Naar de inhoud
Beveiliging & encryptie

Beveiliging & encryptie op elk niveau

Als leadgenerator draai je jouw hele operatie (intake, matching, facturatie, uitbetaling) op OXIAE. Beveiliging is daarom geen los onderdeel, maar verweven in elke laag van het platform dat je onder eigen merk aan publishers en afnemers laat zien: van versleuteld transport en opslag tot strikte toegangscontrole en volledige logging.

Op deze pagina lees je concreet hoe dat is ingericht: waar je data staat, hoe je toegang regelt, hoe wij veilig ontwikkelen, wat er gebeurt als er onverhoopt iets misgaat, en hoe back-ups en herstel zijn opgezet. Geen vage beloften, maar uitlegbare maatregelen, zodat jij dit met een gerust hart aan je eigen klanten kunt uitleggen.

AVG / GDPR Data in de EU Volledige audit trail

Lagen van beveiliging

Bescherming bouwt zich op in vier lagen, standaard aanwezig in jouw platform. Elke laag staat op zichzelf, samen vormen ze één sluitend geheel. Eén zwakke schakel wordt zo opgevangen door de lagen eromheen.

Laag 1

Transport

Alle communicatie binnen jouw platform verloopt versleuteld via TLS. Gegevens tussen formulier, API en dashboard reizen nooit onbeschermd over het netwerk.

Laag 2

Opslag

Data wordt versleuteld opgeslagen met AES-256. Zelfs op schijfniveau blijven gevoelige gegevens van jouw publishers en afnemers onleesbaar zonder de juiste sleutels.

Laag 3

Toegang

Toegang verloopt via rollen, least-privilege en MFA, door jou ingesteld. Elk teamlid en elke partner ziet alleen wat nodig is voor de eigen taak, niet meer.

Laag 4

Monitoring & logging

Een volledige audit trail legt elke verwerking in jouw platform vast, met detectie van afwijkend gebruik zodat incidenten snel zichtbaar worden.

Wat standaard in je platform zit

Beveiliging is geen optie die je aanzet, maar de standaard die altijd geldt zodra je live gaat. Deze maatregelen zijn voor elke verwerking ingebouwd, ongeacht welk label je voert, welk volume je draait of welke afnemer je bedient.

Wil je weten hoe verwerkingen herleidbaar worden vastgelegd? Bekijk dan de audit trail in detail.

  • Versleuteld transport TLS op alle verbindingen, van intake tot afnemer.
  • Versleutelde opslag Gegevens in rust beschermd met sterke encryptie.
  • Least-privilege toegang Rechten per rol, beperkt tot wat strikt nodig is.
  • Audit logging Elke verwerkingsstap herleidbaar en exporteerbaar.
  • Geteste back-ups Versleutelde back-ups met geografische scheiding en periodieke hersteltest.
  • Gescheiden omgevingen Ontwikkel-, test- en productiedata strikt apart gehouden.
Datalocatie & hosting

Je data blijft in de Europese Unie

Persoonsgegevens en aanvragen die via jouw platform binnenkomen, worden opgeslagen en verwerkt binnen datacentra in de Europese Unie, met Nederland als primaire regio. We kiezen bewust voor data residency in de EU, zodat jij niet hoeft te leunen op constructies voor doorgifte naar landen buiten de EER.

De onderliggende infrastructuur draait bij gevestigde Europese infraproviders die zelf over erkende beveiligingscertificeringen beschikken. Wij blijven daarbij de verwerker: de data is en blijft van jou en je klanten, wij beheren alleen de omgeving waarin die veilig wordt verwerkt. Hoe dit samenhangt met privacy, grondslagen en bewaartermijnen lees je op AVG / GDPR.

  • Opslag in de EU: primaire regio Nederland, geen standaardopslag buiten de EER.
  • Data residency: verwerking en back-ups blijven binnen Europese datacentra.
  • Erkende infraproviders: gehost bij partijen met aantoonbare beveiligingscertificering.
Toegangsbeheer in detail

Wie mag wat, en hoe jij dat afdwingt

Toegang is de gevoeligste laag van elk systeem. Als operator regel je dat expliciet, controleerbaar en met zo min mogelijk rechten per persoon, voor je eigen team én voor publishers en afnemers die op het platform werken.

Rollen & least-privilege

Jij bepaalt welke rol precies de rechten krijgt die bij de taak horen, niet meer. Een formulierbeheerder ziet andere schermen dan een afnemer of een financieel verantwoordelijke binnen jouw organisatie. Rechten wijs je centraal toe, nooit ad hoc per persoon.

MFA & SSO

Tweestapsverificatie (MFA) is standaard beschikbaar en kun je verplicht stellen voor je hele organisatie. Werk je met een eigen identiteitsprovider? Dan koppel je single sign-on (SSO) via SAML of OIDC, zodat in- en uitdiensttreding centraal bij jou geregeld blijft.

Periodieke access-reviews

Toegangsrechten verlopen niet vanzelf, daarom evalueer je ze structureel binnen het platform. Bij elke review controleer je of een rol nog passend is, en trek je accounts van vertrokken medewerkers in voordat ze een risico worden.

Logging van inzage

Niet alleen wijzigingen, maar ook het inzien van persoonsgegevens wordt vastgelegd. Wie keek wanneer naar welke aanvraag is daarmee achteraf herleidbaar: een onmisbare schakel voor jouw verantwoording richting publishers, afnemers en toezichthouder.

Alle inzage en wijzigingen komen samen in de audit trail, zodat jij niet alleen weet wie toegang heeft, maar ook wat er daadwerkelijk mee is gedaan.

Back-up & herstel

Herstelbaar, niet alleen geback-upt

Een back-up is pas iets waard als je er ook écht mee kunt herstellen. Daarom toetsen we niet alleen dát we back-uppen, maar ook of terugzetten in de praktijk werkt: jouw operatie mag nooit langer dan nodig stilstaan.

Frequentie

Geautomatiseerde, versleutelde back-ups draaien dagelijks, met kortere intervallen voor kritieke data. Zo blijft het verlies bij een incident beperkt.

Geografische scheiding

Back-ups worden bewaard in een andere locatie dan de productieomgeving (binnen de EU), zodat één uitval nooit zowel data als back-up raakt.

Hersteltest

We voeren periodiek een herstelproef uit en bewaken hersteldoelen, zodat terugzetten geen theorie blijft maar een geoefend proces is.

Veilig ontwikkelen & testen

Beveiliging begint bij de code

De meeste lekken ontstaan niet door zwakke encryptie, maar door fouten in software en verwaarloosde afhankelijkheden. Daarom is veilig ontwikkelen een vast onderdeel van hoe wij bouwen aan het platform waar jij op draait.

Gescheiden omgevingen

Ontwikkeling, test en productie zijn strikt van elkaar gescheiden. Echte persoonsgegevens komen nooit in test- of ontwikkelomgevingen terecht.

Verplichte code review

Geen wijziging gaat live zonder review door een tweede ontwikkelaar. Daarmee vangen we fouten en risicovolle patronen af vóór release naar jouw platform.

Dependency- & vulnerability-management

Externe libraries worden continu gescand op bekende kwetsbaarheden; kritieke updates worden met voorrang doorgevoerd.

Periodieke pentests

Onafhankelijke partijen testen het platform regelmatig op zwakke plekken. Bevindingen worden geprioriteerd en aantoonbaar opgevolgd.

Incident response

Als er onverhoopt iets misgaat, telt vooral hoe snel en gestructureerd er wordt gereageerd. We werken volgens een vast draaiboek, van eerste signaal tot wettelijke melding, zodat jij als operator altijd weet waar je aan toe bent.

01

Detectie

Monitoring en logging signaleren afwijkend gedrag en mogelijke incidenten in jouw platform. Geautomatiseerde alerts brengen het juiste team direct in actie.

02

Escalatie & inschatting

Een incident wordt geclassificeerd op impact en omvang. Een vast verantwoordelijk team neemt de regie en bepaalt de te nemen stappen.

03

Melding aan jou

Bij een datalek dat jouw platform of jouw klanten raakt, informeren wij jou als verwerkingsverantwoordelijke zonder onnodige vertraging, met de feiten die je nodig hebt richting publishers en afnemers.

04

AP-melding binnen 72 uur

Waar de wet dat vereist, ondersteunen we jouw melding bij de Autoriteit Persoonsgegevens binnen 72 uur, en bij hoog risico ook de betrokkenen.

Normenkader & certificering

Eerlijk over waar we staan

We bouwen het platform volgens de uitgangspunten van internationaal erkende normen als ISO 27001 en het SOC 2-kader: risicogestuurd informatiebeveiligingsbeleid, toegangsbeheer, change management, logging en incidentafhandeling. Onze infraproviders zijn voor hun diensten gecertificeerd.

We doen geen claims die we niet kunnen waarmaken: waar een formele certificering nog loopt, zeggen we dat eerlijk. Heb je voor een aanbesteding of due diligence van je eigen klanten specifieke documentatie nodig? Vraag het op via ricardo@oxiae.com, of bekijk het trust center voor beveiliging, status en responsible disclosure op één plek.

Laatst bijgewerkt op 12 maart 2026.

Veelgestelde vragen over beveiliging

De vragen die leadgeneratoren ons het vaakst stellen voordat ze hun leadoperatie op OXIAE draaien.

Waar staat onze data precies opgeslagen?

In datacentra binnen de Europese Unie, met Nederland als primaire regio. We kiezen bewust voor data residency in de EU, zodat er geen standaarddoorgifte naar landen buiten de EER plaatsvindt. Ook back-ups blijven binnen Europese datacentra.

Hoe is de data beschermd, in transport en in rust?

Alle verbindingen lopen versleuteld via TLS, en gegevens in rust worden versleuteld met AES-256. Daardoor blijven gegevens onleesbaar voor wie niet over de juiste sleutels beschikt, zowel onderweg over het netwerk als op schijf.

Wie kan de leadgegevens in ons platform inzien?

Alleen mensen met een rol waarvoor inzage strikt noodzakelijk is, op basis van least-privilege, door jou als operator ingesteld voor je eigen team, publishers en afnemers. MFA is standaard beschikbaar en SSO is mogelijk via je eigen identiteitsprovider. Inzage wordt gelogd en periodiek herzien, zodat rechten niet ongemerkt blijven hangen.

Wat gebeurt er bij een datalek?

We volgen een vast incident-draaiboek: detectie, escalatie en inschatting, melding aan jou als verwerkingsverantwoordelijke, en waar de wet dat vereist een melding bij de Autoriteit Persoonsgegevens binnen 72 uur. Bij hoog risico worden ook betrokkenen geïnformeerd.

Zijn jullie ISO 27001 of SOC 2 gecertificeerd?

We bouwen volgens de uitgangspunten van ISO 27001 en het SOC 2-kader, en onze infraproviders zijn voor hun diensten gecertificeerd. Waar een eigen formele certificering nog loopt, zeggen we dat eerlijk. Specifieke documentatie voor due diligence van je eigen klanten is op aanvraag beschikbaar.

Hoe weet ik zeker dat een verwerking heeft plaatsgevonden zoals afgesproken?

Elke verwerkingsstap en elke inzage komt samen in de audit trail van jouw platform. Die is inzichtelijk en exporteerbaar, zodat jij verantwoording kunt afleggen aan publishers, afnemers en toezichthouders zonder op ons woord te hoeven vertrouwen. Bekijk de audit trail voor de details.

Beveiliging in cijfers

Veiligheid die je kunt aantonen

AES-256
Versleutelde opslag in rust
TLS
Versleuteld transport op elke verbinding
72 uur
Kader voor AP-melding bij een datalek
100% EU
Datalocatie binnen de Europese Unie

Beveiliging die je kunt aantonen

Plan een demo en zie hoe versleuteling, toegangsbeheer en de audit trail standaard meekomen in jouw platform, of vraag specifieke documentatie aan.