Hoe het werkt
🦷Tandartsen🩺Huisartsen🏠Makelaars⚖️Advocaten🍽️Restaurants🔧Loodgieters📊Accountants🏢Overig MKB
PrijzenVergelijkTeamBlogOver onsContact
Plan een demo

Security bij NeemtOp

Technische en organisatorische maatregelen om jouw data en gesprekken te beschermen.

Laatst bijgewerkt: 15 april 2026

In het kort

NeemtOp versleutelt alle data (TLS 1.2+ in transit, AES-256 at rest), host exclusief in de EU (Neurenberg), werkt met role-based access control en MFA, en voert jaarlijkse pentests uit. Incident response binnen 24 uur. We sluiten ons aan bij ISO 27001-principes; formele certificering volgt.

Onze uitgangspunten

Security bij NeemtOp is geen bijzaak — het is bepalend voor onze architectuur. We werken volgens drie principes:

  • Minimaal wat we niet nodig hebben — geen opslag zonder doel, geen rechten zonder reden.
  • Kort wat we wel bewaren — 30 dagen voor gesprekken, langer alleen op expliciet verzoek.
  • Transparant wat er gebeurt — dashboards, audit logs, incident notifications.

Versleuteling

Data in transit:

  • TLS 1.2+ voor alle web-verkeer
  • DTLS voor real-time voice streams
  • Signed payloads voor webhook-communicatie

Data at rest:

  • AES-256 voor alle gespreksopnames
  • Encrypted backups met geroteerde keys
  • Disk-level encryption op alle productie-servers

Key management:

  • Keys roteren automatisch elke 90 dagen
  • Geen plaintext secrets in code of logs
  • Access tot keys alleen voor ops-team met MFA

EU-hosting

Onze primaire hostinglocatie is Neurenberg, Duitsland. Dit is een bewuste keuze: geen US-transfer, geen Schrems II-risico, onder Duitse BSI-regelgeving.

We werken met Hetzner Online GmbH als hostingprovider. Zij zijn ISO 27001-gecertificeerd en hebben een track record van 25+ jaar in datacenter-operations. Redundantie is ingebouwd via meerdere availability zones.

Voor AI-modellen is soms VS-processing nodig. We minimaliseren dit: standaard gebruiken we EU-endpoints waar beschikbaar (OpenAI Ireland, Google EU). Voor Pro-pakketten kunnen we volledig EU-only opereren.

Access control

Wie kan wat? Dat regelen we met role-based access control (RBAC):

  • Client-admin: volledig toegang tot jouw configuratie en logs.
  • Client-user: alleen lees-rechten op eigen configuratie.
  • NeemtOp-ops: tijdelijke productie-toegang met audit trail. Elke actie gelogd.
  • NeemtOp-support: alleen toegang met expliciete klanttoestemming per ticket.

MFA is verplicht voor alle medewerkers met productie-toegang. We gebruiken hardware-based keys (WebAuthn) waar mogelijk. Geen SMS-based 2FA vanwege SIM-swapping risico.

Monitoring en logging

We loggen alles wat relevant is voor security:

  • Access logs (wie benaderde wat, wanneer)
  • Application logs (wat gebeurde er technisch)
  • Audit logs (welke configuratie-wijzigingen werden gemaakt)
  • Security events (failed login attempts, anomalieën)

Logs worden gemonitord met automatische alerts voor verdachte patronen (brute force, SQL injection-pogingen, DDoS). On-call rotatie 24/7 voor P0-incidenten.

Incident response

Wanneer er iets fout gaat, werken we volgens een vast draaiboek:

Binnen 1 uur:

  • Incident detectie en initiële beoordeling
  • Inschakelen van on-call engineer
  • Containment — voorkomen van verdere schade

Binnen 24 uur:

  • Klanten informeren (als zij betrokken zijn)
  • Root cause analysis
  • Communicatie via status-pagina en e-mail

Binnen 72 uur (bij datalek):

  • Autoriteit Persoonsgegevens informeren (via klant, wij adviseren)
  • Uitgebreide post-mortem delen
  • Actieplan voor preventie

Pentests en audits

Elk jaar laten we een externe penetratietest uitvoeren. Resultaten worden op aanvraag gedeeld met klanten op het Pro-pakket (onder NDA).

We werken volgens ISO 27001-principes. Formele certificering is gepland voor 2027. Voor klanten in zorg en overheid bieden we een aanvullende NEN 7510-afstemming.

Verantwoord openbaren (responsible disclosure)

Denk je dat je een kwetsbaarheid hebt gevonden? We waarderen dat enorm. Onze procedure:

  • Meld het via security@neemtop.nl met een duidelijke beschrijving.
  • We reageren binnen 48 uur en coördineren verder onderzoek.
  • Geen juridische actie tegen personen die te goeder trouw melden.
  • Na fix: credit in onze security hall of fame (op verzoek).

Gerelateerde documentatie

Privacy & Compliance overzicht

Verwerkingsketen, privacy-features en bewaartermijnen

Lees meer →

AI Act-compliance

EU AI-wetgeving in de praktijk

Lees meer →

Sub-verwerkers

Welke externe partijen data raken

Lees meer →

DPIA-template

Voor eigen effectbeoordeling

Lees meer →

Verwerkingsregister

Art. 30 AVG-documentatie

Lees meer →

AI-ethiek

Vijf principes voor verantwoorde AI-telefonie

Lees meer →

Vragen over compliance?

Ewout, onze juridisch en compliance-adviseur, beantwoordt ze persoonlijk.

Stel je vraag aan Ewout