Dit beleid beschrijft hoe Appfront informatie beveiligt — die van onszelf, van onze opdrachtgevers en van de eindgebruikers van de systemen die wij bouwen en beheren. Het is van toepassing op al onze medewerkers, opdrachtnemers en partners en vormt het kader waarbinnen wij technische en organisatorische maatregelen treffen.
Appfront B.V. ontwerpt, bouwt en beheert maatwerksoftware voor opdrachtgevers in onder meer de financiële sector, zorg, industrie, mobiliteit en (semi-)overheid. Veel van de informatie die wij in opdracht verwerken is gevoelig: persoonsgegevens, bedrijfsgeheimen, brongegevens van bedrijfsprocessen en koppelingen naar kernsystemen. Informatiebeveiliging is daarom geen optionele laag, maar een randvoorwaarde voor onze dienstverlening.
Dit informatiebeveiligingsbeleid beschrijft de uitgangspunten die wij hanteren, het normatieve kader waarbinnen wij werken, de technische en organisatorische maatregelen die wij treffen, hoe wij omgaan met klantdata en incidenten, en welke verwachtingen u als opdrachtgever, partner of melder van ons mag hebben. Het beleid is van toepassing op alle medewerkers, freelancers, stagiairs en opdrachtnemers die in opdracht van Appfront werken, en op alle systemen waarin wij gegevens verwerken — eigen infrastructuur, ontwikkelomgevingen, en door ons beheerde klantomgevingen voor zover contractueel overeengekomen.
Het beleid is een levend document. Wij actualiseren het wanneer wet- en regelgeving, normen of bedrijfsvoering daarom vragen, met een vaste jaarlijkse review als minimum. Wijzigingen worden hier op deze pagina gepubliceerd, met vermelding van de versiedatum. Voor klanten en auditors die dit beleid willen aanhalen in een vendor-onboarding of risicobeoordeling geldt de versie zoals die op het moment van raadpleging op deze pagina staat. Vragen over de toepassing van dit beleid op een specifieke opdracht of audit kunt u richten aan security@appfront.nl.
Vertrouwelijkheid, integriteit en beschikbaarheid zijn de drie pijlers waarop wij maatregelen wegen. Elke beslissing over architectuur, toegang of opslag wordt expliciet tegen deze drie criteria afgewogen, niet alleen tegen één ervan.
Medewerkers, systemen en applicaties krijgen alleen de rechten die strikt nodig zijn voor hun taak. Beveiliging wordt in lagen opgebouwd, zodat het falen van één laag niet direct tot een incident leidt en aanvallers meerdere drempels tegenkomen.
Privacy en security worden meegenomen vanaf het eerste ontwerp, niet achteraf toegevoegd. Default-instellingen zijn restrictief: datavelden zijn standaard niet zichtbaar, endpoints standaard niet publiek, accounts standaard zonder rechten — pas uit te breiden wanneer een use case dat rechtvaardigt.
De Algemene Verordening Gegevensbescherming (EU 2016/679) en de Nederlandse Uitvoeringswet AVG vormen het primaire kader voor de verwerking van persoonsgegevens. Wij hanteren de bijbehorende beginselen van rechtmatigheid, doelbinding, dataminimalisatie en transparantie.
De NIS2-richtlijn (EU 2022/2555) en de Cyber Resilience Act (EU 2024/2847) stellen eisen aan passende beveiligingsmaatregelen, incidentmeldingen en de beveiliging van digitale producten gedurende hun levensduur. Wij richten ons proces hierop in waar dit op ons of onze opdrachtgevers van toepassing is.
Voor zorgklanten volgen wij NEN 7510 voor informatiebeveiliging in de zorg. Bij overheidsopdrachten hanteren wij de Baseline Informatiebeveiliging Overheid (BIO). Voor financiële klanten sluiten wij aan op de eisen van DORA (EU 2022/2554) voor digitale operationele weerbaarheid.
Wij werken volgens de structuur van ISO/IEC 27001 (information security management) en sluiten aan op ISO/IEC 27701 (privacy information management). Een formele certificering is in voorbereiding; tot die tijd voeren wij interne audits uit op basis van de bijbehorende controls.
Onderstaande technische controls vormen de basislaag van onze beveiliging. Voor klanten met aanvullende eisen (bijvoorbeeld bij ISO 27001-compliant software of NEN 7510-trajecten) breiden wij dit uit volgens contractuele afspraken.
AES-256 of sterker voor data at rest, TLS 1.3 voor data in transit. Geen onversleutelde transporten.
SSO via Microsoft Entra, MFA verplicht, role-based access control op alle bedrijfssystemen.
Centrale logging met alerting op afwijkende patronen. Logs worden gescheiden van de productie-omgeving bewaard.
Periodieke beoordeling van updates met prioriteit voor kritieke CVE's. Auto-update waar veilig mogelijk.
Versleutelde, geografisch gescheiden backups. Periodiek geteste restore-procedure als onderdeel van disaster recovery.
MDM op alle werkapparaten, full-disk encryption, antimalware en remote wipe bij verlies of diefstal.
Segmentatie tussen omgevingen, firewall-policies, VPN voor remote access en zero-trust waar mogelijk.
Credentials in een vault, nooit in version control. Rotatie volgens een vast schema en bij personeelswisselingen.
Continue scanning van afhankelijkheden en containerimages (SCA en SAST) als onderdeel van de build-pipeline.
Periodiek extern uitgevoerde penetratietests op productiesystemen en kernapplicaties, met opvolging in een fix-backlog.
Peer-review op elke wijziging, geautomatiseerde checks in CI/CD en security-issues als blokkerende criteria voor releases.
Productieomgevingen volgens documenteerbare baselines, met minimale aanvalsoppervlakken en gedeactiveerde standaardaccounts.
De CEO van Appfront, Fabian van Dijk, is eindverantwoordelijk voor informatiebeveiliging en treedt op als security-officer. Hij stuurt het beleid, de risico-analyse en de incidentafhandeling aan en is het centrale aanspreekpunt voor klanten en toezichthouders.
Elke medewerker en opdrachtnemer ondertekent een geheimhoudingsverklaring bij aanvang en doorloopt periodiek security- en privacy-awareness-training. Bij gevoelige opdrachten of vereisten van een klant voeren wij een passende screening uit conform de wettelijke kaders.
Productiewijzigingen lopen via peer-review en, waar nodig, via een formele change-procedure. Sub-processors worden beoordeeld op een aantoonbaar beveiligingsniveau (bijvoorbeeld ISO 27001, SOC 2 type II of een gelijkwaardige standaard) voordat zij toegang krijgen tot persoons- of klantgegevens.
Onze opdrachtgever is en blijft data-eigenaar van de gegevens die in opdracht worden verwerkt. Appfront treedt op als verwerker in de zin van artikel 28 AVG, tenzij contractueel anders is overeengekomen. Met elke klant waarvoor wij persoonsgegevens verwerken sluiten wij een verwerkersovereenkomst (DPA) op basis van onze standaardtekst, of, indien de klant dat verlangt, op basis van diens eigen template na inhoudelijke toetsing.
Data-residency: gegevens worden binnen de Europese Economische Ruimte verwerkt. Wij maken hiervoor gebruik van EU-regio's van gevestigde cloudleveranciers (AWS, Azure, Google Cloud) en Europese hosters (zoals Hetzner). Datatransfers naar derde landen vinden alleen plaats op basis van een geldige transfermechanisme zoals Standard Contractual Clauses (SCC) en een aanvullende risico-analyse (Transfer Impact Assessment).
Klantdata wordt niet gebruikt voor het trainen van algemene AI-modellen of doorverkocht aan derden. Voor AI-toepassingen die wij in opdracht bouwen, gelden additionele afspraken: welke modellen, op welke gegevens, met welke logging en met welke retentie. Retentietermijnen volgen het contract en de toepasselijke wetgeving; bij ontbinden of beëindiging van een opdracht wordt klantdata standaard binnen negentig dagen verwijderd, tenzij wettelijke bewaarplichten anders vereisen of de klant expliciet om langer behoud verzoekt.
Incidenten worden gedetecteerd via monitoring, externe meldingen of via ons CVD-proces. Alle meldingen komen samen op één centraal adres en worden direct getrieerd door het verantwoordelijke security-team.
Wanneer een incident een klant raakt of redelijkerwijs kan raken, brengen wij die klant zo snel mogelijk vertrouwelijk op de hoogte, in lijn met de afspraken in de verwerkersovereenkomst en uiterlijk binnen de daar genoemde termijn.
Wanneer een incident kwalificeert als een datalek dat een verwerker moet melden aan de verwerkingsverantwoordelijke, voldoen wij aan de termijn van artikel 33 AVG. De klant beoordeelt vervolgens of melding aan de Autoriteit Persoonsgegevens en betrokkenen nodig is.
Voor externe meldingen van kwetsbaarheden hanteren wij een apart CVD-beleid. Daarin staat hoe onderzoekers verantwoord een kwetsbaarheid melden, wat zij van ons mogen verwachten en welke veilige haven wij bieden.
Wij voeren ten minste eenmaal per kalenderjaar een interne audit uit op de werking van dit beleid en de bijbehorende controls. Bevindingen worden geprioriteerd en in een actieplan opgevolgd, met de eindverantwoordelijkheid bij de security-officer.
Klanten waarmee wij een verwerkersovereenkomst hebben gesloten, hebben binnen de daar omschreven kaders een audit-recht. Wij verstrekken op redelijk verzoek bewijs van controls — denk aan logs, dashboard-extracten en architectuurdocumentatie — onder een geheimhoudingsafspraak.
Wij werken toe naar een formele certificering volgens ISO/IEC 27001 en sluiten daarbij aan op de privacy-uitbreiding ISO/IEC 27701. Tot certificering rond is, voeren wij dezelfde controls uit en stellen op verzoek de scope en de status op een transparante manier beschikbaar.
Bepaalde categorieën gegevens vragen aanvullende waarborgen. Voor opdrachten waarin deze gegevens een rol spelen — bijvoorbeeld bij een GDPR-compliance platform — leggen wij de specifieke maatregelen contractueel vast.
Verwerking volgens AVG art. 9 en NEN 7510 met striktere toegangscontrole en logging.
Alleen verwerken op expliciete contractuele grondslag, met bewuste keuze voor hashing of vectorisatie waar mogelijk.
Alleen verwerken met de wettelijke grondslag en strikte rolafbakening; nooit standaard in een productieomgeving.
Verwerking alleen met passende grondslag, met ouder- of voogd-consent waar de AVG dat vereist.
Bij klanten onder DORA of PSD2 stemmen wij beveiliging, monitoring en meldlijnen af op het regime van die opdrachtgever.
BIO-conforme maatregelen, classificatie volgens overheidsstandaard en strikt EU-only-hosting waar de opdracht dat vereist.
Klantdata wordt nooit zonder expliciete toestemming gebruikt voor training. Anonimisering en aggregatie als standaard.
Voor alle categorieën onder AVG art. 9 geldt: een verhoogde rechtmatigheidstoets, minimale toegang en strikte logging.
Dit beleid kent één eigenaar: de security-officer van Appfront. Hij is verantwoordelijk voor het vaststellen, onderhouden, communiceren en handhaven van het beleid. Wijzigingen worden geregistreerd in een wijzigingslog en zijn op verzoek beschikbaar voor klanten en auditors.
Het beleid wordt minimaal eenmaal per jaar herzien, en daarnaast bij relevante wijzigingen in wet- en regelgeving, in onze infrastructuur of na een significant incident. De volgende reguliere review is gepland voor mei 2027. Eerdere reviews staan vermeld in het wijzigingslog.
Risico's worden vastgelegd in een risicoregister en periodiek herijkt op basis van wijzigingen in onze portefeuille, dreigingsbeeld en betrokken sub-processors. Hoog-risicogebieden krijgen aanvullende maatregelen; restrisico's worden expliciet aanvaard door de security-officer.
Voor inhoudelijke vragen, een vendor-onboarding, een audit-verzoek of een incidentmelding kunt u contact opnemen met onze security-officer. Wij beantwoorden serieuze verzoeken vertrouwelijk en bevestigen ontvangst binnen vijf werkdagen.
Appfront gebruikt cookies en vergelijkbare technieken voor een goede werking van de website, voor analyse en voor marketing. Je kiest zelf wat je toestaat. Lees meer in ons privacybeleid.
