Oefen- en inzet-coordinatie
Multi-team-coordinatie tijdens oefeningen of werkelijke inzet, met rollen, geografische taakverdeling en real-time status-board op een gedeelde tijdslijn.
Branche · Defensie & veiligheid
Defensie & veiligheid app laten maken. Security-by-design, vanaf de eerste sprint.
We bouwen native iOS- en Android-apps voor defensie-toeleveranciers, veiligheidsregio's, brandweer, ambulance, beveiligingsbedrijven en operators van kritieke infrastructuur. Geen consumenten-stack op een veiligheids-context geplakt — een architectuur die met BIO, AVG, NIS2 en hardware-key-authenticatie rekening houdt vanaf de eerste regel code.
VoorDefensie-toeleveranciers
VoorVeiligheidsregio's & BHV
VoorHulpdiensten & alarmcentrales
VoorBeveiliging & bewaking
VoorKritieke infra (NIS2)
De Nederlandse defensie- en veiligheidssector in cijfers.
25
Veiligheidsregio's in Nederland
~6.500
Bedrijven in de Nederlandse Industrie voor Defensie en Veiligheid
~30.000
Particuliere beveiligers (BOA's en POB-status)
~150
Organisaties onder NIS2 essentiële sectoren in NL
Bron: NIDV branchecijfers 2024, Veiligheidsberaad jaarverslag 2024, BVA-publicaties.
Eerst eerlijk over wat we wél en niet zijn.
Voor een sector waar vertrouwen letterlijk een vergunningsvraag is, beginnen we het gesprek liever met wat we niet zijn. Appfront heeft geen ABDO-autorisatie en wij verwerken geen Stg.-geclassificeerde of NATO-classified data. We zijn geen ingelichte defensie-leverancier in de strikte zin van de Algemene Beveiligingseisen Defensie Opdrachten. Wie een platform nodig heeft voor classified informatie hoort dat van ons in het eerste gesprek — en wordt verwezen naar een gespecialiseerd defensie-systeemhuis met de juiste clearance.
Wat we wél zijn: ervaren bouwers van maatwerk apps voor de bedrijven en organisaties die rondom defensie en veiligheid opereren. Toeleveranciers, civiele hulpdiensten, beveiligingsbedrijven, veiligheidsregio's, gemeenten in crisis-rol en operators van kritieke infrastructuur. Security-by-design zit in ons DNA, niet omdat dat marketingtaal is, maar omdat de meeste van onze klanten geen tweede kans krijgen als het ergens lekt.
Concreet betekent dat: we werken vendor-onafhankelijk, leveren code-eigenaarschap aan de klant, kennen BIO en ISO 27001 als kader in plaats van als afvink-lijstje, en hebben de discipline om een opdracht af te slaan als wij niet de juiste partij zijn. Wat we niet zijn, willen we ook niet pretenderen — daar is de inzet voor onze klanten te groot voor.
In een ketenmodel werken we graag: wij bouwen het niet-classified platform — bijvoorbeeld een oefen-coordinatie-app, een crisis-comm-tool of een asset-tracking-systeem — en een gecleared partij levert eventuele classified-component bovenop. Voor de juridische randvoorwaarden in zo'n samenwerking lees onze pagina defensie-software laten maken.
Off-the-shelf veiligheids-software past zelden bij hoe je werkt.
Veel veiligheidsregio's, brandweerkorpsen, beveiligingsbedrijven en defensie-toeleveranciers werken vandaag met platforms die ergens tussen 2010 en 2018 zijn gebouwd voor een gemiddelde organisatie die niet bestaat. De kern werkt — meldingen, rondes, rapporten — maar elke uitbreiding voor de manier waarop juist jouw team werkt loopt vast op een leverancier die "het in de roadmap heeft staan" of pas wil verplaatsen als drie andere klanten hetzelfde willen.
Crisismanagement vraagt om offline-werkende devices die in een blackout nog functioneren. Beveiligingsrondes om NFC-checkpoints en bewijsvoering richting opdrachtgever. Asset-tracking voor defensie-toeleveranciers om audit-trails die de inkoper accepteert. BHV en bedrijfshulpverlening om een one-tap-flow die werkt als je hand trilt. Op een standaardpakket regel je dat met workarounds — totdat het er een keer écht op aankomt.
Een maatwerk-app lost dat fundamenteel anders op: precies de flow die je dagelijks loopt, met de hardware-integraties en compliance-eisen die jouw context vraagt, en code die we niet vastklikken in een proprietary cloud. Voor de bredere methodiek zie onze app-ontwikkelingsdienst.
Wat we steeds opnieuw zien bij organisaties die naar ons toekomen: ze hebben drie of vier off-the-shelf-tools die elk een deel van het werk doen, en het kit-en-plakwerk tussen die tools is waar de fouten ontstaan. De BHV'er die zijn melding in app A maakt terwijl de centralist alleen in app B kijkt. De beveiliger die zijn ronde-rapportage in een PDF stuurt die niemand opslaat. De defensie-toeleverancier wiens audit-export uit drie verschillende systemen handmatig moet worden samengevoegd. Het zijn niet de individuele tools die falen — het is dat ze nooit voor jouw werkwijze samen zijn ontworpen.
Per sub-sector een ander apparaat, ander dreigingsbeeld, andere flow.
Een crisis-comm-app voor een veiligheidsregio is een ander dier dan een asset-tracking-tool voor een MoD-toeleverancier. Per doelgroep wat we typisch bouwen, welke compliance leidend is, en welke hardware-stack we kiezen.
Defensie-toeleveranciers
Bedrijven in de aerospace-, scheepsbouw-, munitie-, optronica- en C4ISR-keten. Geen classified-platforms — wel asset-tracking voor onderdelen die aan een MoD-contract gekoppeld zijn, screening-status-dashboards voor personeel met POB- of VGB-vereisten, kwaliteits- en bewijslast-flows voor leveranciers-audits, en projectplanning waarin alle communicatie auditeerbaar gelogd is.
We rekenen ervan uit dat de inkoper van de afnemende klant — vaak een grote OEM of de DMO zelf — auditrechten heeft, en bouwen exporteerbare logs in vanaf dag één. Voor de bredere ISO-context kun je onze ISO 27001-compliant software-ontwikkelingspagina erbij pakken.
- Component- en serial-trackingPer onderdeel een eigenaar-, locatie- en gebruiksgeschiedenis-record.
- VGB/POB-screeningsstatus-dashboardStatus-overzicht zonder de inhoud van het VGB-besluit zelf op te slaan.
- Audittrail-export voor inkoperRead-only export-pakket per audit-aanvraag, met hash voor integriteit.
- Single-sign-on met hardware-keyYubiKey- of smartcard-integratie, fallback alleen voor admin-recovery.
Use-cases die we typisch bouwen voor deze sector.
Acht concrete bouwblokken die in onze defensie- en veiligheidsopdrachten regelmatig terugkomen. Vaak combineren we er twee of drie in één app — afhankelijk van de operationele werkelijkheid bij jouw organisatie.
Situational awareness-tool
Gedeeld kaartbeeld met eenheden, gevaren en incident-pinpoints. Verschilt per gebruiker afhankelijk van rol en clearance binnen het systeem.
Asset- en materieel-tracking
Wapens, voertuigen, beschermende uitrusting of communicatie-apparatuur. Per asset een eigenaar, locatie en gebruiksgeschiedenis.
BHV- en calamiteiten-app
One-tap alarmering, ontruimings-coordinatie, EHBO-checklist, BHV'er-locatie en directe lijn naar de centralist of meldkamer.
Beveiligings-rondes met NFC
Vooraf gedefinieerde route met NFC-checkpoints, foto-bewijs bij afwijkingen, geo-getagde rapportage richting opdrachtgever.
Hek-, poort- en toegangscontrole
Bezoekers-registratie met legitimatie-scan, automatische logging per toegangs-event, koppeling aan het PSIM- of toegangscontrolesysteem ter plaatse.
Alarmcentrale-companion
Operator-app voor centralisten met incident-prioritering, dispatch-toewijzing en geo-overlay van eenheden in het veld.
Crisis-communicatie-tool
Versleutelde messaging (Signal-protocol), gedeelde situatieplaats, lock-down-modus en gegarandeerde levering aan rol-gebaseerde groepen.
Compliance en normen die we vanaf de eerste sprint in de architectuur leggen.
Veiligheids- en defensiewerk staat of valt met aantoonbare beveiliging. We bouwen niet eerst en hangen er later een DPIA tegenaan — we beginnen bij de norm.
BIO — Baseline Informatiebeveiliging Overheid
Vanaf het ontwerp BIO-conform
Veiligheidsregio's, gemeenten en uitvoeringsorganisaties zijn aan de BIO gehouden. Onze referentie-architectuur dekt de basismaatregelen voor toegang, logging, segmentatie en incident-detection. Voor afnemers stellen we een BIO-checklist op met onze invulling per maatregel.
AVG — bijzondere persoonsgegevens
Operationeel personeel is bijzondere data
Wanneer een platform locatiegegevens van hulpverleners, brandweerlieden of beveiligers verwerkt is dat doorgaans bijzondere persoonsgegevens (artikel 9 AVG). We leveren een DPIA, brengen rechtsgrondslag in kaart en bouwen retentie- en toegangscontroles in conform de minimalisatie-eis.
NIS2 — kritieke infrastructuur
Voor essentiële en belangrijke entiteiten
Sinds de Nederlandse implementatie van NIS2 vallen drinkwater-, energie-, transport- en digitale infrastructuur-operators onder strenge meld- en risicobeheersingsplichten. Onze apps voor deze sectoren komen met incident-detectie, 24-uurs-meld-flow en logging die voldoet aan de bewijslast richting de toezichthouder.
ABDO — Algemene Beveiligingseisen Defensie Opdrachten
Voor toeleveranciers binnen MoD-aanbestedingen
We verwerken zelf geen classified data en hebben geen ABDO-autorisatie. Wel kennen we de structuur van Departementaal Vertrouwelijk tot Stg.-Geheim en kunnen we de niet-classified randvoorwaarden zo bouwen dat een gecleared partner er een classified-laag bovenop kan zetten. Voor de hele context lees onze pagina defensie-software.
EU-data-residency
EU-only hosting met no-cloud-optie
Voor gevoelige opdrachten hosten we standaard binnen EU-grenzen — bij voorkeur in een Nederlandse datacenter-locatie. Bij classified-adjacent opdrachten leveren we een on-prem deployment-optie zodat het platform binnen het eigen netwerk-domein van de opdrachtgever draait, zonder externe cloud-afhankelijkheid.
ISO 27001 & ISO 27017
Aansluitend op het ISMS van de klant
Veel opdrachtgevers in deze sector hebben een eigen ISO 27001-certificering en willen dat hun leveranciers er minstens compatibel mee zijn. We werken volgens een ISMS-compatibele aanpak en leveren de control-mapping aan die hun audit nodig heeft. Onze stance lees je terug op het informatiebeveiligingsbeleid.
We koppelen aan de systemen waar je sector al mee werkt.
Een app die naast de bestaande infrastructuur staat in plaats van eroverheen. Onze koppelingen vullen aan — ze dwingen geen migratie af.
LCMS
Landelijk crisismanagementsysteemGMS
Geïntegreerd meldkamersysteemC2000
Communicatienetwerk hulpdienstenActive Directory
Identity & SSOMicrosoft Intune
MDM en device-policyVMware Workspace ONE
Alternative MDM-stackYubiKey / FIDO2
Hardware-key SSOPSIM-platforms
Genetec, Milestone, VerkadaEén platform, dat zich gedraagt zoals de rest van je IT-stack.
De koppelingen die we hierboven noemen hebben we in eerdere opdrachten gestandaardiseerd. Voor sommige (LCMS, GMS) gelden inhoudelijke randvoorwaarden: aansluiting verloopt via formele koppelvlak-procedures bij de meldkamer- en NCC-organisaties. We zorgen voor de techniek; de aansluit-aanvraag doet jouw organisatie zelf, en wij ondersteunen je in de keuringsdocumentatie.
Voor sector-specifieke software (eigen PSIM, lokale toegangscontrole-controller, dispatcher-systeem van een gemeente) bouwen we per geval. Dat kost extra tijd in de planning-fase maar voorkomt dat we een onhoudbare schaduw-integratie inbouwen. Wil je eerst zien hoe we voor overheidscontext werken, kijk dan op onze pagina software voor gemeenten — veel van onze veiligheidsregio-werk volgt dezelfde principes.
Eén keuze die we altijd vooraf met de opdrachtgever maken: of het platform een eigen identity-provider krijgt of meebeweegt met de bestaande Active Directory of Entra ID-tenant. Voor veiligheidsregio's en grotere defensie-toeleveranciers is dat tweede vrijwel altijd de keuze, omdat anders de offboarding-flow van personeel uit elkaar valt. Voor kleinere beveiligingsbedrijven kan een standalone identity-stack juist sneller zijn — we maken de afweging op basis van wat het minste handwerk oplevert in dagelijks beheer.
De technische stack waarmee we deze apps bouwen.
Voor defensie- en veiligheidscontext kiezen we standaard voor native iOS en Android boven hybride frameworks — vanwege OS-level encryption, hardware-keychain-toegang en lagere aanvalsoppervlak. De volgende lagen zitten in elke opdracht.
Stack · 01
Native iOS & Android
Geen hybride-shells voor security-kritische apps. Native Swift/Kotlin met directe toegang tot Keychain (iOS) en Keystore (Android), zodat encryptiesleutels nooit het secure element verlaten. Offline-first ontwerp: de app blijft werken zonder verbinding en synchroniseert wanneer het kan.
Stack · 02
End-to-end encryption met Signal-protocol
Voor messaging- en crisis-comm-componenten gebruiken we het Signal-protocol — het open standaard dat ook achter veilige messaging-apps zit. Forward secrecy per bericht, deniability, en geen plaintext op de server. Voor classified-adjacent opdrachten zetten we de protocol-implementatie op een door de klant beheerde server.
Stack · 03
Hardware-key & MDM-integratie
FIDO2 / WebAuthn voor SSO met YubiKey, smartcard of fingerprint+device-binding. Volledige MDM-koppeling (Intune, Workspace ONE, Jamf) voor remote-wipe, device-compliance-checks en certificate-distributie. Geen "vertrouwde" omleiding via SMS-OTP voor hoog-risico-rollen.
Stack · 04
On-prem deployment-optie
Voor classified-adjacent of NIS2-essentiële opdrachten bieden we een on-prem deployment-pad: de hele server-stack draait op infrastructuur van de opdrachtgever, achter de eigen firewall, zonder external cloud-dependencies. We leveren de Helm-charts of Ansible-playbooks en trainen het IT-team voor zelfstandig beheer.
Stack · 05
EU-data-residency by default
Wanneer een cloud-deployment wel acceptabel is, draait alles standaard op Nederlandse of EU-datacenters. Geen Amerikaanse hyperscaler-regio. Database-replica's, backups en log-aggregatie blijven binnen dezelfde residency-grens. Bij audit leveren we het regio-bewijs aan.
Stack · 06
Code-eigenaarschap bij de klant
Alle code wordt eigendom van de opdrachtgever — wij hebben geen retainer-lock op de broncode. Repositories worden bij oplevering overgedragen, met documentatie en runbook. Als wij eruit stappen of vervangen worden door een interne IT-afdeling, gaat je platform gewoon door.
Van scope-gesprek tot livegang in vijf herkenbare fases.
Een traject voor defensie- of veiligheidsklanten kent een eigen ritme. We doorlopen elk traject langs dezelfde stappen, zodat zowel jullie security-officer als de operationele eindgebruiker weten wat ze kunnen verwachten.
01 · Scope
Classificatie-gesprek
Welke data stroomt door het platform, welke classificatie hoort daarbij, en waar ligt de grens tussen wat wij bouwen en wat een gespecialiseerd defensie-bureau moet doen. Eerlijke afbakening voorkomt latere blokkades.
02 · Architectuur
Security-by-design-blueprint
Threat-model, BIO-/NIS2-checklist, identity-flow, on-prem versus EU-cloud, MDM-strategie. Eén document waar je security-officer een akkoord op kan geven voor we beginnen met bouwen.
03 · Bouw
Sprints met early adopters
Elke sprint één werkende flow opgeleverd. Eindgebruikers — brandweerlieden, beveiligers, paralegals bij toeleveranciers — testen direct mee zodat de werkelijke werkprocessen leidend blijven boven theoretische ontwerpen.
04 · Hardening
Pentest & audit-prep
Externe pentest (door een door de klant gekozen partij), code-review, BIO-/ISO-control-mapping, DPIA-finalisatie en logging-config. Pas na het rapport en de fixes gaan we live.
05 · Beheer
Doorlopend & overdraagbaar
Bij elke OS-update en wetswijziging passen we aan. We leveren een runbook en training zodat je IT-team het zelf kan beheren als je dat wenst. Geen vendor lock-in.
Veelgestelde vragen.
Wat security-officers, hoofden bedrijfsvoering en commandanten meestal vragen voor we beginnen.
Hebben jullie een ABDO-autorisatie?
Nee. Appfront heeft geen ABDO-autorisatie en wij verwerken geen Stg.-geclassificeerde data of NATO-classified informatie. Voor classified-platforms verwijzen we door naar een defensie-systeemhuis met de juiste clearance. Wat we wél doen: niet-classified apps bouwen voor toeleveranciers, hulpdiensten, beveiligingsbedrijven en kritieke-infrastructuur-operators — met security-by-design-discipline en kennis van BIO, ISO 27001 en NIS2.
Werken jullie voor Defensie zelf?
Niet rechtstreeks. Onze klanten zijn de bedrijven en organisaties rondom de defensie- en veiligheidsketen: aerospace- en scheepsbouw-leveranciers, beveiligingsbedrijven, veiligheidsregio's, gemeenten in crisis-rol, en operators van kritieke infrastructuur. In een ketenmodel werken we wel mee: wij bouwen het niet-classified deel, een gecleared partner levert eventuele classified-laag.
Hoe gaan jullie om met BIO en NIS2?
Vanaf sprint 1. Voor BIO-plichtige klanten leveren we een BIO-checklist met onze invulling per maatregel, en bouwen we de basisbeveiliging (toegang, logging, segmentatie, incident-detection) standaard in. Voor NIS2-essentiële entiteiten implementeren we de 24-uurs-meld-flow, risico-analyse-documentatie en logging die de toezichthouder vraagt. We zijn niet jullie compliance-officer — wel een leverancier die voorkomt dat ze hun werk dubbel moeten doen.
Kan het platform zonder cloud draaien?
Ja. We bieden standaard een on-prem deployment-optie waarbij de hele server-stack op infrastructuur van de opdrachtgever draait, achter de eigen firewall. We leveren Helm-charts of Ansible-playbooks en trainen je team voor zelfstandig beheer. Voor classified-adjacent of NIS2-essentiële opdrachten is dit vaak de juiste keuze.
Werken jullie met hardware-keys zoals YubiKey?
Ja, en voor hoog-risico-rollen adviseren we het ook. FIDO2 / WebAuthn-integratie met YubiKey, smartcard of device-bound biometrics zit in onze standaard-blueprint. SMS-OTP gebruiken we niet voor security-kritische rollen — daar is te veel mis mee voor deze context.
Wie is eigenaar van de broncode?
De opdrachtgever. We leveren de hele codebase, repositories, deployment-pipelines en documentatie op. Geen retainer-lock, geen proprietary platform-cloud waar je voor de rest van je leven aan vastzit. Stappen wij er een keer uit of vervangt een interne IT-afdeling ons werk, dan loopt je platform gewoon door.
Hoe regelen jullie de aansluiting op LCMS, GMS of C2000?
Wij zorgen voor de techniek, de aansluit-aanvraag doet jouw organisatie zelf bij de betreffende beheer-organisaties (Instituut Fysieke Veiligheid, Landelijke Meldkamer Samenwerking). We ondersteunen je in de keuringsdocumentatie en het koppelvlak-traject. Aansluiting verloopt via formele procedures die je niet kunt overslaan — we kennen de structuur en helpen er sneller doorheen.
Bouwen jullie ook BHV- en bedrijfshulpverlenings-apps?
Ja. BHV-apps zijn een van de meest voorkomende veiligheids-use-cases die we bouwen: one-tap-alarmering, ontruimings-coordinatie, BHV'er-locatie, directe lijn naar centralist of meldkamer, en koppeling met het toegangscontrole- of brandmeldsysteem ter plaatse. Voor bedrijven met een ARBO-plicht en voor publieke instellingen.
Wat doen jullie aan pentesting?
Voor elke veiligheids- of defensie-toeleveranciers-app voeren we een externe pentest uit voor go-live. We werken bij voorkeur met een door de klant gekozen pentest-partij (Northwave, Fox-IT, Securify of vergelijkbaar). De bevindingen worden gefixt en opnieuw getest voor we het systeem opleveren — geen "we lossen het op tijdens beheer".
Klaar om met een serieuze partner te bouwen?
Een kennismaking van een half uur met de security-officer en één operationeel eindgebruiker. We luisteren, stellen vragen over jullie classificatie-grenzen, BIO- of NIS2-eisen, en geven een eerste richting. Vrijblijvend, en — als blijkt dat een gecleared defensie-systeemhuis een betere fit is — zeggen we dat ook.
Liever eerst lezen? Onze pagina's over app-ontwikkeling, defensie-software en ISO 27001-compliant software geven een dieper beeld van onze aanpak.