Beveiliging

Versie 1.0 · Laatst bijgewerkt: 11 mei 2026

Trainiq verwerkt cursistgegevens, factuurgegevens en certificaten: informatie die je niet zomaar bij een willekeurige leverancier neerlegt. Op deze pagina leggen wij uit welke technische en organisatorische maatregelen wij nemen om de beschikbaarheid, integriteit en vertrouwelijkheid van die gegevens te beschermen.

Deze pagina is een publieke samenvatting van ons interne informatiebeveiligingsbeleid. Werk je aan een audit of leverancierstoets en heb je het volledige document nodig? Vraag het op via info@trainiq.nl.

EU-onlyAlle data binnen de Europese Economische Ruimte

Geen wachtwoordenInloggen via magic-link of passkey

Volledig versleuteldTLS 1.2+ in transit, encrypted at rest

Audit logElke admin-actie is herleidbaar

1. Authenticatie

Trainiq werkt zonder wachtwoorden. Alle portalen (administrators, partners, instructeurs en cursisten) gebruiken wachtwoordloze authenticatie:

Magic-link per e-mail: een eenmalige login-link die binnen 15 minuten verloopt en bij gebruik onmiddellijk wordt geconsumeerd
Passkey (WebAuthn): optioneel voor administrators die een snellere login willen, biometrisch of via een hardware-key
Geen wachtwoord-database. Geen wachtwoord-database betekent geen wachtwoord-database-leak.
Geen zombie-sessies: API-tokens voor de mobiele app vervallen bij her-authenticatie op hetzelfde apparaat

Op interne accounts (GitHub, Coolify, Docker Hub, Hetzner, Brevo, betaal-providers, AWS, domeinregistrar) is twee-factor-authenticatie verplicht.

2. Versleuteling

In transit

Alle externe communicatie verloopt via HTTPS / TLS 1.2 of hoger
HTTP-verkeer wordt automatisch doorgestuurd naar HTTPS op proxy-niveau
HSTS-header op alle publieke endpoints, zodat browsers weten "altijd HTTPS"

At rest

Productie-databases draaien op versleutelde volumes
Back-ups worden versleuteld opgeslagen op een aparte host
Privé-bestanden (handtekeningen, getekende contracten) staan op een geïsoleerde volume, alleen bereikbaar via auth-gated routes; niet via een open URL
Geen wachtwoorden of API-keys in de broncode; alle credentials komen uit beheerde environment-variabelen

3. Toegangscontrole

Rolgebaseerde autorisatie binnen het platform: planner, medewerker, beheerder, instructeur. Elke rol ziet alleen wat hij hoort te zien.
Isolatie per opleider: elke opleider draait op een eigen omgeving met een eigen database, optioneel op een eigen domein. Data van verschillende opleiders raakt elkaar niet.
Minimaal-rechten-principe: database-gebruikers per resource (geen super-user vanuit de applicatie); API-keys voor subverwerkers zijn scoped per opleider.
Geen gedeelde accounts. Elke medewerker heeft een eigen e-mail-gebonden account met persoonlijke audit-trail.

Toegang door support

Wat ziet support van mijn data? Geen god-mode admin-toegang. Onze supportmedewerkers hebben geen permanente impersonatie-rechten op klant-omgevingen. Wat zij in een supportgesprek zien is wat jij hen actief toont: een gedeelde screenshot, een geëxporteerd voorbeeld, of een tijdelijke gedelegeerde toegang die jij zelf in het admin-portaal kunt verlenen en intrekken.

Indien voor het oplossen van een complex probleem alsnog beheertoegang nodig is, gebeurt dat uitsluitend met jouw voorafgaande toestemming en wordt elke handeling vastgelegd in de audit-trail van jouw omgeving. Wij delen klantgegevens nooit met derden voor ondersteuningsdoeleinden zonder een verwerkersovereenkomst.

4. Audit log

Significante mutaties (boekingen, certificaten, facturen, gebruikerswijzigingen, integraties) worden gelogd met actor, tijdstempel, voor- en na-waarden. Het audit log is in te zien via /admin/audit-log en wordt minimaal 2 jaar bewaard. Voor opleiders die onder NRTO-eisen vallen, of partners die een audit-vraag krijgen, is dit het primaire bewijsstuk.

5. Back-up en herstel

Dagelijkse geautomatiseerde database-snapshot, retentie 30 dagen, opgeslagen op een aparte host
Volumes (waar privé-bestanden zoals handtekeningen staan) zitten in dezelfde dagelijkse snapshot
Kwartaal restore-test: een willekeurige snapshot wordt teruggezet in een dispose-omgeving en geverifieerd
Configuratie en environment-variabelen worden geëxporteerd bij elke significante wijziging

6. Datalek-procedure

Vermoeden of bevestiging van een datalek volgt onderstaande tijdslijn:

Binnen 4 uur: vector blokkeren (endpoint disablen, gelekte keys roteren, getroffen klant-instance isoleren)
Binnen 24 uur: scope vaststellen (welke gegevens, welke betrokkenen, welke periode)
Binnen 48 uur: notificatie aan klant met alle informatie nodig voor diens eigen meldplicht
Binnen 72 uur: indien meldplichtig, notificatie aan de Autoriteit Persoonsgegevens (formeel jouw plicht; wij leveren je de stof)
Binnen 14 dagen na incident: schriftelijke post-mortem (wat ging mis, hoe voorkomen we herhaling)

De volledige procedure staat in artikel 26 van de algemene voorwaarden.

7. Vulnerability management

Dependency-scans bij elke deploy; high/critical vulnerabilities worden binnen 7 dagen behandeld, medium binnen 30 dagen
Container base images worden minimaal per kwartaal opnieuw gebouwd om OS-patches op te pikken
Geautomatiseerde CI/CD-checks vóór elke productie-deploy; een falende testsuite blokkeert deployment
Rolling deploys: versie-getagde images kunnen binnen één klik worden teruggerold
Externe penetratie-test jaarlijks gepland

8. Subverwerker-management

Alle derde partijen die wij inschakelen (hosting via Hetzner, e-mail via Brevo, AI via AWS Bedrock EU, domeinregistratie via TransIP, container-registry via Docker Inc.) staan binnen de EER. Uitzondering: Docker Inc. valt onder SCC's, en daar passeren geen klantgegevens. Het overzicht inclusief certificeringen vind je op trainiq.nl/subverwerkers.

Wij reviewen elke subverwerker minstens jaarlijks op cert-status, datalek-historie, locatie en service-niveau. Wijzigingen worden 30 dagen vooraf aangekondigd.

9. Continuïteit

Source code is gespiegeld op meerdere locaties (zelfgehoste Forgejo + GitHub als fallback). Voor het geval van langdurige uitval van de eigenaar zijn toegangsprocedures gedocumenteerd, zodat klanten conform artikel 31 van de algemene voorwaarden hun data-export kunnen ontvangen.

10. Eindpuntbeveiliging en personeel

Volledige schijfversleuteling op werkstations
Automatische schermvergrendeling na 5 minuten inactiviteit
OS-updates binnen 7 dagen na release; security-patches binnen 48 uur
Geheimhoudingsverplichting contractueel vastgelegd voor alle personen die persoonsgegevens verwerken
Geen klantgegevens lokaal anders dan tijdelijke debug-output op gegenereerde testdata
Geen klantgegevens in publieke AI-prompts buiten de eigen Bedrock-keten met PII-detector en zero-retention

Vragen of een audit?

Heb je vragen over onze beveiliging, of werk je aan een leverancierstoets en heb je meer detail nodig? Mail info@trainiq.nl. Wij delen graag het volledige interne beveiligingsbeleid, certificeringen waar van toepassing, en (voor enterprise-klanten) een SOC 2-type-rapport-onder-NDA wanneer beschikbaar.