Beveiligingsverklaring

Versie 1.0 — laatst bijgewerkt op 15 april 2026.

Document Works neemt de beveiliging van uw gegevens serieus. Op deze pagina vatten wij samen hoe wij de Dienst technisch en organisatorisch beschermen. Voor de bredere privacycontext verwijzen wij naar onze Privacyverklaring. Een gedetailleerd security- whitepaper is op verzoek beschikbaar voor zakelijke klanten via security@document.works.

Architectuur en hosting

  • Alle infrastructuur draait op eigen servers bij Hetzner Online (DE/FI), volledig binnen de Europese Economische Ruimte.
  • Geen onderdeel van de standaard Dienst is afhankelijk van Amerikaanse cloudproviders. AI-functies maken uitsluitend gebruik van Mistral AI (FR) onder Scale Plan met Zero Data Retention.
  • Productie-omgeving is gescheiden van ontwikkel- en test-omgevingen.

Versleuteling

  • Op transport: TLS 1.2+ voor alle publieke endpoints, met HSTS-preload voor alle hoofd-domeinen. Modern cipher-beleid (geen RC4, geen SSLv3, geen TLS 1.0/1.1).
  • Op rust:
    • Database-back-ups worden GPG-versleuteld voordat zij worden opgeslagen.
    • Inloggegevens van gekoppelde diensten (IMAP, SMTP, OAuth-tokens, CalDAV-wachtwoorden) worden in de database versleuteld met een aparte sleutel (ENCRYPTION_KEY), losgekoppeld van andere geheimen zodat sleutel-rotatie geen impact heeft op andere onderdelen.
    • Wachtwoorden worden niet als platte tekst opgeslagen; authenticatie verloopt via een dedicated identiteitsprovider met moderne hashing-algoritmen (argon2 of vergelijkbaar).

Authenticatie en toegang

  • OIDC-authenticatie via een dedicated identiteitsprovider, met optionele tweefactor-authenticatie.
  • Korte sessietokens (30 minuten) voor document-bewerksessies, in plaats van langlopende tokens, om risico bij token-lekken te beperken.
  • Strikt RBAC voor multi-tenant data: rij-niveau-tenant-isolatie in de database, audit-logs op rolwijzigingen.
  • Toegang van Document Works-medewerkers tot productie-omgevingen is beperkt tot een klein aantal beheerders, op need-to-know-basis, altijd via SSH-sleutels (geen wachtwoorden), en gelogd.

Webbeveiliging

  • Strikte Content Security Policy met nonce-gebaseerde script- bronnen (geen unsafe-inline, geen unsafe-eval).
  • Defensieve HTTP-headers: X-Frame-Options: SAMEORIGIN, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy beperkt tot wat de Dienst echt nodig heeft.
  • Ratelimiting op authenticatie- en API-endpoints; agressieve blokkades voor brute-force en credential stuffing.
  • CSRF-bescherming via standaard CSRF-tokens.

Logging en monitoring

  • Centrale verzameling van applicatie- en infrastructuur-logs voor beveiligings- en operationele doeleinden.
  • Auditlogs op gevoelige acties (login, mislukte loginpogingen, wijzigingen in rechten, toegang tot documenten, deeloperaties).
  • Bewaartermijn: 12 maanden voor auditlogs, 30 dagen voor systeem- en errorlogs.

Back-ups en herstel

  • Versleutelde back-ups van alle databases, met een rolling window van maximaal 30 dagen.
  • Periodiek getest herstelplan om te verifiëren dat back-ups bruikbaar zijn.
  • Geografische redundantie tussen Hetzner data centers binnen de EER.

Sub-verwerker-beheer

  • Beperkte set sub-verwerkers (Mistral, Hetzner). Zie de openbare sub-verwerkerslijst.
  • Met elke sub-verwerker is een schriftelijke verwerkers- overeenkomst (DPA) onder AVG art. 28 gesloten.
  • Wijzigingen worden minimaal 30 dagen vooraf aangekondigd.

Beveiligingsmeldingen en kwetsbaarheidsbeleid

Wij staan open voor verantwoorde disclosure van beveiligings- problemen. Stuur uw bevindingen naar security@document.works en geef ons een redelijke termijn om het probleem op te lossen voordat u openbaar maakt. Zie ook /.well-known/security.txt.

Datalekken

In geval van een datalek volgen wij de procedure van AVG art. 33/34:

  • Bij een meldplichtig datalek doen wij binnen 72 uur een melding bij de Autoriteit Persoonsgegevens.
  • Bij een datalek met een hoog risico voor betrokkenen informeren wij hen rechtstreeks, of via onze zakelijke klant indien de klant verwerkingsverantwoordelijke is.
  • Wij voeren een interne post-mortem uit en delen relevante mitigaties met onze zakelijke klanten.

Roadmap

Beveiliging is een doorlopend proces. Geplande verbeteringen omvatten onder meer: SOC 2 / ISO 27001-traject (nader te plannen), uitbreiding van zelf-gehoste AI-componenten om sub-verwerker-bereik verder in te perken, en periodieke pentests door een externe partij.