Beveiliging

Laatst bijgewerkt: 1 mei 2026

Eerlijk verhaal: SimplBooks is een one-person product. Geen ISO-certificering, geen SOC 2-audit. Wel transparantie over wat we wél doen, hoe het is opgebouwd en hoe je een melding kunt doen. Liever specifiek dan vaag.

Wat we doen om je data te beschermen

Architectuur

  • Row Level Security (RLS) op alle tabellen in onze Postgres-database. Gebruiker A kan technisch geen data van gebruiker B benaderen, ook niet via directe API-calls.
  • Server-only writes voor abonnementsstatus: een aparte tabel waar alleen de Mollie-webhook (server-side, met service-rol-sleutel) en admin-tooling kunnen schrijven. Gebruikers kunnen hun eigen plan-status alleen lezen, niet wijzigen.
  • Database-trigger als extra laag die pogingen tot manipulatie van security-relevante velden actief blokkeert en logt.
  • Audit log voor security-events: elke plan-wijziging en elke geblokkeerde poging wordt geregistreerd.

Verbinding

  • HTTPS afgedwongen via HSTS (2 jaar, includeSubDomains, preload). Geen onversleutelde verbinding mogelijk.
  • Content Security Policy actief: alleen scripts van vertrouwde bronnen, formulieren alleen naar onszelf en betaalprovider.
  • Cross-Origin Opener Policy en aanverwante headers tegen cross-origin attacks.

Gevoelige data

  • API keys versleuteld: OpenAI-sleutels worden AES-GCM versleuteld voordat ze naar de database gaan. Alleen jouw browser kan ze ontcijferen.
  • Geen wachtwoorden in onze code: authenticatie loopt via Supabase Auth (industrie-standaard).
  • Storage privé: bestanden (bonnen, belastingdocumenten) staan in privé-buckets, alleen toegankelijk voor de eigenaar.

Hosting

  • Database in Amsterdam (Supabase, EU-regio).
  • Frontend op Vercel, edge in EU.
  • Geen overdracht naar buiten de EU behalve OpenAI (alleen wanneer je Sem actief gebruikt; via Standard Contractual Clauses, met data-opt-out voor modeltraining).

Wat we (nog) niet hebben

  • ISO 27001-certificering. Voor een ZZP-tool van €99 eenmalig is een ISO-audit (€15.000-€50.000 + jaarlijkse herhaling) niet realistisch op dit moment. Mogelijk later, als de schaal het rechtvaardigt.
  • SOC 2 Type II. Idem.
  • Externe penetration test. We werken wel met onafhankelijke security-onderzoekers via responsible disclosure (zie onder).
  • 24/7 SOC. Bij beveiligingsincidenten reageert Jeroen persoonlijk binnen 24 uur.

Verwerkersovereenkomst (DPA)

Verwerk je via SimplBooks persoonsgegevens van klanten of relaties (bijv. namen, adressen, betalingen)? Dan heb je een verwerkersovereenkomst nodig. Onze DPA-template is op aanvraag beschikbaar via jeroen@simplbooks.nl.

De DPA dekt onder andere:

  • Doel en aard van de verwerking
  • Soorten persoonsgegevens en categorieën betrokkenen
  • Onze sub-verwerkers (Supabase, Mollie, Resend, OpenAI bij Sem-gebruik) met hun rol
  • Beveiligingsmaatregelen
  • Datalek-meldplicht (binnen 24 uur na ontdekking)
  • Audit-recht
  • Verwijderingsplicht bij einde overeenkomst

DPIA — Sem (AI-assistent)

Sem is een AI-systeem dat persoonsgegevens verwerkt. Onder AVG Art. 35 hebben we een Data Protection Impact Assessment uitgevoerd: beoordeling van noodzaak, proportionaliteit, risico's en maatregelen. Restrisico komt uit op Laag-Midden — geen verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens. Het volledige document is op aanvraag beschikbaar via jeroen@simplbooks.nl of in de repo als dpia-sem.md.

Responsible disclosure

Vond je een beveiligingsprobleem? Mail jeroen@simplbooks.nl. Wat we beloven:

  • Reactie binnen 24 uur
  • Eerlijke beoordeling van de severity
  • Fix-update aan jou met een redelijk tijdsbestek
  • Geen juridische stappen tegen melders die zich aan deze regels houden
  • Met jouw toestemming: vermelding op deze pagina als reporter (link naar je site/LinkedIn als gewenst)

Bij geverifieerde meldingen hanteren we een informele bug-bounty:

  • Critical (auth bypass, datalek, privilege escalation): €100-€250
  • High (RLS-gat, persistente XSS): €50-€100
  • Medium (info disclosure, CSRF): €20-€50
  • Low / hardening tip: bedankje + (optionele) vermelding

Spelregels: niet publiek delen vóór de fix, geen DDoS, geen toegang tot data van andere gebruikers anders dan nodig om het probleem aan te tonen.

Datalek-meldplicht

Mocht er ondanks alles iets fout gaan en jouw gegevens betrokken zijn, dan informeren wij jou rechtstreeks (e-mail) binnen 72 uur na ontdekking, conform de AVG. Bij een datalek van klant-gegevens van jou, ondersteunen wij je bij het vervullen van je eigen meldplicht richting je klanten.

Roadmap

In volgorde van impact ÷ inspanning:

  1. Inline scripts uitfaseren zodat we Content Security Policy zonder 'unsafe-inline' kunnen draaien.
  2. JWT in httpOnly cookies (in plaats van localStorage) — beperkt schade bij eventuele XSS.
  3. Rate limiting op API-endpoints via Vercel KV.
  4. Point-in-time recovery activeren op de database (Supabase Pro).
  5. Externe penetration test wanneer schaal dit rechtvaardigt.

Bedankt

Met dank aan deze onderzoekers voor responsible disclosure:

  • Ruben Bijker (april 2026) — vond een mogelijkheid om de eigen abonnementsstatus client-side te wijzigen. Architectuur is naar aanleiding hiervan herbouwd: plan-status nu in een server-only tabel met database-trigger als extra laag.

Contact

LangeGast
KvK: 74827553
BTW: NL002232024B72
E-mail security: jeroen@simplbooks.nl

← Terug naar homepage Privacybeleid →