Jullie data, in Europa.
Geen concessies.
Ledenregistratie, repetitieschema's, bladmuziek, betalingen — alles blijft binnen de Europese Unie, onder Nederlands recht. Geen Google, geen Amazon, geen Meta. Geen verrassingen.
In Europa, altijd
Alle infrastructuur staat in Nederland of Duitsland. Geen enkele persoonsgegeven verlaat de Europese Unie.
- Server & back-ups in Duitsland
- Betaalverwerking via Nederlandse partij
- Video streaming op Europese CDN
- DNS & domeinen via Nederlandse registrar
- Geen AWS, Azure, Google Cloud of Meta
- Klanten ontvangen de volledige lijst met partijen bij het tekenen van de verwerkersovereenkomst
Privacy zonder uitzondering
Geen trackers, geen advertenties, geen doorverkoop. Jullie vereniging bepaalt, wij voeren uit.
- Geen Google Analytics, geen Meta Pixel
- Alleen functionele cookies (geen tracking)
- Recht op vergetelheid: leden verwijderen zelf hun gegevens
- Data-export: alle gegevens downloadbaar
- Verwerkersovereenkomst standaard meegeleverd
- Geen data ooit aan derden verkocht
Ingebakken veiligheid
Vanaf dag één gebouwd met beveiliging als vertrekpunt — niet als bijzaak.
- HTTPS + HSTS op alle verkeer
- Tweestapsverificatie voor beheerders
- Wachtwoorden versleuteld (bcrypt) opgeslagen
- API-sleutels & tokens in versleutelde vorm
- Rate-limiting tegen brute-force aanvallen
- Audit-log van beheeracties
- Dagelijkse versleutelde back-ups
- Automatische security-updates
Hoe verhoudt Symfio zich tot alternatieven?
Veel verenigingen kiezen noodgedwongen voor een WordPress-site met losse plug-ins of een Amerikaans SaaS-platform. Hier zie je wat dat in de praktijk betekent:
| Symfio | WordPress + plug-ins | Amerikaanse SaaS | |
|---|---|---|---|
| Data binnen EU | ✓ altijd | afhankelijk van hoster | ✗ vaak VS |
| Geen tracking cookies | ✓ | ✗ plug-ins laden vaak trackers | ✗ |
| Automatische security-updates | ✓ | handmatig, plug-in-ketting | ✓ |
| Aanvalsoppervlak | klein (eigen code) | groot (tientallen plug-ins) | klein |
| Verwerkersovereenkomst | ✓ standaard meegeleverd | per plug-in apart | Engelstalig, SCC vereist |
| Onder Nederlands recht | ✓ | afhankelijk | ✗ VS-recht |
| Self-service data-verwijdering | ✓ met één klik | ✗ handmatig DB-werk | verschillend |
Hoe we omgaan met een datalek
Geen enkel systeem is 100% onfeilbaar. Mocht er onverhoopt iets gebeuren, dan informeren we getroffen klanten direct en melden we waar de wet dat vereist bij de Autoriteit Persoonsgegevens binnen de wettelijke termijn van 72 uur.
De volledige meldingsprocedure met concrete termijnen staat in de verwerkersovereenkomst die elke klant bij aanvang ontvangt.
Praktische veiligheidsmaatregelen
Voor jullie als vereniging
- Schakel tweestapsverificatie in voor beheerders (via Mijn account)
- Gebruik sterke, unieke wachtwoorden (wij slaan nooit plaintext op)
- Geef leden alleen de rol die ze écht nodig hebben
- Zet bestuursdocumenten pas op "Publiek" na controle op persoonsgegevens
Wat wij technisch doen
- Tussen jullie browser en onze server: TLS 1.2/1.3 encryptie met HSTS
- Wachtwoorden: bcrypt met cost-factor 12 (moderne industriestandaard)
- API-sleutels en 2FA-secrets: AES-256-CBC versleuteld in database
- Mislukte logins: maximaal 5 per IP per 15 minuten — daarna tijdelijk geblokkeerd
- Beveiligingsheaders: HSTS, Content-Security-Policy, X-Frame-Options, Referrer-Policy
- Automatische server-updates voor kritieke security patches
- Dagelijkse versleutelde back-ups met 7 dagen / 4 weken / 3 maanden retentie
Transparant, niet perfect
Geen enkel platform is 100% veilig — wie het beweert, liegt. Wat we wel beloven:
- Eerlijk zijn over wat wel en niet kan
- Bij incidenten direct melden, niet maanden stilzwijgen
- Continu blijven verbeteren — security is geen eenmalig project
- Geen afhankelijkheid van Big Tech — we kiezen bewust Europese partijen
Meer details? Zie Privacyverklaring, Subverwerkers en Verwerkersovereenkomst.
Klaar om met een gerust hart te starten?
14 dagen gratis proberen. Geen creditcard. Nederlands platform, Europese infrastructuur.
Start je gratis proefperiode →