elk in een Europees datacenter:

Supabase (Frankfurt) voor de PostgreSQL database met factuurgegevens en applicatiestatus
Vercel (Frankfurt) voor de webapplicatie
Trigger.dev (Frankfurt) voor achtergrondtaken
Google Vertex AI (Eemshaven) voor AI-verwerking van documenten

Al deze providers zijn ISO 27001 en SOC 2 gecertificeerd. Wij beheren geen eigen fysieke datacenters.

Hoe wordt mijn data versleuteld?

Wij versleutelen data in transit en at rest:

In transit: alle verbindingen lopen via HTTPS met TLS 1.2 of hoger, met HSTS afgedwongen
At rest: de database gebruikt AES-256 encryptie en alle tokens worden versleuteld opgeslagen
Apparaten: schijfencryptie is verplicht voor alle teamleden (BitLocker op Windows, FileVault op Mac)

Wat gebeurt er met documenten die door de AI worden verwerkt?

Onze AI-provider verwerkt documenten om gestructureerde data te extraheren (leverancier, bedragen, btw). De geëxtraheerde data slaan wij op in onze eigen database in Frankfurt.

Geen permanente opslag bij de AI-provider: documenten worden verwerkt en daarna verwijderd. Er is alleen een korte in-memory cache om snelheid en kosten te optimaliseren, met een maximale levensduur van 24 uur. Deze cache is geïsoleerd op projectniveau.

Wordt mijn data gebruikt door derde partijen om AI-modellen te trainen?

Nee, onze AI-provider mag contractueel geen klantdata gebruiken voor training zonder expliciete toestemming.

Privacy en AVG

Is Easybooker AVG-compliant?

Ja. Wij voldoen aan de AVG-richtlijnen voor dataminimalisatie, versleuteling en bewaartermijnen. Concreet betekent dit:

Op verzoek sluiten wij een verwerkersovereenkomst af met boekhouders die onze dienst gebruiken
Bij accountregistratie vragen wij expliciet akkoord met ons privacybeleid en onze algemene voorwaarden
Bij het koppelen van een administratie tonen wij precies welke gegevens wij gaan verwerken
De Exact Online koppeling gebruikt OAuth2 met expliciete toestemming voor elke scope

Zonder expliciete toestemming geen account.

Waar vind ik jullie privacybeleid?

Ons volledige privacybeleid staat op easybooker.nl/policies/privacy. Daarin lees je welke gegevens wij verzamelen, hoe wij ze gebruiken, hoe lang wij ze bewaren, en hoe je een verwijderingsverzoek kunt indienen.

Hoe kan ik mijn toestemming intrekken of mijn gegevens laten verwijderen?

Neem contact met ons op via [email protected]. Wij verwerken verwijderingsverzoeken binnen de wettelijke termijn van 30 dagen.

Toegangsbeveiliging

Hoe beveiligen jullie de toegang tot mijn gegevens?

Wij combineren technische en organisatorische maatregelen:

Technisch:

Sessie-gebaseerde authenticatie met middleware-controles
Least privilege principe: beheerrechten alleen op need-to-know basis
Monitoring op verdachte inlogpogingen

Organisatorisch:

Elk teamlid ondertekent ons interne "Kompas voor Vertrouwen & Veiligheid"
Wachtwoorden en credentials in een versleutelde wachtwoordkluis
Open meldcultuur voor beveiligingsincidenten
Automatische schermvergrendeling na 15 minuten inactiviteit

Wie heeft er toegang tot mijn data?

Alleen teamleden die toegang nodig hebben voor hun werk. Wij hanteren het least privilege principe: je krijgt toegang tot wat je nodig hebt en niet meer. Beheerrechten worden alleen gebruikt wanneer strikt noodzakelijk.

Ontwikkeling en kwaliteit

Hoe zorgen jullie ervoor dat updates veilig zijn?

Elke wijziging doorloopt een gestructureerd proces:

Code review: vier-ogen principe via pull requests op GitHub
Geautomatiseerd testen: tests en linting draaien automatisch via CI
Geleidelijke uitrol: nieuwe functies rollen wij uit via feature flags
Rollback: bij problemen kunnen wij direct terugdraaien
Database recovery: point-in-time recovery mogelijk indien nodig

Volgen jullie best practices voor veilig programmeren?

Ja. Wij volgen OWASP-richtlijnen en passen onder andere toe:

TLS 1.2+ encryptie en HSTS
Security headers inclusief Content Security Policy (CSP)
Input validatie op alle gebruikersinvoer
Sessie-gebaseerde authenticatie met RBAC
Error monitoring zodat wij problemen snel detecteren

Hoe testen jullie op kwetsbaarheden?

Wij evalueren continu:

Dagelijks: geautomatiseerde dependency scanning op bekende kwetsbaarheden
Realtime: runtime error monitoring en detectie van verdachte activiteiten
Bij elke wijziging: code reviews met expliciet aandacht voor security
Cultuur: open meldcultuur waarbij iedereen kwetsbaarheden kan rapporteren

Certificeringen

Hebben jullie ISO 27001 of andere certificeringen?

Wij hebben nog geen formele certificering, maar werken hier actief naartoe. Al onze cloud providers (Supabase, Vercel, Trigger.dev, Google Cloud) zijn wel ISO 27001 en SOC 2 gecertificeerd.

Begin 2026 verwachten wij zelf de ISO 27001 certificering te ondergaan. Tot die tijd hanteren wij intern al processen en maatregelen die daarop aansluiten.

Transparantie

Kan ik zien waarom Easybooker een bepaalde keuze maakt?

Momenteel kun je de beslislog nog niet inzien. Een visuele audit-trail staat op de roadmap en wordt toegevoegd zonder extra kosten. Wij vinden het belangrijk dat je kunt begrijpen hoe wij tot een boeking komen.

Hoe kan ik wijzigingen in mijn administratie traceren?

Alle gebruikersacties en systeemgebeurtenissen worden vastgelegd. Dit vormt de basis voor de audit-trail die wij verder uitbouwen. Vermoed je dat er iets is gebeurd? Meld het en wij zoeken het voor je uit.

PreviousWerking en Functionaliteit NextIntegratie en Roadmap

Last updated 20 days ago

Was this helpful?

hashtagData-opslag

hashtagPrivacy en AVG

hashtagToegangsbeveiliging

hashtagOntwikkeling en kwaliteit

hashtagCertificeringen

hashtagTransparantie