Branche · Security & Legal-tech

Apps ontwikkeling voor security en legal-tech. Op de twee disciplines waar vertrouwelijkheid het product is.

Wij bouwen maatwerk apps voor cybersecurity-vendors en juridische dienstverleners: SOC-portals, CISO-dashboards, contract-management, case-management en e-discovery. Beroepsgeheim en NIS2 zijn geen plugin maar architectuur-keuze — ingebakken vanaf de eerste sprint, niet eroverheen gelegd in een audit-week.

SecuritySOC & SIEM-tooling
SecurityVuln-management
Legal-techContract-management
Legal-techCase & e-discovery
Plan een kennismaking Bekijk onze werkwijze

De Nederlandse security- en legal-tech-markt in cijfers.

~17.000
Advocaten ingeschreven bij de NOvA
~2.700
Advocatenkantoren in Nederland
~450
Cybersecurity-vendors en MSSP's actief in NL
NIS2
Verplicht voor duizenden essentiële en belangrijke entiteiten

Bron: NOvA jaarverslag, CBS, NCSC NIS2-implementatie-rapportage.

Twee branches, één gemeenschappelijke eis.

Op het eerste gezicht hebben een SOC-analist en een vermogensrechtelijk advocaat weinig met elkaar te maken. De een jaagt op indicators of compromise in een SIEM, de ander schrijft een akte van overdracht. Maar in beide branches verkoopt u in essentie hetzelfde: vertrouwelijkheid die aantoonbaar moet zijn. Een leek mag niet bij de data komen, een toezichthouder moet kunnen zien wie het wél gedaan heeft, en de cliënt — dat is hier de onderneming of de individuele rechtzoekende — moet bewijs kunnen overleggen wanneer er iets fout gaat.

Dat maakt deze twee branches qua software-architectuur veel meer op elkaar lijken dan op een gemiddeld B2B SaaS-product. Een goede legal-tech-applicatie en een goede security-tool delen dezelfde fundamenten: end-to-end encryptie met sleutels die u zelf beheert, een audit-trail op record-niveau, een rol-rechten-model dat het principe van minste rechten serieus neemt, en data-residency-keuzes die u kunt verdedigen naar een toezichthouder. De rest is content: in legal-tech zit het rondom dossiers, in security rondom alerts.

Onze bredere aanpak voor maatwerk apps staat op de overzichtspagina app-ontwikkeling. Op deze pagina laten we zien hoe we die aanpak specifiek vertalen naar cybersecurity-vendors, advocatenkantoren, corporate legal departments en compliance-functies — en welke compliance-laag we standaard meeleveren omdat in deze branches achteraf inbouwen geen optie is.

Apps die passen bij elke sub-discipline.

Security en legal-tech zijn elk weer onderverdeeld in een handvol vakgebieden, elk met een eigen flow, eigen integraties en eigen compliance-eisen. Per discipline laten we zien wat we typisch bouwen — en welke modules we daarin standaard meeleveren.

SOC & vuln-management

Het werkpaard voor cybersecurity-vendors, MSSP's en interne SOC-teams. Hier bouwen we klant-portalen waarin een eindorganisatie haar eigen alert-feed, vulnerability-status en incident-timeline ziet, plus de operator-kant waarin uw eigen analisten triage doen, runbooks aanlopen en rapporteren naar de klant. Pentest-rapportages worden gegenereerd uit dezelfde data, zodat een klant niet drie verschillende documenten met afwijkende cijfers ontvangt.

Onze SOC-module-set bevat een SIEM-add-on voor de meest gebruikte platforms (Microsoft Sentinel, Splunk, Elastic), een ticketing-laag die direct doorzet naar ServiceNow of Jira van de eindklant, en een rapportage-engine voor zowel operationele weekrapporten als bestuurlijke kwartaal-overzichten. Alles met sleutels die u of uw klant beheert — niet wij.

  • Multi-tenant klant-portalenElke eindklant in een eigen tenant met eigen data, eigen rollen, eigen retentie.
  • SIEM-koppelingenBidirectionele integratie met Sentinel, Splunk, Elastic, Wazuh, IBM QRadar.
  • Vuln-management dashboardsAsset-inventory, CVSS-scoring, remediation-status, asset-ownership.
  • Pentest-rapport-generatorBevindingen uit dezelfde dataset, leesbaar voor klant én developer.

Gebouwd op de strengste normen van security en het juridisch beroep.

In beide branches zijn de compliance-eisen niet onderhandelbaar. We werken vanaf sprint 1 binnen het kader van AVG, NIS2, ISO 27001 en de specifieke beroepsregels van advocatuur en notariaat. De toezichthouder krijgt geen kans om vragen te stellen die we niet kunnen beantwoorden.

AVG Art. 32 + 35

Beveiliging en DPIA

Privacy by design als uitgangspunt. Bij elk traject leveren we een DPIA-document. Datastromen, retentie en betrokkenenrechten zijn gedocumenteerd voor uw DPO. Voor de juridische context betekent dit ook expliciete grondslagen voor bijzondere persoonsgegevens binnen dossiers.

NIS2-richtlijn

Incident-meldplicht en risico-beheersing

Voor essentiële en belangrijke entiteiten (en hun toeleveranciers) bouwen we de incident-management-flow conform de NIS2-tijdslijnen: vroegtijdige waarschuwing aan het CSIRT, opvolgmelding, eindrapportage. Geïntegreerd met uw eigen escalatieproces, niet apart van.

ISO 27001 + 27017/27018

Informatiebeveiligings-management

We werken volgens een ISO 27001-compliant ontwikkeltraject, met traceerbare risk-assessment, secure SDLC en getoetste deploy-flow. Voor cloud-implementaties extra controls uit 27017 en 27018 waar relevant.

EU AI Act

Verantwoorde AI-inzet in legal-tech

Bij AI-features — auto-classificatie van inkomende post, jurisprudentie-search, contract-clause-extractie — brengen we de risicoclassificatie in kaart en documenteren we de governance, de trainingsdata-herkomst en de menselijke-tussenkomst-punten. Voor advocatenkantoren zit hier het verschil tussen een leuke demo en iets dat u durft te gebruiken.

eIDAS verordening

Gekwalificeerde elektronische handtekening (QES)

eIDAS-conforme ondertekening voor cliënten en juristen, met audit-log per handtekening en gekwalificeerde tijdsstempel. We koppelen aan DocuSign, Adobe Sign, ValidSign, KENA, Signhost en specifieke notariële providers waar dat nodig is.

NOvA-verordening + Wna

Beroepsgeheim als systeem-eigenschap

Voor advocatenkantoren en notarissen bouwen we beroepsgeheim in als architectuur: BYOK-encryptie, beheerders zien dat een dossier bestaat maar niet de inhoud, audit-logs zijn zelf weer dossier-gebonden. Een derde partij — ook wij — kan de data niet inzien.

NEN 7510

Zorg-juridische snijvlakken

Voor legal-tech-toepassingen op het snijvlak met zorg (medische tuchtzaken, jeugdzorg-juridisch, letselschade) leveren we NEN 7510-conform werken: aanvullende controls op informatiebeveiliging die de zorgnorm aan een juridisch dossier oplegt.

Naadloos verbonden met het ecosysteem van security en legal.

We koppelen aan de tools waar uw security-team of uw kantoor al mee werkt. Geen migratie van uw hele stack — onze app vult aan en vervangt punctueel waar dat niet meer past.

Microsoft Sentinel
SIEM / SOAR
Splunk & Elastic
Log-platforms
CrowdStrike
EDR / XDR
Tenable / Qualys
Vuln-scanners
BaseNet / Cleverdesk
Advocaat-praktijk
DocuSign / ValidSign
E-sign & eIDAS
Relativity / Nuix
E-discovery
KvK / CDR / CTR
Juridische registers

Geen losse koppelingen op project-basis.

De koppelingen hierboven hebben we gestandaardiseerd over meerdere security- en legal-trajecten. Bij een nieuwe opdracht zetten we de koppeling op met dezelfde abstractielaag — minder bugs, snellere doorlooptijd, en uw IT-team kan het zelf beheren als wij eruit stappen. Voor de financiële kant van uw juridische praktijk koppelen we aan Exact, MoneyMonk, AFAS of e-Boekhouden via dezelfde integratie-laag die we gebruiken voor contractbeheer-software.

Voor specifieke kantoor-software (eigen middleware, on-prem Java-legacy, of niche-tools als FilelinX of Knight) bouwen we per geval. Dat kost extra tijd in de planning-fase maar voorkomt integratie-schulden die u jaren later nog merkt.

Typische apps die we voor deze branches bouwen.

Twaalf typen apps die we als bouwstenen gebruiken — zes voor security, zes voor legal-tech. In de praktijk combineert een opdracht meestal twee of drie van deze typen.

Security

SOC-portalen voor MSSP's

Klant-omgeving waarin een eindorganisatie haar alerts, escalaties en SLA-status volgt; analist-omgeving waarin uw team triage doet, runbooks aanloopt en handovers documenteert. Een single source of truth in plaats van een SIEM met daarnaast een mailbox.

Security

Vulnerability-management dashboards

Asset-inventory, CVSS-scoring, remediation-tracking en eigenaarschap per asset. Met automatische correlatie tussen kwetsbaarheden en lopende incidenten, zodat een patch-team weet welke CVE op een prioriteit-1 asset draait en welke niet.

Security

CISO-rapportage en GRC-dashboards

Bestuurlijke rapportage voor CISO's: control-maturity per ISO-domein, openstaande audit-bevindingen, risk-acceptance-log en NIS2-status. Bedoeld voor het kwartaalgesprek met de RvB, niet voor een audit-week.

Security

Incident-response apps

Mobiele en desktop-app voor het IR-team: playbooks, evidence-verzameling, chain-of-custody, communicatie-log naar interne stakeholders en eventueel de toezichthouder. NIS2-tijdslijnen ingebouwd, niet ergens in een PDF aan de muur.

Security

Security-awareness en phishing-simulatie

Eigen content, eigen branding, integratie met uw HR-systeem voor cohort-segmentatie en gerichte campagnes per afdeling. Met rapportage die zichtbaar maakt waar de zwakke plekken zitten zonder individuele medewerkers aan de schandpaal te nagelen.

Security

Pentest-rapportage-platform

Voor pentest-bureaus: van scope-document via uitvoering naar leesbare bevindingen. Klant-portaal waarin de eindorganisatie de remediation-status van elke bevinding bijhoudt. Met automatische re-test-flow en certificaat-uitgifte.

Legal-tech

Contract-management (CLM)

End-to-end contract-management voor corporate legal en juridische dienstverleners: opstellen uit clausule-bibliotheek, onderhandeling met versie-tracking, e-sign, archief met retentie-regels en obligation-tracking. Bouwt voort op onze contractbeheer-software-aanpak.

Legal-tech

Case-management voor advocatuur

Cliënt-dossiers met wettelijke termijnen, beslismomenten en tijdregistratie die direct doorwerkt in facturatie. Voor toevoegingen-praktijken inclusief Raad voor Rechtsbijstand-export. Gebouwd vanuit dezelfde fundamenten als ons dossierbeheersysteem.

Legal-tech

Legal research met LLM

Jurisprudentie-zoek met taalmodellen, getraind of fine-tuned op publieke uitspraken en uw eigen kantoor-precedenten. Met source-citation per antwoord en confidence-score, zodat een advocaat de uitkomst kan verifiëren. Maakt deel uit van onze bredere AI-ontwikkeling-praktijk.

Legal-tech

E-discovery en review-platforms

Voor onderzoeks- en geschil-praktijken: import van grote document-corpora, deduplicatie, OCR, predictive coding (TAR), privilege-review met chain-of-custody. EU-data-residency en sleutels in uw beheer, omdat een onderzoek geen kans laat voor twijfel over waar de data heen ging.

Legal-tech

Compliance- en regtech-apps

AVG-DPIA-tooling, AI Act-conformiteitsbeoordeling, NIS2-self-assessment, AML-onboarding voor banken en notarissen, sanctielijst-screening, UBO-checks via KvK. Voor compliance-officers, DPO-services en big-4-auditors die deze tooling als dienst aan eindklanten leveren.

Legal-tech

Secure-messaging en cliëntportalen

End-to-end versleutelde communicatie tussen cliënt en advocaat of tussen security-team en klant. Dossier- of casus-gebonden berichtenstromen, ondertekende ontvangstbevestigingen, en geen mail-bijlagen die op een privé-tablet belanden. Optioneel met blockchain-attestaties voor onbetwistbaar bewijs van bestaan.

Van intake tot livegang in heldere stappen.

Een traject voor een security-vendor of een advocatenkantoor kent een eigen ritme. Vijf fases die voor elk traject identiek zijn — de scope per fase verschilt, het ritme niet.

01 · Audit

Workflow-mapping

Dagen op locatie bij uw SOC-team of bij twee advocaten. Resultaat: huidige flows in kaart, knelpunten gemarkeerd, compliance-vereisten geïnventariseerd.

02 · Ontwerp

Threat-model + scope

Per discipline welke flow in de app komt, welke integraties prioriteit hebben, welke flows nog niet. Inclusief expliciet threat-model voordat we beginnen te bouwen.

03 · Bouw

Sprints met security-review

Elke sprint één werkende flow opgeleverd. Beveiligings-review als onderdeel van de definition-of-done; geen achteraf-pentest die alles open trekt.

04 · Cutover

Gefaseerde uitrol

Eerst één team, dan de volgende. Bij elke uitrol: training, documentatie, hand-over aan uw eigen IT- of compliance-team.

05 · Beheer

Doorlopende compliance

Bij elke wetswijziging en CVE-disclosure passen we aan. Vaste maandprijs, security-patches binnen vastgesteld SLA-venster, transparante uurregistratie voor extra werk.

De context waarin we werken.

NCSC NIS2-handreiking

"Essentiële en belangrijke entiteiten moeten passende technische, operationele en organisatorische maatregelen treffen om risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen — en dat aantoonbaar maken."

NOvA verordening op de advocatuur

"De advocaat dient zijn praktijk zo in te richten dat het beroepsgeheim is gewaarborgd, ook in de digitale werkomgeving en bij de inzet van derden voor het beheer van gegevens."

EU AI Act, art. 6 en bijlage III

"AI-systemen die worden gebruikt door rechterlijke autoriteiten of namens deze om feiten of het recht te helpen onderzoeken en uit te leggen, worden aangemerkt als hoog-risico AI-systemen."

Antwoorden voor CISO's, partners en heads-of-legal.

Vragen die we van security-managers, advocaten en compliance-officers het meest horen.

Hebben jullie ervaring met security-vendors of alleen met security-afdelingen bij eindorganisaties?
Beide. We bouwen platforms voor MSSP's en cybersecurity-vendors die hun dienst aan eindklanten leveren (multi-tenant SOC-portalen, GRC-as-a-service, pentest-rapportage), en we bouwen interne tools voor security-afdelingen bij eindorganisaties (CISO-dashboards, awareness-platforms, incident-response apps). De architectuur-aanpak is hetzelfde; de tenant-laag verschilt.
Hoe regelen jullie het beroepsgeheim technisch voor advocatenkantoren?
Beroepsgeheim bouwen we als systeem-eigenschap, niet als compliance-laag eroverheen. Encryptie met sleutels die u beheert (BYOK), beheerders zien dat een dossier bestaat maar niet de inhoud, audit-logs zijn zelf dossier-gebonden, backups versleuteld met dezelfde sleutels. EU-gehoste cloud of on-prem, afhankelijk van uw beleid en de NOvA-eisen voor uw type praktijk.
Kan een app voor advocaten of een SOC-portal on-prem draaien?
Ja. Voor advocatenkantoren met streng beroepsgeheim-beleid, voor overheid-toezicht-toepassingen, en voor security-vendors die enterprise-klanten met data-souvereiniteits-eisen bedienen, draaien we de hele stack in uw eigen datacenter of een Nederlandse single-tenant private cloud. Encryptie-sleutels liggen in beide scenario's bij u.
Hoe zorgen jullie dat NIS2-incident-meldingen op tijd binnen zijn bij het CSIRT?
We bouwen de meld-flow conform de NIS2-tijdslijnen in de incident-response app: vroegtijdige waarschuwing binnen 24 uur, opvolgmelding binnen 72 uur, eindrapportage binnen een maand. De flow is een first-class onderdeel van de app, niet een PDF naast het systeem. Status, content en verzendbevestiging zitten in de audit-trail.
Werken jullie met LLM's voor jurisprudentie-search? En hoe regelen jullie hallucinaties?
Ja. We werken met fine-tuned of retrieval-augmented taalmodellen op publieke jurisprudentie (rechtspraak.nl) plus uw eigen precedenten. Elk antwoord komt met source-citations en confidence-scores, en zonder citaat is er geen antwoord — dat is een ontwerp-keuze, geen instelling. We bouwen altijd een mens-in-de-lus-stap voor advies aan cliënten. Voor de AI Act-classificatie zit dit op hoog-risico-niveau; de governance-documentatie leveren we mee.
Vervangen jullie BaseNet, Cleverdesk, Splunk of Microsoft Sentinel?
Meestal niet. BaseNet, Cleverdesk en de grote SIEM-platforms zijn goed in wat ze doen. Wij vullen aan waar uw werkwijze, uw klant-portaal-aanpak of uw rapportage-eisen niet in een standaardpakket passen. Bij een nieuwe opdracht beginnen we met een open vraag of vervangen werkelijk beter is — vaak niet, en we zeggen dat ook.
Werken jullie samen met onze huidige IT-leverancier of in-house IT-team?
Vaker wel dan niet. We leveren codebase, build-instructies, infrastructure-as-code, architectuur-overzicht en runbook op zodat een externe partij het kan overnemen — bewuste designkeuze om vendor lock-in te voorkomen. Kennisoverdracht zit in de laatste sprint. Sommige opdrachtgevers laten ons doorlopen op een beheer-contract; anderen geven het beheer aan een eigen team na livegang.
Hoe zit het met data-residency en sub-processors?
Voor security- en legal-werk hosten we standaard in de EU (vaak Nederland) op infrastructuur waarvan we de sub-processor-lijst kennen en kunnen overleggen. Een verwerkersovereenkomst is standaard onderdeel van de oplevering, inclusief een sub-processor-bijlage. Voor opdrachtgevers waar US-CLOUD-Act-blootstelling een issue is, kiezen we infrastructuur zonder Amerikaanse moederbedrijf.
Wat bepaalt de kosten?
De grootste kostenposten zijn het aantal app-typen dat u combineert (één SOC-portal versus een SOC-portal mét vuln-management én CISO-dashboard), de diepte van de integraties, de zwaarte van de compliance-laag (NIS2 plus AI Act plus NOvA is meer werk dan één daarvan), en de keuze cloud-versus-on-prem. We werken in vaste sprintbudgetten zodat u per sprint controle houdt en bij kunt sturen op scope.
Wat als we onderweg een nieuwe norm of een nieuw type dossier willen toevoegen?
Daarom bouwen we workflow en compliance-controls als data, niet als code. Een extra dossier-soort, een nieuw control-framework of een nieuwe NIS2-categorie kan een beheerder zelf inrichten. Voor een nieuwe norm met eigen risico-classificatie doen wij een korte doorontwikkel-sprint waarin we de regels in kaart brengen, integraties bouwen en templates aanleveren.

Klaar om uw security- of legal-tech-praktijk een eigen platform te geven?

Een kennismaking van een half uur. We luisteren naar uw casuïstiek, stellen vragen over uw compliance- en architectuur-eisen, en geven richting waar u iets aan heeft — ook als de uitkomst is dat uw bestaande SIEM, GRC-suite of branchepakket bij u beter past dan maatwerk. Voor de bredere context kunt u terecht op onze app-ontwikkeling-overzichtspagina.

Fabian van DijkBusiness developer · Appfront · fabian.vandijk@appfront.nl
Plan een kennismakingMail Fabian direct

Verwante pagina's.

Case-management

Dossierbeheersysteem laten ontwikkelen

De bredere case-management-aanpak voor advocatuur, notariaat, jeugdzorg, schuldhulpverlening en HR — met workflow, e-sign, AI-classificatie, audit-trail en bewaarplicht per documenttype.

 Contract-management

Contractbeheer-software laten maken

End-to-end contract-management voor corporate legal en juridische dienstverleners: clausule-bibliotheek, versie-tracking, e-sign, obligation-tracking en archief met retentie-regels.

 Security-compliance

ISO 27001-compliant software laten ontwikkelen

Hoe we informatiebeveiligings-management inbouwen op architectuur-niveau: traceerbare risk-assessment, secure SDLC, getoetste deploy-flow en aantoonbare controls voor uw security-officer.
Delen LinkedIn Mail

Edit Content