Voor IT & Security

Security & Compliance — transparant, per klant geïsoleerd

Hoe we data hosten, verwerken en beschermen. Bedoeld voor IT-professionals die Server Side Support evalueren voor interne goedkeuring.

DPA aanvragen Stel een security-vraag

Wat je moet weten

Negen kern-aspecten die IT-reviews meestal toetsen. Beknopt. Stel aanvullende vragen via security-contact onderaan.

✓ Hosting & data-residency

Alle klant-VPS-en draaien in Amsterdam (UpCloud, nl-ams1)
GTM server-containers 100% binnen de EU
Dashboard op Google Cloud Run in europe-west1 (België)
Geen data-doorvoer buiten de EU zonder expliciete klant-keuze (bijv. Meta CAPI naar Meta)

✓ Isolatie per klant

Dedicated VPS per website — geen multi-tenancy op infra-niveau
Eigen Docker-container + eigen GTM server-container-ID
Eigen SSL-certificaat per hostname via Let's Encrypt
Per-hostname nginx server-blocks (geen cert SAN-overlap)

✓ Encryptie

TLS 1.2+ verplicht, HTTPS-redirect geforceerd
Let's Encrypt certificaten, auto-renew via certbot-timer
Data-at-rest: UpCloud block-storage encryptie
Geen HTTP-fallback beschikbaar

✓ Authenticatie & access

Login via Google OAuth (SSO met klant's eigen Google-account)
Multi-user per klant met primary-owner-rol voor provisioning
Admin-endpoints IAM-gated op Cloud Run (service-account-only)
Geen wachtwoorden opgeslagen → geen credential-leak-risico

✓ Data-minimalisatie

Live event-payloads worden niet persistent gelogd
Alleen aggregated request-volume in klant-dashboard
Geen PII-opslag in onze systemen
Enhanced Matching & CAPI: SHA-256 hashing server-side vóór verzending
First-party cookies op klant-domein, geen cross-site tracking
GA4 Data API-reads via ons service-account (alleen Viewer-rol op klant-property, OAuth-scope beperkt tot analytics.manage.users + analytics.readonly). Van klant-GA4 bewaren we alleen aggregate event-counts per event-naam — geen user-IDs, bedragen of sessie-details.

✓ Security hardening

Unattended-upgrades op elke VPS (auto-patch Ubuntu)
fail2ban actief op SSH-poort
Self-heal systemd-timer herstelt containers bij boot-issues
Rate-limiting op alle publieke endpoints
Idempotent webhooks via atomic claims (Firestore transactions)

✓ Consent Mode v2

Standaard ingeschakeld op alle server-containers
Granted / denied-signalen worden juist doorgegeven naar Google & Meta
Werkt met Cookiebot, Usercentrics, Iubenda, CookieYes en andere CMP's
Klant behoudt volledige controle over wat wel/niet wordt gestuurd

✓ AVG / GDPR

Onze rol: data processor (klant is controller)
DPA (Data Processing Agreement) beschikbaar op aanvraag
EU data-residency gegarandeerd voor eigen infra
Recht op verwijdering: via dashboard of mail binnen 30 dagen
Breach-notificatie: binnen 72 uur volgens AVG art. 33

✓ Business continuity

Maandelijks opzegbaar, geen opzegtermijn
Export van GTM server-container mogelijk bij opzegging
Geen vendor lock-in op data of containers
Bij bedrijfsbeëindiging: 30 dagen migratie-window met alle exports

Subprocessors

Volledige lijst van derden die data kunnen verwerken in de Server Side Support-stack.

UpCloud

VPS-hosting voor klant-tracking-servers

Amsterdam (NL) · ISO 27001

Google Cloud

Dashboard + Firestore + Cloud Run microservices

europe-west1 (BE)

Mollie

Betalingen (iDEAL, creditcard, SEPA)

Amsterdam (NL)

Rompslomp

Facturatie + PDF-generatie

Nederland

Let's Encrypt

SSL/TLS-certificaten (publieke CA)

Internet Security Research Group (US non-profit)

Anthropic

AI-chat support (optioneel, per sessie)

US — geen persistent dataverzameling

Eerlijk over wat we (nog) niet hebben

Geen ISO 27001- of SOC 2-certificering. We zijn een Nederlands MKB-SaaS; formele certificering is op de roadmap maar niet actief in 2026. Als je interne compliance-norm certificering vereist, vraag eerst onze DPA op — die dekt de meeste AVG-gerelateerde review-vragen, en we kunnen een gerichte security-questionnaire beantwoorden.

Security-contact

Vragen over DPA, pentest-rapporten, security-questionnaires of incident-notificaties.

E-mail

support@ga4support.nl

Voor formele DPA-aanvragen, security-questionnaires of incident-rapportage. Reactie binnen 1 werkdag.

Direct contact

WhatsApp · +31 6 25 11 82 13

Voor snelle vragen tijdens vendor-intake of pentest-planning.

Klaar voor interne review?

Vraag direct de DPA op en leg 'm naast je intake-checklist.