Beveiligingsbeleid

Veiligheid eerst. Touripedia is publieke infrastructuur. Wij beschermen de data die jij aanlevert of bevestigt met technische én organisatorische maatregelen. Hieronder lees je wat we doen — helder en zonder jargon.

Meld een kwetsbaarheid

Status & beschikbaarheid

Samenvatting in 30 seconden

Transportbeveiliging: alle verkeer verloopt via HTTPS (TLS) tussen jouw browser, onze diensten en leveranciers.
Toegangsbeheer: “least privilege”, verplichte MFA voor beheerders, rolgebaseerde rechten (RBAC).
Data-minimalisatie: we verwerken alleen wat nodig is om jouw informatie vindbaar en actueel te maken.
Back-ups & herstel: reguliere back-ups en getest herstelproces.
Incidentrespons: vast draaiboek; we informeren betrokkenen bij relevante incidenten.

Onze standaarden

Privacy by design & default: standaard zo weinig mogelijk data, zo kort mogelijk bewaard.
Security by design: code-reviews, afhankelijkheden up-to-date, scheiding tussen test en productie.
Leveranciersbeheer: subverwerkers met passende beveiliging; verwerkersovereenkomsten (DPA) op verzoek beschikbaar.

Transparantie over subverwerkers

We publiceren een actuele lijst van subverwerkers in onze DPA/verwerkersovereenkomst en op de statuspagina bij wijzigingen die impact hebben.

Techniek & infrastructuur

Versleuteling tijdens transport: HTTPS/TLS voor alle externe interfaces en interne service-koppelingen waar mogelijk.
Versleuteling in opslag: opslag bij onze providers met schijfversleuteling; waar passend aanvullende applicatie-encryptie.
Scheiding omgevingen: ontwikkel/test gescheiden van productie; aparte credentials en gegevenssets.
Geheimbeheer: API-sleutels en wachtwoorden in een geheimkluis; periodieke rotatie.
API-beveiliging: authenticatie, throttling/rate-limits en logging op API-niveau.
Beschikbaarheid: redundante componenten waar mogelijk, monitoring en alerting 24/7.

Back-ups & retentie

Reguliere back-ups van kernsystemen met een retentie van [XX dagen]. Jaarlijks testen we het herstel (restore test) en documenteren we doorlooptijd en eventuele verbeteringen.

Kwetsbaarheden & patching

We volgen een vast patch-ritme voor OS en bibliotheken. Kritieke kwetsbaarheden (CVSS hoog/critisch) krijgen voorrang en worden buiten het reguliere ritme om verholpen. Bibliotheken worden geautomatiseerd gescand op bekende issues.

Operationele beveiliging

Toegang & rollen: rolgebaseerde toegang (RBAC), “need-to-know”, periodieke review van rechten.
MFA verplicht: voor beheerders- en ontwikkelaccounts.
Loggen & monitoring: beveiligingsrelevante gebeurtenissen worden gelogd en gemonitord.
Change-management: wijzigingen via pull-requests, review en geautomatiseerde checks.

Incidentrespons

We hebben een draaiboek met rollen, triage (SEV-niveaus), containment en communicatie. Bij een datalek of beveiligingsincident met risico voor betrokkenen melden we dit conform wetgeving en informeren we direct de betrokken partijen.

Data & AVG

Rollen & grondslagen: we werken zo veel mogelijk met openbare bedrijfsinformatie; waar persoonsgegevens voorkomen, hanteren we passende grondslagen en verwerkersafspraken.
Bewaartermijnen: niet langer dan nodig voor het doel of wettelijke termijnen.
Rechten van betrokkenen: inzage, correctie, verwijdering via ons rechtenformulier.

Locatie & doorgifte

We beperken dataopslag en verwerking tot de EU waar mogelijk. Als doorgifte buiten de EU nodig is, waarborgen we passende waarborgen (bijv. standaardcontractbepalingen) en informeren we daarover in de DPA.

Privacy & cookies

Zie onze privacyverklaring en cookie-informatie voor details over persoonsgegevens, doelen en rechten.

Testen & audits

Kwetsbaarheidsscans: periodiek op platform en componenten.
Externe tests: waar relevant organiseren we (gecontroleerde) penetratietests.
Responsible disclosure: meldpunt voor externe onderzoekers en partners.

Responsible disclosure beleid

Zie ons beleid & meldformulier. Meld vermoedelijke kwetsbaarheden vertrouwelijk en geef ons de tijd om te verhelpen. We bevestigen ontvangst en houden je op de hoogte.

Jouw rol als data-aanleveraar

Rechten op materiaal: lever alleen teksten/afbeeldingen aan waarvoor je rechten hebt (zie ook algemene voorwaarden).
Nauwkeurigheid: houd je informatie actueel; oude gegevens kunnen verwarring veroorzaken.
Beperken van persoonsgegevens: plaats geen onnodige persoonsgegevens in vrije tekst velden.

Misbruik of incident gezien?

Meld het via [VERVANG-EMAIL-SECURITY] of het meldformulier. Voeg waar mogelijk tijdstip, URL en een korte omschrijving toe.

Contact & documenten

Security contact: [VERVANG-EMAIL-SECURITY]
Status & storingen: [VERVANG-URL-STATUS]
Verwerkersovereenkomst (DPA): opvragen/inzien
Privacyverklaring: bekijken

Laatste update: [DD-MM-JJJJ]. Dit document beschrijft onze huidige praktijken en kan periodiek worden bijgewerkt.