Security & Informatiebeveiliging

Laatst bijgewerkt: 1 januari 2026

Bij Offsoo B.V. staat de beveiliging van gegevens en de continuïteit van onze dienstverlening centraal. Wij verwerken gegevens voor accountants- en administratiekantoren en nemen passende technische en organisatorische maatregelen om deze gegevens te beschermen tegen verlies, misbruik, onbevoegde toegang en andere onrechtmatige verwerkingen.

Deze pagina beschrijft op hoofdlijnen hoe Offsoo omgaat met informatiebeveiliging.

Scope

Deze maatregelen zijn van toepassing op:

  • de Offsoo-applicatie (SaaS), incl. web- en mobiele apps en API;
  • de onderliggende infrastructuur;
  • persoonsgegevens die Offsoo verwerkt als verwerker in opdracht van klanten;
  • operationele processen rondom support, monitoring en incidentafhandeling.

Website- en marketingverwerkingen vallen buiten deze scope en worden beschreven in de Privacyverklaring en het Cookiebeleid.

Architectuur & hosting

  • De Offsoo-applicatie wordt primair gehost binnen de Europese Unie (DigitalOcean in Amsterdam).
  • Back-ups worden opgeslagen binnen de EU.
  • Offsoo maakt gebruik van cloudproviders en tooling die gangbare beveiligingsmaatregelen toepassen.

Toegangsbeheer

  • Toegang tot systemen is beperkt tot geautoriseerde personen en gebaseerd op least privilege.
  • Toegang tot productieomgevingen is afgeschermd en waar passend gelogd.
  • Voor Offsoo beheerders wordt waar mogelijk multi-factor authenticatie (MFA) gebruikt/afgedwongen.
  • Klanten zijn zelf verantwoordelijk voor het zorgvuldig beheren van gebruikersaccounts, wachtwoorden en het toepassen van 2FA-beleid binnen hun Offsoo-omgeving.

Netwerk- en verbindingsbeveiliging

  • Alle verbindingen met de Offsoo-applicatie verlopen via versleutelde HTTPS/TLS-verbindingen.
  • Onversleutelde verbindingen worden niet ondersteund.
  • Netwerkverkeer en applicatiegedrag kunnen worden gemonitord om misbruik, aanvallen en afwijkend gedrag te detecteren.

Back-ups & herstel

  • Database back-ups worden doorgaans ieder uur gemaakt.
  • Bestanden/object storage back-ups worden doorgaans dagelijks gemaakt.
  • Back-ups hebben een maximale retentie van drie (3) maanden.
  • Back-ups zijn bedoeld voor herstel bij incidenten en calamiteiten; herstel is afhankelijk van aard en omvang van het incident.

Logging & monitoring

Offsoo monitort systemen om stabiliteit, veiligheid en prestaties te waarborgen. Dit omvat onder andere:

  • applicatie- en serverlogs;
  • foutmeldingen en uitzonderingen (bijv. Sentry);
  • performance- en beschikbaarheidsmetingen (bijv. Nightwatch/Ping).

Waar mogelijk wordt gebruik gemaakt van geaggregeerde of beperkte metadata.

Incident response & datalekken

Offsoo beschikt over een incidentprocedure.

Bij een incident:

  • wordt het incident beoordeeld en geclassificeerd;
  • worden maatregelen genomen om impact te beperken;
  • wordt vastgesteld of sprake is van een datalek in de zin van de AVG.

Indien sprake is van een datalek, meldt Offsoo dit zonder onredelijke vertraging aan de klant (verwerkingsverantwoordelijke) en hanteert een streeftermijn zoals opgenomen in de DPA.

Contactpunt security-incidenten & kwetsbaarheden:

Subverwerkers en doorgifte

Offsoo maakt gebruik van Subverwerkers voor hosting, support, monitoring en e-mail. Sommige leveranciers kunnen buiten de EER gevestigd zijn (bijv. VS). Offsoo gebruikt in dat geval geldige overdrachtsmechanismen (zoals SCC's en/of DPF indien van toepassing). Een actueel overzicht staat op de Subverwerkers-pagina.

Verantwoordelijkheid klant

Klanten blijven zelf verantwoordelijk voor:

  • de rechtmatigheid van persoonsgegevens en inhoud die zij in Offsoo verwerken;
  • het zorgvuldig beheren van gebruikersaccounts en toegangsrechten;
  • het voorkomen dat onnodig gevoelige gegevens (zoals wachtwoorden/2FA-codes) in Offsoo worden opgeslagen;
  • het naleven van toepasselijke privacywetgeving richting eigen klanten en medewerkers.

Bewaartermijnen & verwijdering

  • Na beëindiging wordt de omgeving niet langer toegankelijk voor de klant.
  • Klantdata blijft beschikbaar voor Offsoo (voor beheer/export op verzoek) totdat de klant verwijdering verzoekt, met een maximale bewaartermijn van één (1) jaar na beëindiging.
  • Back-ups verlopen automatisch volgens de ingestelde retentie (max 3 maanden).

Wijzigingen

Offsoo kan dit beleid wijzigen. De meest actuele versie is beschikbaar via de website.

Contact

Voor vragen over deze pagina kun je contact opnemen via .