V
Voot
Security & Compliance

Security is geen bijlage. Het is de architectuur.

Woningcorporaties zijn een aantrekkelijk doelwit voor ransomware en datalekken — bewonersgegevens zijn waardevol, systemen zijn divers en medewerkers werken in meerdere applicaties tegelijk. Voot bouwt geen muur om dat risico heen. Wij verkleinen het systematisch, door security mee te ontwerpen — niet er achteraf op te plakken.

Hosting & infrastructuur

Nederlandse hosting, geen US-cloudroute.

Azure North — Nederland

Alle productiedata wordt opgeslagen en verwerkt op Microsoft Azure-infrastructuur in de regio North Europe (datacenter: Nederland). Er vindt geen dataoverdracht plaats naar Azure-regio's buiten de EU of EER.

Geen US-cloudroute

Voot heeft geen Amerikaans moederbedrijf en valt niet onder de CLOUD Act of vergelijkbare Amerikaanse wetgeving. Uw bewonersgegevens zijn uitsluitend onderhevig aan Nederlandse en Europese wetgeving.

AI op EU-endpoint

Tekstvereenvoudiging en taalondersteuning worden verwerkt via een EU-conforme endpoint. Uw gegevens worden niet gebruikt voor modeltraining. Dit is contractueel vastgelegd in de verwerkersovereenkomst.

Certificering & conformiteit

Status per norm.

StandaardStatus
NEN 7510 (informatiebeveiliging)Gebouwd naar norm
ISO 27001In voorbereiding — Q3 2026
NTA 7516 (veilige e-mail)Gebouwd naar norm
AVG / GDPRVerwerkersovereenkomst beschikbaar
BIO (Baseline Informatiebeveiliging Overheid)Referentie — niet van toepassing voor private partijen
Toegangsbeheer

Granulair en aantoonbaar.

  • · SSO beschikbaar in Enterprise-tier via SAML 2.0 / Azure AD
  • · Tweestapsverificatie (2FA) verplicht voor alle gebruikersaccounts
  • · Rolmatrix van vijf rollen met granulaire rechtenstructuur
  • · Just-in-time toegangsverlening voor tijdelijke medewerkers
  • · Inactiviteits-timeout: configureerbaar per organisatie
Gegevensverwerking & privacy

Minimaal, doelgebonden.

  • · Verwerkersovereenkomst conform artikel 28 AVG — beschikbaar bij demo-aanvraag
  • · DPIA-template voor het 70%-traject beschikbaar voor pilotpartners
  • · Pseudonimisering als default: namen nooit in platte tekst in logs of exports
  • · Lifecycle-degradatie: bewonersgegevens na vijf jaar automatisch teruggebracht (Compliance+-module)
  • · Geen subverwerkers buiten de EU of EER
Beschikbaarheid & herstel

SLA met herstelgarantie.

  • · Uptime SLA: 99,5% in Plus- en Enterprise-tier
  • · Geplande onderhoudsmomenten: buiten kantooruren, minimaal 48 uur vooraf aangekondigd
  • · RTO (Recovery Time Objective): < 4 uur bij volledig platformincident
  • · RPO (Recovery Point Objective): < 1 uur
  • · Incidentrespons: named contact in Plus en Enterprise
Software-escrow & pentest

Continuïteit en onafhankelijke toetsing.

Voot werkt met een software-escrow constructie bij een erkende escrow-provider. Bij faillissement of overmacht zijn uw projectdossiers en de broncode bij een onafhankelijke derde ondergebracht en overdraagbaar.

Minimaal één keer per jaar wordt een externe penetratietest uitgevoerd. Rapporten zijn beschikbaar voor Enterprise-klanten op basis van een NDA.

Documentatiepakket voor inkooptraject

Beschikbaar op verzoek.

  • Verwerkersovereenkomst (artikel 28 AVG)
  • DPIA-template renovatietraject
  • Beveiligingsbeleid (Information Security Policy)
  • Subverwerkers-overzicht
  • Penetratietestrapport (NDA vereist)
  • SLA-document
  • Escrow-constructie toelichting