Skip to Content

Security & Operational Measures

 > Legal information > Security & Operational Measures

1. Doel en status2. Beveiligingsmaatregelen3. Operationele maatregelen4. Governance5. Grenzen6. Samenhang met intern beleid

Datum: 14 mei 2026

1. Doel en status

Dit document beschrijft de technische, organisatorische en operationele maatregelen die euquista toepast voor haar digitale diensten.

De maatregelen in dit document vormen de contractuele operationele baseline van euquista en zijn bindend als bijlage bij de Overeenkomst. Afwijkingen zijn alleen geldig als zij uitdrukkelijk en schriftelijk in de Overeenkomst zijn overeengekomen. Concrete servicelevels, responstijden of herstelstreefdoelen gelden alleen als zij uitdrukkelijk in de Overeenkomst of een actieve SLA staan.

2. Beveiligingsmaatregelen

euquista past passende technische en organisatorische maatregelen toe, afgestemd op de aard van de Dienst, de verwerkte data, de stand van de techniek en de redelijke operationele risico's.

2.1 Bindende minimumnormen

De volgende maatregelen zijn bindende minimumnormen die euquista te allen tijde toepast voor productieomgevingen. Ze zijn afdwingbaar als bijlage bij de Overeenkomst:

MaatregelMinimumnorm
MFA voor beheeraccountsMulti-factor authenticatie is verplicht voor alle administratieve en privileged accounts met toegang tot productiesystemen of klantdata
Encryptie in transitAlle dataoverdrachten via publieke netwerken zijn versleuteld via TLS 1.2 of hoger
Encryptie at restAlle data in back-ups is versleuteld in opslag; gevoelige data in productieomgevingen is versleuteld in opslag
Patchbeheer - kritieke kwetsbaarhedenKritieke beveiligingspatches (CVSS ≥ 9) worden zonder onnodige vertragingen geëvalueerd waaruit mitigatie of gemotiveerde risicoacceptatie volgt (in dat geval intern gedocumenteerd)
Patchbeheer - hoge kwetsbaarhedenHoge beveiligingspatches (CVSS 7–8.9) worden binnen 14 dagen uitgerold
Back-upfrequentieProductiedatabases worden minimaal dagelijks back-up genomen; continue WAL-archivering is actief
ToegangsreviewToegangsrechten tot productiesystemen worden minimaal halfjaarlijks gereviewed
IncidentresponsVastgestelde beveiligingsincidenten worden intern beoordeeld binnen 4 uur; de klant wordt geïnformeerd conform de meldplichten in de Overeenkomst
LoggingretentieBewaartermijnen voor logs conform de bewaartermijnentabel in Privacy Policy

2.2 Aanvullende operationele maatregelen

Naast de bindende minimumnormen past euquista de volgende maatregelen toe op basis van commercieel redelijke inspanning (best-effort):

  • rolgebaseerde toegang voor beheerders en gebruikers;
  • scheiding tussen ontwikkelings-, test-, staging- en productieomgevingen;
  • endpoint- en apparaatbeveiliging via passende basismaatregelen zoals versleuteling, toegangsbeveiliging en verlies- of diefstalprocedures;
  • beheer van secrets, API keys en productieconfiguratie via passende interne procedures;
  • beveiligingsrichtlijnen voor softwareontwikkeling en deployment;
  • secure development controls zoals peer review en geautomatiseerde kwaliteits- en veiligheidschecks;
  • monitoring van afhankelijkheden en derdepartijcomponenten op relevante securityrisico's.

3. Operationele maatregelen

De processen in dit artikel zijn operationele praktijken op basis van commercieel redelijke inspanning, tenzij een specifiek element uitdrukkelijk als bindende minimumnorm in §2.1 is opgenomen of in de Overeenkomst is vastgelegd.

euquista gebruikt operationele processen om de continuïteit, stabiliteit en herstelbaarheid van haar diensten te ondersteunen.

euquista voert back-up-, retentie- en herstelprocessen uit, afgestemd op de aard van de Dienst, de operationele context en de beschikbare infrastructuur. Waar passend voert euquista hersteltests, rollbackprocedures of herstelvalidaties uit.

Zonder een actief contractuele SLA gelden geen gegarandeerde RPO- of RTO-waarden. euquista hanteert intern de volgende operationele streefwaarden (best-effort, niet contractueel afdwingbaar tenzij uitdrukkelijk in de SLA opgenomen):

ParameterInterne streefwaarde
RPO (Recovery Point Objective)5 minuten (via continue WAL-archivering)
RTO (Recovery Time Objective)4 uur (volledige serviceherstel)
Fallback RPO24 uur (via dagelijkse snapshot bij uitval WAL-archivering)

Concrete en contractueel afdwingbare RPO/RTO-waarden worden uitsluitend gespecificeerd in een actieve SLA of uitdrukkelijke Overeenkomst.

Bewaartermijnen voor logs, security-events en operationele telemetrie staan in de bewaartermijnentabel in de Privacy Policy.

De processen omvatten onder meer:

  • incidentmelding, eerste beoordeling, prioriteitsbepaling en escalatie;
  • diagnose, workaround, herstel en afsluiting van wezenlijke incidenten;
  • back-up- en herstelprocessen op basis van de aard van de Dienst;
  • deploymentgovernance met aandacht voor testing, rollback en communicatie;
  • monitoring van relevante productiecomponenten;
  • evaluatie na wezenlijke incidenten, inclusief lessons learned en verbetering van procedures waar passend;
  • veilige verwijdering of vernietiging van gevoelige data en opslagmedia waar dit operationeel relevant is;
  • klantmedewerking bij incidenten die afhankelijk zijn van klantconfiguratie, data, toegang of integraties;
  • documentatie van wezenlijke operationele wijzigingen waar dit redelijkerwijs nodig is.

4. Governance

:::note Bindende organisatorische minimumnormen De governance-principes in dit artikel zijn bindende minimumnormen op organisatieniveau en maken deel uit van de contractuele baseline. :::

euquista past governanceprincipes toe om security en operations beheersbaar te houden.

Deze principes omvatten onder meer:

  • beoordeling van subprocessors en kritieke leveranciers;
  • least privilege als uitgangspunt voor toegang tot systemen en klantdata;
  • onboarding en offboarding van personen met toegang tot relevante systemen;
  • beperking van toegang tot productieomgevingen tot bevoegde personen;
  • vertrouwelijkheid voor medewerkers, hulppersonen en relevante dienstverleners;
  • periodieke herziening van interne security- en operationele richtlijnen.

5. Grenzen

Dit artikel beschrijft inherente beperkingen van digitale dienstverlening en is informatief van aard. Het legt geen aanvullende contractuele verplichtingen op.

Geen enkele digitale dienst kan absolute beveiliging, ononderbroken beschikbaarheid of volledig herstel zonder risico garanderen. euquista neemt redelijke en proportionele maatregelen, maar is mede afhankelijk van klantconfiguratie, eindgebruikersgedrag, netwerken, browsers, integraties, cloudproviders en andere derde partijen.

Als een Incident of storing mede veroorzaakt wordt door factoren buiten de redelijke controle van euquista, blijft euquista verantwoordelijk voor commercieel redelijke mitigatie binnen haar eigen controle. Voor de externe oorzaak zelf is zij niet verantwoordelijk.

6. Samenhang met intern beleid

Dit document beschrijft de klantgerichte, contractuele baseline op principle-based niveau. Het interne Security protocol bevat aanvullende operationele uitwerking voor medewerkers en bevoegde hulppersonen en kan worden ingekeken op aanvraag.