Skip to content

Leveranciersoverzicht — Third Party Risk

Scope: Externe SaaS-leveranciers en dienstverleners in gebruik door Brekz / Flooris
Doel: Inzicht in de certificeringsstatus per leverancier t.b.v. de Compliance Gap Analyse (A.5.23 — Clouddiensten)

Verificatie

Items gemarkeerd met zijn gebaseerd op publiek beschikbare informatie en dienen periodiek geverifieerd te worden via de trust-pagina van de betreffende leverancier. Items zonder markering zijn gebaseerd op gepubliceerde certificeringen.


Infrastructuur & Security

Leverancier Dienst ISO 27001 SOC 2 Type 2 Overig GDPR Documentatie
Hetzner Servers, hosting, Storagebox ✅ ISO 27001:2022 (ZN-2025-35, geldig t/m sept. 2028) BSI C5 Type 2 ✅ EU (Duitsland) Hetzner Trust Center
Cloudflare CDN, WAF, DNS, Zero Trust Access ✅ ISO 27001:2022 ✅ SOC 2 Type 2 ISO 27701, PCI DSS Level 1 ✅ EU-servers beschikbaar Cloudflare Trust Hub
GitHub (Microsoft) Source control, CI/CD ✅ ISO 27001 ✅ SOC 2 Type 2 ISO 27018, FedRAMP High ✅ EU-dataresidentie beschikbaar GitHub Security
Infisical Secrets management ✅ SOC 2 Type 2 ✅ EU-hosting optie Infisical Security

Self-hosted tools (onder Hetzner ISO 27001-certificering)

Deze tools draaien op Flooris-beheerde Hetzner-servers en vallen daarmee onder de Hetzner ISO 27001:2022-certificering voor de fysieke en netwerklaag.

Tool Server Dienst
Sentry FL09PLO-SEN01 Error tracking & exception monitoring
InfluxDB FL09IDB001 Metrics & operationele event logging
MeiliSearch FL09PLO-MEI01 Zoekinfrastructuur

Search & Analytics

Leverancier Dienst ISO 27001 SOC 2 Type 2 Overig GDPR Documentatie
Algolia Product- en contentsearch ✅ ISO 27001 ✅ SOC 2 Type 2 ✅ EU-regio beschikbaar Algolia Trust Center
Google (GA4 + GTM) Web analytics, tag management ✅ ISO 27001 ✅ SOC 2 Type 2 ISO 27017, ISO 27018 ⚠️ Dataoverdracht VS — DPA vereist Google Cloud Compliance
Microsoft (Fabric) Analytics & Business Intelligence ✅ ISO 27001 ✅ SOC 2 Type 2 ISO 27018, CSA STAR ✅ EU-dataresidentie Microsoft Trust Center

Marketing & Klantenservice

Leverancier Dienst ISO 27001 SOC 2 Type 2 Overig GDPR Documentatie
Copernica E-mailmarketing, customer journeys ✅ NL-bedrijf, EU-servers Copernica Privacy
Front Gedeelde inbox, klantenservice ✅ SOC 2 Type 2 ⚠️ VS-bedrijf — DPA beschikbaar Front Security
TrustPilot Klantreviews ✅ DK-bedrijf, EU TrustPilot Privacy

Betalingen & Financiën

Leverancier Dienst ISO 27001 SOC 2 Type 2 Overig GDPR Documentatie
CM Payments / Docdata CS Payment service provider ✅ PCI DSS Level 1 (vereist voor betalingsverwerking) ✅ NL-bedrijf CM.com Security
Exact Online ERP, financiële administratie ✅ ISO 27001 ISAE 3402 Type II ✅ NL-bedrijf, EU-servers Exact Trust Center

Logistiek

Leverancier Dienst ISO 27001 SOC 2 Type 2 Overig GDPR Documentatie
DPD Verzending & tracking (SOAP API) ✅ ISO 9001 ISO 27001 ✅ EU DPD Nederland

Samenvatting risicoprofiel

Risicocategorie Leveranciers Aandachtspunt
Laag risico Hetzner, Cloudflare, GitHub, Algolia, Microsoft, Infisical Gedocumenteerde ISO 27001 / SOC 2-certificeringen, EU-dataverwerking
Middel risico Google (GA4/GTM), Front Dataoverdracht buiten EU — controleer of Data Processing Agreement (DPA) is getekend
Verificatie vereist Copernica, TrustPilot, CM Payments, Exact Online, DPD Certificeringsstatus niet volledig bevestigd — navragen bij leverancier

Openstaande acties

  • Verificeer ISO 27001-status van Copernica en vraag certificaat op
  • Verificeer SOC 2 / ISAE 3402-status van Exact Online
  • Controleer of een DPA is getekend met Google (GA4/GTM) en Front
  • Bevestig PCI DSS Level 1-certificaat van CM Payments / Docdata CS
  • Controleer ISO 27001-status van DPD voor data-API-verwerking
  • Voeg TrustPilot toe aan DPA-overzicht indien persoonsgegevens worden gedeeld