Beveiligingsoverzicht

Laatst bijgewerkt: januari 2025

1. Wie zijn wij

Sainer is een dienst van Kwartiermakers Pioniers B.V., een bedrijf geregistreerd in Nederland.

• Kamer van Koophandel (KvK): 99256010
• Adres: Marie Baronstraat 1, 5026 CG, Tilburg, Nederland
• Beveiliging contact: security@sainer.nl

Wij nemen de beveiliging van uw gegevens serieus. Dit document beschrijft de beveiligingsmaatregelen die wij hebben genomen om uw informatie te beschermen en hoe wij omgaan met beveiligingsgerelateerde zaken.

2. Single Sign-On (SSO) beveiliging

Als u Microsoft of Google gebruikt om in te loggen bij Sainer, is dit wat u moet weten:

Onze apps zijn geverifieerd

Zowel onze Microsoft- als Google SSO-applicaties zijn geverifieerd door respectievelijk Microsoft en Google. Dit betekent dat zij onze applicatie hebben beoordeeld en goedgekeurd voor gebruik met hun inlogdiensten.

Wij vragen alleen wat nodig is

Wanneer u inlogt met Microsoft of Google, vragen wij alleen toegang tot:

• Uw e-mailadres
• Uw naam
• Uw profielfoto (optioneel)

Wij vragen geen toegang tot uw e-mails, bestanden, agenda, contacten of andere gegevens in uw Microsoft- of Google-account.

Uw toegang is niet permanent

• Tokens verlopen automatisch: De toegang die wij ontvangen verloopt en moet worden vernieuwd
• U kunt toegang altijd intrekken: U kunt Sainer op elk moment loskoppelen van uw Microsoft- of Google-account via uw accountbeveiligingsinstellingen
• Wij gebruiken veilige protocollen: Wij gebruiken OAuth 2.0 met PKCE (Proof Key for Code Exchange) voor verbeterde beveiliging

Hoe toegang in te trekken

• Microsoft: Ga naar account.microsoft.com → Beveiliging → App-machtigingen
• Google: Ga naar myaccount.google.com → Beveiliging → Apps van derden met accounttoegang

3. Infrastructuurbeveiliging

Waar uw gegevens zich bevinden

Al onze infrastructuur draait op Google Cloud Platform in de EU:

• Primaire regio: europe-west4 (Nederland)
• Back-up regio: europe-west1 (België)

Uw gegevens verlaten nooit de Europese Unie.

Netwerkbeveiliging

• Privénetwerken: Onze databases en interne diensten zijn niet toegankelijk vanaf het openbare internet
• Versleutelde verbindingen: Alle gegevens onderweg gebruiken TLS-versleuteling (het slotje dat u in uw browser ziet)
• Firewallbescherming: Wij gebruiken strikte firewallregels om te controleren welk verkeer onze systemen kan bereiken
• DDoS-bescherming: Google Cloud's ingebouwde bescherming tegen denial-of-service-aanvallen

Databasebeveiliging

• Alleen privétoegang: Onze databases zijn alleen toegankelijk via privénetwerkverbindingen
• Versleuteling in rust: Alle opgeslagen gegevens zijn versleuteld
• Regelmatige back-ups: Geautomatiseerde dagelijkse back-ups met point-in-time herstel

Geheimenbeheer

• Wachtwoorden, API-sleutels en andere geheimen worden opgeslagen in Google Secret Manager
• Toegang tot geheimen is strikt beperkt en wordt gelogd

4. Applicatiebeveiliging

Authenticatie

• Veilige wachtwoordopslag: Wachtwoorden worden gehasht met industriestandaard algoritmen (wij kunnen uw wachtwoord niet zien)
• Sessiebeheer: Sessies verlopen automatisch na inactiviteit
• Token verversing: Toegangstokens zijn kortlevend en worden automatisch vernieuwd

Autorisatie

• Rolgebaseerde toegang: Gebruikers hebben alleen toegang tot gegevens waarvoor zij geautoriseerd zijn
• Tenantisolatie: Uw gegevens zijn volledig gescheiden van die van andere klanten
• Principe van minimale rechten: Elk onderdeel van ons systeem heeft alleen toegang tot wat het nodig heeft

Invoervalidatie

• Alle gebruikersinvoer wordt gevalideerd voor verwerking
• Wij gebruiken schemavalidatie om te voorkomen dat onjuiste gegevens ons systeem binnenkomen

Webhookbeveiliging

• Externe webhooks worden geverifieerd met HMAC-SHA256-handtekeningen
• Wij valideren de herkomst van alle inkomende verzoeken

5. Gegevensbescherming

AVG-naleving

Wij zijn volledig toegewijd aan AVG-naleving. Dit betekent:

• U heeft het recht om uw gegevens in te zien, te corrigeren en te verwijderen
• U kunt uw gegevens op elk moment exporteren
• Wij verwerken gegevens alleen voor legitieme doeleinden
• Wij hebben verwerkersovereenkomsten met al onze subverwerkers

Verwerkersovereenkomst

Als u een verwerkersovereenkomst nodig heeft voor uw administratie, neem dan contact met ons op via privacy@sainer.nl en wij zullen er een verstrekken.

Bewaartermijnen

• Gespreksopnames en transcripties: Bewaard volgens uw instellingen (standaard 90 dagen)
• Accountgegevens: Bewaard zolang uw account actief is, verwijderd binnen 30 dagen na sluiting van het account
• Logs: Beveiligings- en auditlogs worden 12 maanden bewaard

Uw controle over gegevens

• Exporteren: U kunt uw gegevens exporteren vanuit het dashboard
• Verwijderen: U kunt op elk moment verzoeken om verwijdering van uw gegevens
• Bewaarinstellingen: U kunt configureren hoe lang wij gespreksopnames bewaren

6. Toegangscontrole & Audit

Hoe wij intern toegang beheren

• Principe van minimale rechten: Onze teamleden hebben alleen toegang tot wat zij nodig hebben voor hun rol
• Serviceaccounts: Geautomatiseerde systemen gebruiken toegewijde accounts met minimale rechten
• Regelmatige reviews: Wij beoordelen periodiek wie toegang heeft tot wat

Auditlogging

• Alle gegevenstoegang wordt gelogd
• Administratieve acties worden bijgehouden
• Logs worden bewaard voor beveiligingsanalyse en compliance

Uw auditmogelijkheden

• Bekijk inloggeschiedenis in uw accountinstellingen
• Zie welke teamleden toegang hebben gehad tot wat
• Toegangslogs beschikbaar op verzoek voor enterprise-klanten

7. Incidentrespons & Datalekmelding

Onze toezegging

Als wij een beveiligingsincident ontdekken dat uw gegevens raakt, zullen wij:

1. Direct onderzoeken: Ons team zal de omvang en impact beoordelen
2. Het incident indammen: Stappen ondernemen om verdere ongeautoriseerde toegang te voorkomen
3. U snel informeren: Indien vereist onder de AVG, informeren wij u binnen 72 uur
4. Autoriteiten melden: De Autoriteit Persoonsgegevens (AP) informeren wanneer vereist
5. Details verstrekken: Uitleggen wat er is gebeurd, welke gegevens zijn geraakt en wat wij eraan doen

Hoe een beveiligingsprobleem te melden

Als u een potentieel beveiligingsprobleem ontdekt, neem dan direct contact met ons op:

• E-mail: security@sainer.nl
• Reactietijd: Wij streven ernaar meldingen binnen 24 uur te bevestigen

Wij waarderen verantwoorde openbaarmaking en zullen met u samenwerken om legitieme beveiligingsproblemen aan te pakken.

8. Subverwerkers

Wij werken met vertrouwde partners om onze dienst te leveren. Alle partners:

• Zijn gebonden aan verwerkersovereenkomsten
• Verwerken gegevens in de EU of onder passende waarborgen
• Voldoen aan onze beveiligingseisen

Partner	Doel	Locatie
Google Cloud	Infrastructuur en AI-verwerking	EU (Nederland, België)
Mollie	Betalingsverwerking	Nederland
Mailgun	E-mailbezorging	EU
Sinch	SMS- en WhatsApp-notificaties	EU

Een volledige lijst van subverwerkers is beschikbaar op verzoek.

9. Beveiligingstesten & Monitoring

Wat wij doen

• Kwetsbaarheidsscans: Regelmatige geautomatiseerde scans van onze infrastructuur
• Afhankelijkheidsmonitoring: Wij volgen en updaten bibliotheken van derden om bekende kwetsbaarheden aan te pakken
• Infrastructuurmonitoring: 24/7 monitoring op ongebruikelijke activiteit
• Loganalyse: Geautomatiseerde waarschuwingen voor verdachte patronen

Certificeringen en compliance

• Google Cloud Platform is gecertificeerd voor ISO 27001, SOC 2 en andere standaarden
• Wij volgen best practices op het gebied van beveiliging in lijn met industriestandaarden

10. Wat u kunt doen

Bescherm uw account

• Gebruik een sterk, uniek wachtwoord of SSO
• Schakel tweefactorauthenticatie in wanneer beschikbaar
• Controleer regelmatig de toegang van uw teamleden
• Log uit op gedeelde apparaten

Blijf geïnformeerd

• Houd uw contactgegevens up-to-date zodat wij u kunnen bereiken indien nodig
• Bekijk dit beveiligingsoverzicht periodiek voor updates

Neem contact met ons op

Als u vragen heeft over onze beveiligingspraktijken of aanvullende documentatie nodig heeft voor uw beveiligingsbeoordeling, neem dan contact met ons op:

• Beveiligingsvragen: security@sainer.nl
• Privacyvragen: privacy@sainer.nl
• Algemene ondersteuning: support@sainer.nl

11. Updates van dit document

Wij kunnen dit beveiligingsoverzicht bijwerken naarmate onze praktijken evolueren. Wanneer wij significante wijzigingen aanbrengen, zullen wij de bijwerkdatum bovenaan dit document vermelden.

---

Dit document is verstrekt voor informatieve doeleinden. Voor contractuele beveiligingstoezeggingen verwijzen wij naar uw dienstverleningsovereenkomst of neem contact met ons op voor een aangepast beveiligingsaddendum.