Logo

Dataveiligheid en datasoevereiniteit

Waarom kiezen voor een Nederlandse softwareleverancier?

Als dataveiligheid en continuïteit belangrijk zijn, kan een Nederlandse leverancier helpen om risico’s rond jurisdictie, data-overdracht buiten de EU, en geopolitieke verstoringen te beperken.

Denk aan: EU/NL-georiënteerde contracten, hosting- en supportkeuzes binnen Europa, en een kortere keten van subverwerkers. Hieronder lees je welke risico’s dit concreet vermindert en welke vragen je aan elke leverancier moet stellen.

Controle over onderhoud

Dataveiligheid bij McMain Software

  • Serverlocaties
    NL: Amsterdam, Delft
    VS: Iowa (alleen data van US-gebruikers)

  • Dataflow transparantie
    cloud3.mcmain.online (ACC-ICT @ Amsterdam)
    apps.mcmain.online (TransIP @ Amsterdam)

  • Versleuteling
    TLS voor dataverkeer; SHA-256 voor opslag van gebruikersinfo/wachtwoorden/mails; sleutels niet op dezelfde servers

  • Toegang & logging
    MFA + audit trail; McMain gebruikt SA-rol (niet “als klant”)

  • Continuïteit
    Back-up 1/dag, RTO max 24 uur, RPO max 24 uur; back-ups extern bewaard

  • Toetsing
    Externe pentest elke 12 maanden; ISO 9001 & ISO 27001 sinds 2023

Meer weten over Data, Service & Veiligheid bij McMain?

Lees hier verder

Wat zijn de voordelen van het kiezen voor Nederlandse software?

  • Minder blootstelling aan buitenlandse jurisdictie en extraterritoriale data-vorderingen;

  • Meer controle over waar data staat en welke subverwerkers toegang hebben;

  • Minder afhankelijkheid van trans-Atlantische transfermechanismen en hun juridische volatiliteit;

  • Support en incidentrespons in CET/CEST met korte lijnen;

  • Contracten en documentatie vaak ingericht op AVG/GDPR en EU-vereisten voor doorgifte;

  • Praktischer invulling van dataportabiliteit (export) en exit-scenario’s;

  • Continuïteit: minder kwetsbaar voor sancties, exportcontrols, of policy shifts bij “single-country dependency”;

  • Aantoonbare toetsing: McMain laat elke 12 maanden een externe pentest uitvoeren en is ISO 9001 & ISO 27001 gecertificeerd sinds 2023;

  • Herstelbaarheid concreet: back-ups 1/dag met RTO max 24 uur en RPO max 24 uur (extern bewaard).

Begrippen

Datasoevereiniteit: de mate waarin jij controle houdt over data (locatie, toegang, sleutels, audit).

Jurisdictierisico: welke landen via wet- of regelgeving invloed kunnen uitoefenen op jouw data of dienst.

Derde-landen doorgifte: data (of toegang) buiten de EER; vereist juridische basis en passende waarborgen onder de AVG/GDPR.

EU-only (praktisch): de eis dat opslag, verwerking én operationele toegang (incl. support/logging) binnen de EU/EER blijft. McMain kan serverlocaties en dataflows inzichtelijk maken om dit concreet te toetsen.

Wat zijn de grootste geopolitieke datarisico’s bij het selecteren van een softwareleverancier?

Jurisdictie & extraterritoriale toegang

Wat is het?
Sommige landen kennen wetgeving waarmee autoriteiten data kunnen vorderen bij bedrijven die daar “onder vallen”, óók als de data fysiek elders staat. De Amerikaanse CLOUD Act is een bekend voorbeeld.

Hoe verklein je het?

  • Kies leveranciers met EU/NL-entiteit én zo weinig mogelijk “non-EU control” in de keten;

  • Vraag naar sleutelbeheer (customer-managed keys / BYOK/HYOK) en scheiding van rollen;

  • Leg vast: transparantierapportage, “law enforcement request policy”, en notificatieprocessen.

Zo doet McMain dit:

  • McMain documenteert serverlocaties (EU: Amsterdam/Delft; US: Iowa) en hostingpartijen, zodat je jurisdictierisico’s expliciet kunt beoordelen;

  • Toegang tot klantdata wordt vastgelegd met MFA + audit trail; als McMain toegang nodig heeft gebeurt dit via een SA-rol (niet “alsof” men de klant is);

3 vragen aan de leverancier:

  • “Welke entiteit is contractpartij en wie heeft controle over de data?”

  • “Welke subverwerkers hebben (potentieel) toegang?”

  • “Hoe is key management ingericht en wie kan bij de sleutels?”

Juridische volatiliteit bij internationale dataflows

Wat is het?
Mechanismen voor EU↔VS-dataoverdracht zijn historisch vaak onderwerp van juridische procedures (bijv. Schrems II en opvolgende frameworks).

Hoe verklein je het?

  • Minimaliseer structurele afhankelijkheid van derde-landen transfers;

  • Als transfers nodig zijn: werk met SCC’s en aanvullende maatregelen waar passend;

  • Kies bij voorkeur voor EU-hosting + EU-operatie (support/monitoring) waar mogelijk.

Zo maakt McMain dataflows toetsbaar:

  • McMain heeft een dataflow-overzicht beschikbaar gesteld (o.a. cloud3.mcmain.online en apps.mcmain.online), zodat je kunt beoordelen waar data en verkeer lopen.

3 vragen aan de leverancier:

  • “Worden data/telemetrie/supportlogs buiten de EER verwerkt?”

  • “Op basis waarvan doe je transfers (adequacy/SCC’s)?”

  • “Wat is jullie plan als een transfermechanisme verandert?”

Leveranciersketen & subverwerkers (supply-chain risk)

Wat is het?
Hoe meer partijen (cloud, monitoring, support tooling), hoe groter het attack surface en hoe lastiger governance.

Hoe verklein je het?

  • Eis een subverwerkerslijst + wijzigingsprocedure;

  • Beperk “tool sprawl”: monitoring, ticketing, analytics;

  • Contracteer audit- en logging-eisen (wie deed wat, wanneer).

McMain keten/transparantie:

  • McMain verwerkt data voor het doel zoals in de verwerkersovereenkomst beschreven en gebruikt derden/onderaannemers zoals I.D.E. Software B.V. (ontwikkeling) en ACC-ICT B.V. (IT/hosting).

3 vragen aan de leverancier:

  • “Kun je de volledige subprocessor-keten delen?”

  • “Hoe snel melden jullie security-incidenten?”

  • “Welke logs leveren jullie standaard en hoe lang bewaren jullie die?”

Continuïteit bij geopolitieke verstoringen

Wat is het?
Sancties, exportcontrols, of politieke escalatie kunnen toegang tot diensten, updates, of support beïnvloeden. Zeker bij single-country afhankelijkheid.

Hoe verklein je het?

  • Leg een exit-plan vast (data-export, migratievenster, escrow waar relevant);

  • Vraag naar BCP/DR (back-up, RTO/RPO) en Europese redundantie;

  • Voorkom “black-box” afhankelijkheden: zorg dat je data altijd exporteerbaar is.

McMain continuïteit in cijfers:

  • Back-up 1/dag, retentie 1 maand; RTO max 24 uur; RPO max 24 uur; back-ups extern bewaard en integriteit dagelijks steekproefsgewijs gecontroleerd;

  • Beschikbaarheid zoals benoemd: Hosting 99,0% (standaard) en Infrastructuur 99,9% (maximum);

  • Standaard onderhoudsvensters: 03:00–05:00 en dinsdag 17:00–19:00; noodonderhoud wordt zo snel mogelijk gecommuniceerd;

  • Continuïteitsregeling: voortzetting “as is” ten minste drie maanden bij faillissement.

3 vragen aan de leverancier:

  • “Wat is jullie bewezen RTO/RPO en waar staan back-ups?”

  • “Hoe ziet het exit-proces eruit (formaten, doorlooptijd, kosten)?”

  • “Wat gebeurt er als een subverwerker wegvalt?”

Wat zijn de minimale vereisten voor softwareleveranciers?

  • Verwerkersovereenkomst / DPA + subverwerkerslijst
  • Data-locaties (primary + back-up) + datastromen (incl. support)
  • Incident response: meldtermijnen, contactpunten, escalatie
  • Encryptie: in transit / at rest + key management
  • Toegangsbeheer: RBAC, MFA, logging, least privilege
  • Export/exit: formaten, kosten, termijn

Zo voldoet McMain Software aan deze vereisten:

  • Data-locaties & datastromen: serverlocaties EU (Amsterdam/Delft) + US (Iowa) en een uitgewerkt dataflow-overzicht.
  • Encryptie: TLS in transit; SHA-256 opslag; sleutels niet op dezelfde servers.
  • Toegangsbeheer & logging: MFA + audit trail; SA-rol voor McMain-toegang.
  • Incident & service-afspraken: reactietijd <30 min (kantooruren) met prioriteitsmatrix en oplostijden per prioriteit.
  • Continuïteit/DR: back-up 1/dag; RTO/RPO max 24 uur; externe back-ups + controles.
  • Onafhankelijke toetsing: externe pentest elke 12 maanden; ISO 9001/27001 sinds 2023.
  • Subverwerkers/keten: benoeming van betrokken partijen (o.a. I.D.E. Software, ACC-ICT) zoals beschreven in McMain verwerkersovereenkomst.

Heb je vragen over de dataveiligheid bij McMain?

Roel Tiekink

Specialist

+31 6 38 45 72 77 Stuur e-mail
We helpen je graag

Wat zijn de meest gestelde vragen rondom dataveiligheid en datasoevereiniteit voor softwareleveranciers?

Niet altijd. Data-locatie is belangrijk, maar ook wie juridisch controle heeft, welke subverwerkers toegang hebben en waar support plaatsvindt.

Omdat het gaat om governance en risico’s: wie kan toegang afdwingen, welke waarborgen bestaan, en hoe voorspelbaar die regels zijn.

“Kun je het volledige datastroomdiagram + subverwerkerslijst delen, inclusief support tooling en back-ups?”

Het kán helpen, vooral als de keten EU-georiënteerd is. Maar uiteindelijk hangt het af van eigendom/‘control’, subverwerkers en sleutelbeheer.

Transfers kunnen onder voorwaarden, via adequacy of SCC’s. Dit domein is juridisch gevoelig en verandert door uitspraken en nieuwe frameworks.

Binnen de EU staan de servers van McMain in Amsterdam en Delft.Data van McMain-gebruikers in de VS wordt opgeslagen op een server in Iowa.

Toegang wordt vastgelegd met MFA + audit trail. Als McMain toegang nodig heeft gebeurt dit via een SA-rol.

RTO max 24 uur en RPO max 24 uur; back-up 1/dag en extern bewaard.

McMain laat elke 12 maanden een externe pentest uitvoeren en is sinds 2023 ISO 9001 en ISO 27001 gecertificeerd.