U vertrouwt ons de informatie toe die uw beveiligingspositie beschrijft. Deze pagina documenteert in alle transparantie hoe we deze data beschermen — en wat nog op onze roadmap staat. Geen marketingbeloften, geen normlogo's die we niet behaald hebben. NIS2YOU is in early access: we bouwen onze beveiliging op terwijl onze klanten de hunne bouwen.

• Hosting bij Hetzner Online GmbH, datacenters in Duitsland (Falkenstein / Neurenberg). Hetzner is op infrastructuurniveau ISO 27001-gecertificeerd.
• Uw data blijft binnen de Europese Unie. Geen overdracht naar derde landen in de normale werking van de Service.
• Technische verwerkers (hosting, transactionele e-mail) geselecteerd op basis van hun GDPR-conformiteit en gebonden door een artikel 28-verwerkersovereenkomst.

• In transit: TLS 1.2+ verplicht voor alle client-server-communicatie. HTTPS-redirect afgedwongen. HSTS actief.
• At rest: versleuteling op het opslagsysteem van onze hostingprovider.
• Wachtwoorden: bcrypt-hashing met unieke salt per gebruiker. Geen klare wachtwoorden opgeslagen of gelogd.
• Applicatiesecrets: omgevingsvariabelen geïsoleerd per tenant, nooit gecommit in repository.

• Tweefactor-authenticatie (2FA / TOTP) beschikbaar voor alle gebruikers (Google Authenticator, Authy, 1Password, enz.).
• Hersteltcodes versleuteld en eenmalig bruikbaar voor verlies van tweede factor.
• Strikte multi-tenant-isolatie: elke business-tabel draagt een tenant_id en een global scope past die automatisch toe op elke query. Testdekking via onze Pest-suite TenantIsolationTest.
• Rollen en rechten: 5 niveaus (Owner, Admin, Risk Manager, Contributor, Auditor) met gedetailleerde matrix. De Auditor-rol laat toe uw externe auditor in alleen-lezen uit te nodigen.
• SSO / SAML: op aanvraag, in het Enterprise-plan (komt eraan).

• Automatische dagelijkse snapshots van de infrastructuur (Hetzner Cloud Snapshots), bewaard volgens ons retentiebeleid.
• Tijdens early access zijn de hersteltermijn en de continuïteitsstrategie best-effort-engagementen, geen contractuele SLA.
• Cijfermatige hersteldoelen (RPO/RTO) en een contractuele beschikbaarheids-SLA worden aangeboden in het Enterprise-plan, samen met een multi-DC-replicatiestrategie.

• Elke wijziging aan business-entiteiten (risico's, controles, actieplannen, incidenten, beoordelingen, bedrijfsmiddelen, gebruikers) wordt getraceerd: wie, wanneer, oude waarde, nieuwe waarde.
• Zichtbaar voor de gebruiker via de Audit log-pagina. Raadpleegbaar door de rollen Admin, Risk Manager en Auditor.
• Bewaard zolang de tenant actief is om aan de NIS2 / ISO 27001-traceerbaarheidseisen te voldoen.

• Uw data is uw eigendom. PDF- en CSV/Excel-export te allen tijde beschikbaar vanuit de applicatie; publieke API in ontwikkeling.
• Verwijdering van account: op aanvraag aan dpo@nis2you.com behandelen wij uw verwijderingsverzoek en bevestigen de schrapping per e-mail. U kunt uw register exporteren vóór de definitieve verwijdering.
• Soft-delete op kritieke business-entiteiten om de auditgeschiedenis te bewaren.

• Codebase versiebeheerd op GitHub met verplichte code-review voor merging.
• Continue integratie-pipeline: Pest-testsuite uitgevoerd bij elke push; elke regressie blokkeert deployment.
• Beveiligingsupdates van afhankelijkheden automatisch opgevolgd (Dependabot).
• Geen credentials in broncode. Omgevingsvariabelen versleuteld at rest.

We geloven in transparantie. Dit hebben we nog niet:

• ISO 27001-certificering (interne voorbereiding loopt — de tool die we verkopen helpt ons ook).
• SOC 2 Type II-audit (overwogen in 2027 afhankelijk van commerciële tractie).
• Externe penetratietestprogramma — te plannen op basis van commerciële tractie en klantvragen.
• Publiek responsible disclosure-programma (bug bounty).
• Contractuele beschikbaarheids-SLA met multi-DC-replicatiestrategie (gekoppeld aan het Enterprise-plan).

• Kwetsbaarheid, beveiligingsincident of GDPR-vraag: dpo@nis2you.com
• GDPR-verwerkersovereenkomst (DPA): beschikbaar op aanvraag bij dpo@nis2you.com

We nemen kwetsbaarheidsmeldingen ernstig en engageren ons tot een antwoord binnen 72 werkuren.

📄 May 2026 (v1.0) — Latest · PDF downloaden