# Veiligheid en Compliance
Wij weten dat je ons je financiële data toevertrouwt. Dat nemen wij serieus. Hieronder leggen wij uit hoe wij jouw gegevens beschermen.
## Data-opslag
Waar wordt mijn data opgeslagen?
Alle data blijft binnen de EU. Wij gebruiken vier diensten, elk in een Europees datacenter:
* **Supabase** (Frankfurt) voor de PostgreSQL database met factuurgegevens en applicatiestatus
* **Vercel** (Frankfurt) voor de webapplicatie
* **Trigger.dev** (Frankfurt) voor achtergrondtaken
* **Google Vertex AI** (Eemshaven) voor AI-verwerking van documenten
Al deze providers zijn ISO 27001 en SOC 2 gecertificeerd. Wij beheren geen eigen fysieke datacenters.
Hoe wordt mijn data versleuteld?
Wij versleutelen data in transit en at rest:
* **In transit**: alle verbindingen lopen via HTTPS met TLS 1.2 of hoger, met HSTS afgedwongen
* **At rest**: de database gebruikt AES-256 encryptie en alle tokens worden versleuteld opgeslagen
* **Apparaten**: schijfencryptie is verplicht voor alle teamleden (BitLocker op Windows, FileVault op Mac)
Wat gebeurt er met documenten die door de AI worden verwerkt?
Onze AI-provider verwerkt documenten om gestructureerde data te extraheren (leverancier, bedragen, btw). De geëxtraheerde data slaan wij op in onze eigen database in Frankfurt.
**Geen permanente opslag bij de AI-provider**: documenten worden verwerkt en daarna verwijderd. Er is alleen een korte in-memory cache om snelheid en kosten te optimaliseren, met een maximale levensduur van 24 uur. Deze cache is geïsoleerd op projectniveau.
Wordt mijn data gebruikt door derde partijen om AI-modellen te trainen?
Nee, onze AI-provider mag contractueel geen klantdata gebruiken voor training zonder expliciete toestemming.
## Privacy en AVG
Is Easybooker AVG-compliant?
Ja. Wij voldoen aan de AVG-richtlijnen voor dataminimalisatie, versleuteling en bewaartermijnen. Concreet betekent dit:
* Op verzoek sluiten wij een **verwerkersovereenkomst** af met boekhouders die onze dienst gebruiken
* Bij accountregistratie vragen wij expliciet akkoord met ons privacybeleid en onze algemene voorwaarden
* Bij het koppelen van een administratie tonen wij precies welke gegevens wij gaan verwerken
* De Exact Online koppeling gebruikt OAuth2 met expliciete toestemming voor elke scope
Zonder expliciete toestemming geen account.
Waar vind ik jullie privacybeleid?
Ons volledige privacybeleid staat op [easybooker.nl/policies/privacy](https://easybooker.nl/policies/privacy). Daarin lees je welke gegevens wij verzamelen, hoe wij ze gebruiken, hoe lang wij ze bewaren, en hoe je een verwijderingsverzoek kunt indienen.
Hoe kan ik mijn toestemming intrekken of mijn gegevens laten verwijderen?
Neem contact met ons op via . Wij verwerken verwijderingsverzoeken binnen de wettelijke termijn van 30 dagen.
## Toegangsbeveiliging
Hoe beveiligen jullie de toegang tot mijn gegevens?
Wij combineren technische en organisatorische maatregelen:
**Technisch:**
* Sessie-gebaseerde authenticatie met middleware-controles
* Least privilege principe: beheerrechten alleen op need-to-know basis
* Monitoring op verdachte inlogpogingen
**Organisatorisch:**
* Elk teamlid ondertekent ons interne "Kompas voor Vertrouwen & Veiligheid"
* Wachtwoorden en credentials in een versleutelde wachtwoordkluis
* Open meldcultuur voor beveiligingsincidenten
* Automatische schermvergrendeling na 15 minuten inactiviteit
Wie heeft er toegang tot mijn data?
Alleen teamleden die toegang nodig hebben voor hun werk. Wij hanteren het least privilege principe: je krijgt toegang tot wat je nodig hebt en niet meer. Beheerrechten worden alleen gebruikt wanneer strikt noodzakelijk.
## Ontwikkeling en kwaliteit
Hoe zorgen jullie ervoor dat updates veilig zijn?
Elke wijziging doorloopt een gestructureerd proces:
1. **Code review**: vier-ogen principe via pull requests op GitHub
2. **Geautomatiseerd testen**: tests en linting draaien automatisch via CI
3. **Geleidelijke uitrol**: nieuwe functies rollen wij uit via feature flags
4. **Rollback**: bij problemen kunnen wij direct terugdraaien
5. **Database recovery**: point-in-time recovery mogelijk indien nodig
Volgen jullie best practices voor veilig programmeren?
Ja. Wij volgen OWASP-richtlijnen en passen onder andere toe:
* TLS 1.2+ encryptie en HSTS
* Security headers inclusief Content Security Policy (CSP)
* Input validatie op alle gebruikersinvoer
* Sessie-gebaseerde authenticatie met RBAC
* Error monitoring zodat wij problemen snel detecteren
Hoe testen jullie op kwetsbaarheden?
Wij evalueren continu:
* **Dagelijks**: geautomatiseerde dependency scanning op bekende kwetsbaarheden
* **Realtime**: runtime error monitoring en detectie van verdachte activiteiten
* **Bij elke wijziging**: code reviews met expliciet aandacht voor security
* **Cultuur**: open meldcultuur waarbij iedereen kwetsbaarheden kan rapporteren
## Certificeringen
Hebben jullie ISO 27001 of andere certificeringen?
Wij hebben nog geen formele certificering, maar werken hier actief naartoe. Al onze cloud providers (Supabase, Vercel, Trigger.dev, Google Cloud) zijn wel ISO 27001 en SOC 2 gecertificeerd.
Begin 2026 verwachten wij zelf de ISO 27001 certificering te ondergaan. Tot die tijd hanteren wij intern al processen en maatregelen die daarop aansluiten.
## Transparantie
Kan ik zien waarom Easybooker een bepaalde keuze maakt?
Momenteel kun je de beslislog nog niet inzien. Een visuele audit-trail staat op de roadmap en wordt toegevoegd zonder extra kosten. Wij vinden het belangrijk dat je kunt begrijpen hoe wij tot een boeking komen.
Hoe kan ik wijzigingen in mijn administratie traceren?
Alle gebruikersacties en systeemgebeurtenissen worden vastgelegd. Dit vormt de basis voor de audit-trail die wij verder uitbouwen. Vermoed je dat er iets is gebeurd? Meld het en wij zoeken het voor je uit.