Naar de inhoud
Terug naar Maison
Veiligheid · niet als marketing

Waar uw data woont, en wie erbij kan.

Bedoeld voor de IT-afdeling van prospects: een rechte, vrij technische schets van hoe Hops veiligheid behandelt — niet als badge op de marketingpagina, maar als architectuur.

Geen pictogrammen-vlag. Wel feiten over Microsoft Azure, Entra, Key Vault en row-level security.

Waar de data woont

EU-West · Amsterdam.

Alle klantdata wordt opgeslagen op Microsoft Azure in regio West Europe (Amsterdam). Geen Atlantische Oceaan, geen tweede dataverwerker buiten de EU.

De database is Azure Database for PostgreSQL · Flexible Server, met point-in-time-restore tot 14 dagen terug. Backups runnen dagelijks en worden in dezelfde regio bewaard. Eén Postgres-instance per module, geen gedeelde gigantische pot.

Wie kan erbij

Microsoft Entra External ID.

Inloggen gaat via Microsoft Entra External ID (Microsoft's identity-platform voor klantgerichte apps). Geen eigen wachtwoord-hash-tabel, geen zelf-gerolde JWT. Browser-flow is auth-code + PKCE; e-mail/wachtwoord binnen de app loopt over Microsoft Native Auth.

De sessie-cookie is host-bound per subdomein (__Host-session) — een Bistro-Bontje-tab kan fysiek geen cookie zien van een ander huis.

Tenant-isolatie · in lekentaal

Elk huis heeft zijn eigen sleutel.

Iedere zaak heeft een eigen tenant-ID. Elke rij in elke tabel draagt die ID. Op database-niveau staat row-level security aan — Postgres weigert iedere query die niet bij de juiste tenant past, ook al zou een ontwikkelaar dat per ongeluk vergeten.

De Postgres-rol die de app gebruikt is NOBYPASSRLS: zelfs een SQL-injectie kan de muur niet omhelzen. Dit is de maatregel die een ketenrestaurant en een familiebedrijf naast elkaar op één platform mogelijk maakt.

Compliance

AVG-conform · NEN 7510-pad.

Hops is AVG / GDPR-conform opgezet: dataminimalisatie, verwerkersovereenkomst beschikbaar, recht-op-export via één klik. Logging anonimiseert IP's na 30 dagen.

We bewandelen het pad richting NEN 7510 (Nederlandse norm informatiebeveiliging zorg & horeca-aanverwant). Sub-verwerkers staan publiek opgelijst — vraag de lijst op via legal@hopsapp.nl.

Geheimen

Azure Key Vault · managed identity.

Geen .env in productie. Geen geheimen in een Docker-image. Alle credentials wonen in Azure Key Vault met RBAC en toegang via managed identity — de container haalt zijn sleutels op uit het platform, niemand kopieert een token naar zijn laptop.

Rotatie kan zonder downtime; iedere uitgegeven sleutel heeft een audit-spoor.

Pen-test & audits

Gepland Q3 2026.

Een externe penetratie-test is gepland voor Q3 2026. Tot dan publiceren we geen rapport — we zijn liever eerlijk dan vroeg. Klanten met een eigen security-team zijn welkom om een eigen test te doen; we werken mee met scoping.

· technische controls per norm ·

Technische volledigheid per certificaat.

Hops voert 17 technische compliance-maatregelen uit (hash-chained audit log, envelope-encryptie, step-up MFA, RLS-isolatie, kwartaalrapportage). Per norm de stand vandaag, eerlijk gemaakt. Audit-binder, validation contracts en commit-bewijs zijn op aanvraag beschikbaar.

NormDoelTechnische standPapier-zijde
AVG / GDPREU-brede gegevensbescherming✓ VolledigDPA + DPIA — counsel
NEN 7510Info-security zorg (NL)✓ Stage-1-klaarISMS-docs — counsel
NEN 7513Logging in de zorg✓ Volledig
BIODefensie/overheid baseline✓ Self-declaration-klaarNCSC-aanmelding
ISO 27001:2022Internationale info-security✓ Annex A ~85%Clauses 4-10 ISMS
SOC 2 Type 1US-stijl momentopname✓ Controls liveCPA-firm
SOC 2 Type 26+ maanden bewijslast▶ Evidence-collection actiefCPA-firm
NIS2EU cybersecurity-richtlijn✓ Self-assessment-klaarACM-registratie
PCI-DSSBetaalkaarten✓ Out of scopeStripe + Mollie

"Technische stand" = de controls die in code zijn afgedwongen en bij elke deploy opnieuw worden getest. "Papier-zijde" = ISMS-documentatie + externe audits die counsel en auditbureaus produceren. Wij rapporteren beide eerlijk, zonder vinkjes te schilderen.

· op aanvraag ·

Volledige verwerkersovereenkomst beschikbaar.

De DPA, sub-verwerkers-lijst en architectuur-document zijn op aanvraag beschikbaar voor uw IT & juridisch team.

Vraag de DPA opVraag een entree aan

Belangrijke documenten

Beveiliging — veiligheid, niet als marketing · Hops