Wat we doen met je data, je code en je geheimen.

Identiteit en registratie

Stacklane is een Nederlandse besloten vennootschap (BV), geregistreerd bij de Kamer van Koophandel. Elk contract, elke factuur en elke DPA wordt onder deze entiteit uitgegeven. We hebben geen offshore moedermaatschappij en geen shell-tussenpartij.

Jurisdictie

Nederland (EU-lidstaat, AVG van toepassing)

Belasting

EU-verleggingsregeling voor B2B-klanten buiten NL. BTW gefactureerd in NL.

Audit-trail

Alle facturatie via één Nederlandse boekhoudpartner.

Dataverwerking

We werken in jouw repo, op jouw data, in jouw accounts. Productiedata blijft standaard in jouw omgeving. Als we realistische data nodig hebben voor debugging, gebruiken we geanonimiseerde dumps of door jou geleverde scrubbed snapshots, nooit ruwe exports. We sturen data niet buiten jouw stack.

Dataresidentie

Je data blijft in jouw cloud-accounts. Wij houden geen productiekopieën.

Anonimisering

PII bij de bron gescrubt voor engineer-toegang.

Retentie

30 dagen voor debug-snapshots in ons ticket-systeem, daarna gewist.

Recht op vergetelheid

Per-subject verwijdering binnen 30 dagen na je verzoek.

Encryptie en geheimen

Geheimen lopen via één geauditeerd pad: jouw secret manager. We gebruiken vault-integraties (1Password, Bitwarden, Doppler, AWS Secrets Manager) en slaan credentials nooit in plaintext, in repos of in chat op. Code in transit is volledig versleuteld via jouw SCM.

In transit

TLS 1.3 op elke externe integratie.

At rest

Schijfversleuteling op alle engineer-machines (FileVault / LUKS / BitLocker).

Geheimen

Alleen in jouw vault. Engineer-toegang is just-in-time, gescoped, tijdgebonden.

Sleutelrotatie

Gedeelde sleutels geroteerd bij einde engagement en bij engineer-offboarding.

Authenticatie en toegang

Engineer-toegang tot jouw systemen is identity-scoped, MFA-verplicht en wordt aan het einde van het engagement ingetrokken. We prefereren SSO + SCIM-provisioning in jouw identity provider zodat jouw team de lifecycle beheert. Hardware keys zijn standaard op elke Stacklane-engineer-machine.

Identiteit

Per-engineer accounts in jouw SSO. Gedeelde accounts worden geweigerd.

MFA

Hardware security keys (YubiKey of vergelijkbaar) voor elke ontwikkelaar.

Provisioning

Just-in-time SCIM waar ondersteund, handmatig met gelogde goedkeuringen waar niet.

Offboarding

Toegang ingetrokken binnen 4 werkuren na engineer-rotatie of einde engagement.

Sub-processors

De externe diensten die Stacklane gebruikt om het bedrijf te draaien. We tonen elke sub-processor met datacategorie, regio en een link naar de relevante DPA. Geen uitzonderingen, geen verborgen processors.

Incident response

Als we een security-event detecteren of gemeld krijgen dat jouw data of systemen raakt, hoor je binnen 24 uur wat we weten, wat we hebben ingedamd en wat we onderzoeken. Je hoort opnieuw binnen 72 uur met een schriftelijk post-incident rapport.

Notificatie-SLA

Eerste melding binnen 24u. Schriftelijk rapport binnen 72u.

Escalatie

hello@stacklane.co routeert naar de oprichter + on-call ervaren ontwikkelaar.

Klantcomms

We ondersteunen jouw AVG-melding aan toezichthouder en betrokkenen.

Post-incident

Schriftelijke root cause, doorgevoerde wijzigingen en datums, met je gedeeld.

Compliance-positie

We vertellen je waarop we gecertificeerd zijn, waar niet en wat in uitvoering is. Geen handgewuif. AVG is in scope op elk engagement; SOC 2 Type II is in uitvoering met doel Q4 2026; ISO 27001 is momenteel niet gecertificeerd. NEN 7510-vocabulaire is vloeiend bij zorg-engagementen.

AVG / GDPR

Volledig. DPA getekend voor elke data-toegang. EU-jurisdictie standaard.

SOC 2 Type II

In uitvoering, audit-venster opent Q3 2026, rapport doelgericht Q4 2026.

ISO 27001

Momenteel niet gecertificeerd. We mappen controls 1:1 op verzoek voor procurement-reviews.

NEN 7510

Vocabulaire vloeiend voor zorg-engagementen. Niet formeel gecertificeerd.

HIPAA

BAA beschikbaar voor Amerikaanse zorg-engagementen op verzoek.