Logo voor Touripedia, met een locatiepin met gestileerd landschap en gebouwen, naast de tekst Touripedia en de tagline Open Tourism Database.
Login

Beveiligingsbeleid

 

Veiligheid eerst.

Touripedia is publieke infrastructuur. Wij beschermen de data die jij aanlevert of bevestigt met technische én organisatorische maatregelen. Hieronder lees je wat we doen — helder en zonder jargon.

 

Samenvatting in 30 seconden

  • Transportbeveiliging: alle verkeer verloopt via HTTPS (TLS) tussen jouw browser, onze diensten en leveranciers.
  • Toegangsbeheer: “least privilege”, verplichte MFA voor beheerders, rolgebaseerde rechten (RBAC).
  • Data-minimalisatie: we verwerken alleen wat nodig is om jouw informatie vindbaar en actueel te maken.
  • Back-ups & herstel: reguliere back-ups en getest herstelproces.
  • Incidentrespons: vast draaiboek; we informeren betrokkenen bij relevante incidenten.

 

Onze standaarden

  • Privacy by design & default: standaard zo weinig mogelijk data, zo kort mogelijk bewaard.
  • Security by design: code-reviews, afhankelijkheden up-to-date, scheiding tussen test en productie.
  • Leveranciersbeheer: subverwerkers met passende beveiliging; verwerkersovereenkomsten (DPA) op verzoek beschikbaar.

 

Transparantie over subverwerkers
We publiceren een actuele lijst van subverwerkers in onze DPA/verwerkersovereenkomst en op de statuspagina bij wijzigingen die impact hebben.

Techniek & infrastructuur

  • Versleuteling tijdens transport: HTTPS/TLS voor alle externe interfaces en interne service-koppelingen waar mogelijk.
  • Versleuteling in opslag: opslag bij onze providers met schijfversleuteling; waar passend aanvullende applicatie-encryptie.
  • Scheiding omgevingen: ontwikkel/test gescheiden van productie; aparte credentials en gegevenssets.
  • Geheimbeheer: API-sleutels en wachtwoorden in een geheimkluis; periodieke rotatie.
  • API-beveiliging: authenticatie, throttling/rate-limits en logging op API-niveau.
  • Beschikbaarheid: redundante componenten waar mogelijk, monitoring en alerting 24/7.

Back-ups & retentie
Reguliere back-ups van kernsystemen met een retentie van [XX dagen]. Jaarlijks testen we het herstel (restore test) en documenteren we doorlooptijd en eventuele verbeteringen.
Kwetsbaarheden & patching
We volgen een vast patch-ritme voor OS en bibliotheken. Kritieke kwetsbaarheden (CVSS hoog/critisch) krijgen voorrang en worden buiten het reguliere ritme om verholpen. Bibliotheken worden geautomatiseerd gescand op bekende issues.

 

Operationele beveiliging

  • Toegang & rollen: rolgebaseerde toegang (RBAC), “need-to-know”, periodieke review van rechten.
  • MFA verplicht: voor beheerders- en ontwikkelaccounts.
  • Loggen & monitoring: beveiligingsrelevante gebeurtenissen worden gelogd en gemonitord.
  • Change-management: wijzigingen via pull-requests, review en geautomatiseerde checks.

Incidentrespons
We hebben een draaiboek met rollen, triage (SEV-niveaus), containment en communicatie. Bij een datalek of beveiligingsincident met risico voor betrokkenen melden we dit conform wetgeving en informeren we direct de betrokken partijen.

 

Data & AVG

  • Rollen & grondslagen: we werken zo veel mogelijk met openbare bedrijfsinformatie; waar persoonsgegevens voorkomen, hanteren we passende grondslagen en verwerkersafspraken.
  • Bewaartermijnen: niet langer dan nodig voor het doel of wettelijke termijnen.
  • Rechten van betrokkenen: inzage, correctie, verwijdering via ons rechtenformulier.

Locatie & doorgifte
We beperken dataopslag en verwerking tot de EU waar mogelijk. Als doorgifte buiten de EU nodig is, waarborgen we passende waarborgen (bijv. standaardcontractbepalingen) en informeren we daarover in de DPA.
Privacy & cookies
Zie onze privacyverklaring en cookie-informatie voor details over persoonsgegevens, doelen en rechten.

 

Testen & audits

  • Kwetsbaarheidsscans: periodiek op platform en componenten.
  • Externe tests: waar relevant organiseren we (gecontroleerde) penetratietests.
  • Responsible disclosure: meldpunt voor externe onderzoekers en partners.

Responsible disclosure beleid
Zie ons beleid & meldformulier. Meld vermoedelijke kwetsbaarheden vertrouwelijk en geef ons de tijd om te verhelpen. We bevestigen ontvangst en houden je op de hoogte.

 

Jouw rol als data-aanleveraar

  • Rechten op materiaal: lever alleen teksten/afbeeldingen aan waarvoor je rechten hebt (zie ook algemene voorwaarden).
  • Nauwkeurigheid: houd je informatie actueel; oude gegevens kunnen verwarring veroorzaken.
  • Beperken van persoonsgegevens: plaats geen onnodige persoonsgegevens in vrije tekst velden.

Misbruik of incident gezien?
Meld het via info@touripedia.nl. Voeg waar mogelijk tijdstip, URL en een korte omschrijving toe.

 

Contact & documenten

 

Laatste update: [12-01-2026]. Dit document beschrijft onze huidige praktijken en kan periodiek worden bijgewerkt.