Beveiliging & encryptie op elk niveau
Als leadgenerator draai je jouw hele operatie (intake, matching, facturatie, uitbetaling) op OXIAE. Beveiliging is daarom geen los onderdeel, maar verweven in elke laag van het platform dat je onder eigen merk aan publishers en afnemers laat zien: van versleuteld transport en opslag tot strikte toegangscontrole en volledige logging.
Op deze pagina lees je concreet hoe dat is ingericht: waar je data staat, hoe je toegang regelt, hoe wij veilig ontwikkelen, wat er gebeurt als er onverhoopt iets misgaat, en hoe back-ups en herstel zijn opgezet. Geen vage beloften, maar uitlegbare maatregelen, zodat jij dit met een gerust hart aan je eigen klanten kunt uitleggen.
Lagen van beveiliging
Bescherming bouwt zich op in vier lagen, standaard aanwezig in jouw platform. Elke laag staat op zichzelf, samen vormen ze één sluitend geheel. Eén zwakke schakel wordt zo opgevangen door de lagen eromheen.
Transport
Alle communicatie binnen jouw platform verloopt versleuteld via TLS. Gegevens tussen formulier, API en dashboard reizen nooit onbeschermd over het netwerk.
Opslag
Data wordt versleuteld opgeslagen met AES-256. Zelfs op schijfniveau blijven gevoelige gegevens van jouw publishers en afnemers onleesbaar zonder de juiste sleutels.
Toegang
Toegang verloopt via rollen, least-privilege en MFA, door jou ingesteld. Elk teamlid en elke partner ziet alleen wat nodig is voor de eigen taak, niet meer.
Monitoring & logging
Een volledige audit trail legt elke verwerking in jouw platform vast, met detectie van afwijkend gebruik zodat incidenten snel zichtbaar worden.
Wat standaard in je platform zit
Beveiliging is geen optie die je aanzet, maar de standaard die altijd geldt zodra je live gaat. Deze maatregelen zijn voor elke verwerking ingebouwd, ongeacht welk label je voert, welk volume je draait of welke afnemer je bedient.
Wil je weten hoe verwerkingen herleidbaar worden vastgelegd? Bekijk dan de audit trail in detail.
- Versleuteld transport TLS op alle verbindingen, van intake tot afnemer.
- Versleutelde opslag Gegevens in rust beschermd met sterke encryptie.
- Least-privilege toegang Rechten per rol, beperkt tot wat strikt nodig is.
- Audit logging Elke verwerkingsstap herleidbaar en exporteerbaar.
- Geteste back-ups Versleutelde back-ups met geografische scheiding en periodieke hersteltest.
- Gescheiden omgevingen Ontwikkel-, test- en productiedata strikt apart gehouden.
Je data blijft in de Europese Unie
Persoonsgegevens en aanvragen die via jouw platform binnenkomen, worden opgeslagen en verwerkt binnen datacentra in de Europese Unie, met Nederland als primaire regio. We kiezen bewust voor data residency in de EU, zodat jij niet hoeft te leunen op constructies voor doorgifte naar landen buiten de EER.
De onderliggende infrastructuur draait bij gevestigde Europese infraproviders die zelf over erkende beveiligingscertificeringen beschikken. Wij blijven daarbij de verwerker: de data is en blijft van jou en je klanten, wij beheren alleen de omgeving waarin die veilig wordt verwerkt. Hoe dit samenhangt met privacy, grondslagen en bewaartermijnen lees je op AVG / GDPR.
- Opslag in de EU: primaire regio Nederland, geen standaardopslag buiten de EER.
- Data residency: verwerking en back-ups blijven binnen Europese datacentra.
- Erkende infraproviders: gehost bij partijen met aantoonbare beveiligingscertificering.
Wie mag wat, en hoe jij dat afdwingt
Toegang is de gevoeligste laag van elk systeem. Als operator regel je dat expliciet, controleerbaar en met zo min mogelijk rechten per persoon, voor je eigen team én voor publishers en afnemers die op het platform werken.
Rollen & least-privilege
Jij bepaalt welke rol precies de rechten krijgt die bij de taak horen, niet meer. Een formulierbeheerder ziet andere schermen dan een afnemer of een financieel verantwoordelijke binnen jouw organisatie. Rechten wijs je centraal toe, nooit ad hoc per persoon.
MFA & SSO
Tweestapsverificatie (MFA) is standaard beschikbaar en kun je verplicht stellen voor je hele organisatie. Werk je met een eigen identiteitsprovider? Dan koppel je single sign-on (SSO) via SAML of OIDC, zodat in- en uitdiensttreding centraal bij jou geregeld blijft.
Periodieke access-reviews
Toegangsrechten verlopen niet vanzelf, daarom evalueer je ze structureel binnen het platform. Bij elke review controleer je of een rol nog passend is, en trek je accounts van vertrokken medewerkers in voordat ze een risico worden.
Logging van inzage
Niet alleen wijzigingen, maar ook het inzien van persoonsgegevens wordt vastgelegd. Wie keek wanneer naar welke aanvraag is daarmee achteraf herleidbaar: een onmisbare schakel voor jouw verantwoording richting publishers, afnemers en toezichthouder.
Alle inzage en wijzigingen komen samen in de audit trail, zodat jij niet alleen weet wie toegang heeft, maar ook wat er daadwerkelijk mee is gedaan.
Herstelbaar, niet alleen geback-upt
Een back-up is pas iets waard als je er ook écht mee kunt herstellen. Daarom toetsen we niet alleen dát we back-uppen, maar ook of terugzetten in de praktijk werkt: jouw operatie mag nooit langer dan nodig stilstaan.
Frequentie
Geautomatiseerde, versleutelde back-ups draaien dagelijks, met kortere intervallen voor kritieke data. Zo blijft het verlies bij een incident beperkt.
Geografische scheiding
Back-ups worden bewaard in een andere locatie dan de productieomgeving (binnen de EU), zodat één uitval nooit zowel data als back-up raakt.
Hersteltest
We voeren periodiek een herstelproef uit en bewaken hersteldoelen, zodat terugzetten geen theorie blijft maar een geoefend proces is.
Beveiliging begint bij de code
De meeste lekken ontstaan niet door zwakke encryptie, maar door fouten in software en verwaarloosde afhankelijkheden. Daarom is veilig ontwikkelen een vast onderdeel van hoe wij bouwen aan het platform waar jij op draait.
Gescheiden omgevingen
Ontwikkeling, test en productie zijn strikt van elkaar gescheiden. Echte persoonsgegevens komen nooit in test- of ontwikkelomgevingen terecht.
Verplichte code review
Geen wijziging gaat live zonder review door een tweede ontwikkelaar. Daarmee vangen we fouten en risicovolle patronen af vóór release naar jouw platform.
Dependency- & vulnerability-management
Externe libraries worden continu gescand op bekende kwetsbaarheden; kritieke updates worden met voorrang doorgevoerd.
Periodieke pentests
Onafhankelijke partijen testen het platform regelmatig op zwakke plekken. Bevindingen worden geprioriteerd en aantoonbaar opgevolgd.
Incident response
Als er onverhoopt iets misgaat, telt vooral hoe snel en gestructureerd er wordt gereageerd. We werken volgens een vast draaiboek, van eerste signaal tot wettelijke melding, zodat jij als operator altijd weet waar je aan toe bent.
Detectie
Monitoring en logging signaleren afwijkend gedrag en mogelijke incidenten in jouw platform. Geautomatiseerde alerts brengen het juiste team direct in actie.
Escalatie & inschatting
Een incident wordt geclassificeerd op impact en omvang. Een vast verantwoordelijk team neemt de regie en bepaalt de te nemen stappen.
Melding aan jou
Bij een datalek dat jouw platform of jouw klanten raakt, informeren wij jou als verwerkingsverantwoordelijke zonder onnodige vertraging, met de feiten die je nodig hebt richting publishers en afnemers.
AP-melding binnen 72 uur
Waar de wet dat vereist, ondersteunen we jouw melding bij de Autoriteit Persoonsgegevens binnen 72 uur, en bij hoog risico ook de betrokkenen.
Eerlijk over waar we staan
We bouwen het platform volgens de uitgangspunten van internationaal erkende normen als ISO 27001 en het SOC 2-kader: risicogestuurd informatiebeveiligingsbeleid, toegangsbeheer, change management, logging en incidentafhandeling. Onze infraproviders zijn voor hun diensten gecertificeerd.
We doen geen claims die we niet kunnen waarmaken: waar een formele certificering nog loopt, zeggen we dat eerlijk. Heb je voor een aanbesteding of due diligence van je eigen klanten specifieke documentatie nodig? Vraag het op via ricardo@oxiae.com, of bekijk het trust center voor beveiliging, status en responsible disclosure op één plek.
Laatst bijgewerkt op 12 maart 2026.
Veelgestelde vragen over beveiliging
De vragen die leadgeneratoren ons het vaakst stellen voordat ze hun leadoperatie op OXIAE draaien.
Waar staat onze data precies opgeslagen?
In datacentra binnen de Europese Unie, met Nederland als primaire regio. We kiezen bewust voor data residency in de EU, zodat er geen standaarddoorgifte naar landen buiten de EER plaatsvindt. Ook back-ups blijven binnen Europese datacentra.
Hoe is de data beschermd, in transport en in rust?
Alle verbindingen lopen versleuteld via TLS, en gegevens in rust worden versleuteld met AES-256. Daardoor blijven gegevens onleesbaar voor wie niet over de juiste sleutels beschikt, zowel onderweg over het netwerk als op schijf.
Wie kan de leadgegevens in ons platform inzien?
Alleen mensen met een rol waarvoor inzage strikt noodzakelijk is, op basis van least-privilege, door jou als operator ingesteld voor je eigen team, publishers en afnemers. MFA is standaard beschikbaar en SSO is mogelijk via je eigen identiteitsprovider. Inzage wordt gelogd en periodiek herzien, zodat rechten niet ongemerkt blijven hangen.
Wat gebeurt er bij een datalek?
We volgen een vast incident-draaiboek: detectie, escalatie en inschatting, melding aan jou als verwerkingsverantwoordelijke, en waar de wet dat vereist een melding bij de Autoriteit Persoonsgegevens binnen 72 uur. Bij hoog risico worden ook betrokkenen geïnformeerd.
Zijn jullie ISO 27001 of SOC 2 gecertificeerd?
We bouwen volgens de uitgangspunten van ISO 27001 en het SOC 2-kader, en onze infraproviders zijn voor hun diensten gecertificeerd. Waar een eigen formele certificering nog loopt, zeggen we dat eerlijk. Specifieke documentatie voor due diligence van je eigen klanten is op aanvraag beschikbaar.
Hoe weet ik zeker dat een verwerking heeft plaatsgevonden zoals afgesproken?
Elke verwerkingsstap en elke inzage komt samen in de audit trail van jouw platform. Die is inzichtelijk en exporteerbaar, zodat jij verantwoording kunt afleggen aan publishers, afnemers en toezichthouders zonder op ons woord te hoeven vertrouwen. Bekijk de audit trail voor de details.
Beveiliging in cijfers
Veiligheid die je kunt aantonen
Beveiliging die je kunt aantonen
Plan een demo en zie hoe versleuteling, toegangsbeheer en de audit trail standaard meekomen in jouw platform, of vraag specifieke documentatie aan.