Ga naar inhoud

Beveiliging

Hoe FieldForms uw gegevens beschermt

Encryptie

Alle gevoelige persoonsgegevens worden versleuteld opgeslagen met AES-256-GCM — hetzelfde encryptieniveau dat wordt gebruikt door financiële instellingen en overheidsdiensten.

De volgende gegevenscategorieën worden versleuteld:

  • Persoonlijke gegevens (naam, adres, geboortedatum)
  • Contactgegevens (e-mail, telefoonnummer)
  • Financiële gegevens (IBAN, donatiebedragen)
  • Mediabestanden (handtekeningen, spraakopnames)

Gegevens worden zowel in rust (at rest) als tijdens verzending (in transit) versleuteld. Alle communicatie verloopt via HTTPS met TLS 1.2 of hoger.

Infrastructuur

FieldForms maakt gebruik van Supabase als databaseplatform, gehost op servers die zijn gecertificeerd voor AVG-naleving.

  • Datacenterlocatie — alle data wordt opgeslagen binnen de Europese Unie (EU West regio), conform de vereisten van de AVG.
  • Supabase — SOC 2 Type II gecertificeerde infrastructuurprovider met geavanceerde beveiliging op databaseniveau.
  • Vercel— de applicatielaag draait op Vercel's edge-netwerk met automatische DDoS-bescherming en beveiligingsmonitoring.
  • Automatische backups — dagelijkse databaseback-ups met een bewaarperiode van minimaal 7 dagen.
Toegangsbeheer

FieldForms past het principe van minimale rechten (least privilege) toe op alle niveaus van de applicatie.

  • RBAC (Role-Based Access Control) — gebruikers hebben uitsluitend toegang tot de gegevens en functies die bij hun rol horen. Veldwerkers zien alleen hun eigen inzendingen; beheerders hebben bredere toegang.
  • Twee-factor-authenticatie (2FA) — beheeraccounts kunnen 2FA inschakelen via een authenticator-app (TOTP). Dit wordt sterk aanbevolen voor alle beheerdersaccounts.
  • Sessiebeheer — sessies verlopen automatisch na een periode van inactiviteit. Alle actieve sessies zijn zichtbaar en kunnen door de gebruiker worden beëindigd.
  • Rate limiting — inlogpogingen en gevoelige API-aanroepen zijn beperkt om brute-force aanvallen te voorkomen.
Audit Logging

FieldForms legt een gedetailleerd auditspoor bij van alle relevante acties binnen het platform. Dit biedt volledige traceerbaarheid en ondersteunt nalevingsonderzoeken.

Vastgelegde gebeurtenissen omvatten onder andere:

  • Inlog- en uitloggebeurtenissen (inclusief mislukte pogingen)
  • Aanmaken, wijzigen en verwijderen van inzendingen
  • Wijzigingen in gebruikers- en rechtenbeleid
  • Exportacties en GDPR-verzoeken
  • Configuratiewijzigingen in formulieren en projecten

Audit logs worden bewaard conform de Nederlandse nalevingsvereisten (standaard 7 jaar) en zijn niet aanpasbaar door eindgebruikers.

AVG / GDPR Compliance

FieldForms is ontworpen met privacy-by-design als uitgangspunt en voldoet aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG / GDPR).

  • Verwerkersovereenkomst — FieldForms treedt op als verwerker in de zin van de AVG en sluit een verwerkersovereenkomst met klanten.
  • Dataminimalisatie — er worden uitsluitend gegevens verzameld die noodzakelijk zijn voor de overeengekomen doeleinden.
  • Bewaartermijnen — gegevens worden automatisch verwijderd na het verstrijken van de geconfigureerde bewaartermijn.
  • Subverwerkers — FieldForms werkt uitsluitend samen met AVG-conforme subverwerkers (Supabase, Vercel). Een actuele lijst is op verzoek beschikbaar.
Data Export & Verwijdering

Klanten en hun eindgebruikers hebben te allen tijde controle over hun gegevens.

  • Export — gegevens zijn exporteerbaar in CSV-formaat via de backoffice of via een geautomatiseerd AVG-exportverzoek (Art. 20 AVG).
  • Verwijdering — via het platform of per e-mailverzoek kunnen gegevens onomkeerbaar worden verwijderd conform Art. 17 AVG (recht op vergetelheid).
  • Portabiliteit — geëxporteerde gegevens worden aangeleverd in een gestructureerd, machineleesbaar formaat.

Bij beëindiging van de overeenkomst heeft de Klant 30 dagen de tijd om gegevens te exporteren. Daarna worden alle gegevens veilig en onomkeerbaar verwijderd.

Incidentrespons

FieldForms beschikt over een incidentresponsproces voor het geval van een beveiligingsincident of datalek.

  • Detectie — beveiligingsincidenten worden gedetecteerd via geautomatiseerde monitoring en auditloganalyse.
  • Melding — bij een datalek dat valt onder de meldplicht van de AVG (Art. 33) wordt de Autoriteit Persoonsgegevens binnen 72 uur geïnformeerd. Betroffen klanten worden zo snel mogelijk op de hoogte gesteld.
  • Herstel — geïmpacteerde systemen worden zo snel mogelijk hersteld. Klanten worden gedurende het proces proactief geïnformeerd.

Heeft u een beveiligingsprobleem gevonden? Meld dit verantwoord via security@fieldforms.nl. Wij waarderen responsible disclosure en streven naar een reactie binnen één werkdag.

Terug naar home

We gebruiken cookies voor de werking van deze website en voor analytische doeleinden. Lees ons cookiebeleid