Beveiliging in elke laag van het platform
Tickets verkopen betekent vertrouwen krijgen — van organisatoren én bezoekers. Dat vertrouwen verdienen we met techniek, niet met beloftes.
Van inloggen tot check-in aan de deur: elke stap is ontworpen om misbruik te voorkomen. Hieronder lees je precies hoe we dat doen — zonder vakjargon waar het niet hoeft.
Zes beveiligingslagen
Concrete maatregelen in de techniek, van de eerste klik tot na het evenement.
Wachtwoordloos + tweestapsverificatie
Inloggen gaat via een veilige, kortlevende inloglink. Op een onbekend apparaat vragen we extra een verificatiecode, en organisatoren kunnen 2FA met een authenticator-app inschakelen. Een wachtwoorddatabase die kan lekken bestaat bij ons niet.
Versleuteling, onderweg en in rust
Al het verkeer loopt via TLS (https). Gevoelige gegevens zoals tweestaps-sleutels en betaalkoppelingen slaan we daarbovenop versleuteld op in de database — ook bij een lek blijven ze onleesbaar.
Eigen database per organisatie
Elke organisatie krijgt een volledig gescheiden database. Gegevens van jouw evenement en je bezoekers staan fysiek los van die van andere organisatoren — datalekken tussen organisaties zijn daarmee per ontwerp uitgesloten.
Onveranderlijk auditlogboek
Gevoelige handelingen worden vastgelegd in een cryptografisch geketend logboek dat achteraf niet aangepast of gewist kan worden. Wie wat wanneer deed, is altijd controleerbaar.
Betaalgegevens raken ons platform nooit
Betalingen lopen via een gecertificeerde Europese betaalprovider (PCI-DSS). Kaart- en rekeninggegevens worden daar verwerkt en komen nooit op onze servers terecht.
Fraudebestendige tickets
Elk ticket heeft een unieke, niet te raden QR-code die bij de ingang maar één keer geldig is. Doorverkoop loopt via het platform: het oude ticket wordt ongeldig en de koper krijgt een nieuwe code — kopieën zijn waardeloos.
Beveiliging in detail
Voor inkopers, functionarissen gegevensbescherming en iedereen die verder wil kijken: hoe het platform gehost wordt, hoe we gegevens beschermen en met welke partijen we werken.
Hosting & infrastructuur
MijnEvent draait volledig binnen de Europese Unie, op serverless infrastructuur van Amazon Web Services in Frankfurt (eu-central-1), beheerd via Laravel Vapor. Er zijn geen eigen servers die verouderen of ongepatcht raken: de onderliggende systemen worden continu door AWS bijgewerkt.
EU-regio Frankfurt
Databases, bestandsopslag en queues staan in de AWS-regio Frankfurt. Gegevens van organisatoren en bezoekers verlaten de EU niet voor opslag.
Serverless schaalbaarheid
Het platform schaalt automatisch mee met piekverkeer, bijvoorbeeld bij de start van een kaartverkoop. Geen overbelaste server die uitvalt op het drukste moment.
Eigen database per organisatie
Elke organisatie heeft een fysiek gescheiden database. Een fout of lek bij de één kan nooit overslaan naar de gegevens van een ander.
Gegevensbeveiliging & toegangsbeheer
Gegevens zijn versleuteld onderweg én in rust, en toegang is beperkt tot wat strikt nodig is.
Versleuteling onderweg
Al het verkeer loopt via HTTPS met TLS 1.2/1.3. Onversleutelde verbindingen worden niet geaccepteerd.
Versleuteling in rust
Databases en bestandsopslag zijn op schijfniveau versleuteld. Extra gevoelige velden — zoals 2FA-sleutels en betaalkoppelingen — versleutelen we daarbovenop in de applicatielaag.
Geheimen buiten de code
API-sleutels en toegangsgegevens staan nooit in de broncode, maar in een afgeschermde secret-omgeving.
Least privilege & MFA
Toegang tot productiesystemen is beperkt tot wie het nodig heeft, altijd met meerfactorauthenticatie. Gevoelige handelingen komen in het onveranderlijke auditlogboek.
Softwareontwikkeling
Beveiliging zit in het ontwikkelproces, niet alleen in het eindproduct.
Privé-broncode
De broncode staat in afgeschermde repositories, alleen toegankelijk voor het ontwikkelteam.
Geautomatiseerde tests & statische analyse
Elke wijziging gaat langs een geautomatiseerde testsuite en statische code-analyse voordat die live gaat.
Dependency-bewaking
Externe softwarepakketten worden bijgehouden en bijgewerkt zodra beveiligingsupdates verschijnen.
Kwetsbaarheidsmeldingen
Via responsible disclosure (zie onderaan deze pagina) kunnen onderzoekers kwetsbaarheden vertrouwelijk melden.
Back-ups & continuïteit
Een evenement kent geen tweede kans — het platform moet er staan, ook als er iets misgaat.
Dagelijkse versleutelde back-ups
Alle databases worden dagelijks automatisch geback-upt, versleuteld en bewaard binnen dezelfde EU-regio.
Point-in-time herstel
Databases kunnen worden teruggezet naar een specifiek moment, niet alleen naar de laatste nachtelijke back-up.
Redundante infrastructuur
De infrastructuur is verdeeld over meerdere datacenters (availability zones) binnen de regio Frankfurt; uitval van één locatie legt het platform niet plat.
NIS2 & Cyberbeveiligingswet
Steeds meer organisatoren — gemeenten, onderwijsinstellingen, grotere bedrijven — vallen onder NIS2 (EU 2022/2555) en de Nederlandse Cyberbeveiligingswet, en moeten hun leveranciers daarop toetsen. De tabel hieronder laat per maatregel uit artikel 21 lid 2 zien hoe MijnEvent die invult.
| Eis (NIS2 art. 21 lid 2) | Invulling bij MijnEvent |
|---|---|
| Beleid voor risicoanalyse en beveiliging van informatiesystemen | Risicogestuurde aanpak met gedocumenteerde beveiligingsmaatregelen per laag van het platform. Bekijk maatregel ↓ |
| Incidentenbehandeling | Vast incidentrespons-proces met tijdlijnen voor inperking, melding en rapportage. Bekijk maatregel ↓ |
| Bedrijfscontinuïteit, back-ups en noodherstel | Dagelijkse versleutelde back-ups, point-in-time herstel en redundante infrastructuur over meerdere datacenters. Bekijk maatregel ↓ |
| Beveiliging van de toeleveringsketen | Bewust gekozen, overwegend Europese subverwerkers met verwerkersafspraken; actueel overzicht op deze pagina. Bekijk maatregel ↓ |
| Beveiliging bij ontwikkeling en onderhoud, inclusief kwetsbaarheidsbeheer | Geautomatiseerde tests, statische analyse, dependency-bewaking en een responsible-disclosurebeleid. Bekijk maatregel ↓ |
| Procedures om de effectiviteit van maatregelen te beoordelen | Continue geautomatiseerde controles bij elke wijziging en evaluatie na elk incident. Bekijk maatregel ↓ |
| Cyberhygiëne en training | Least privilege, meerfactorauthenticatie en een team waarin security vast onderdeel is van het ontwikkelproces. Bekijk maatregel ↓ |
| Beleid voor cryptografie en encryptie | TLS 1.2/1.3 voor al het verkeer, versleuteling in rust en applicatielaag-encryptie voor extra gevoelige velden. Bekijk maatregel ↓ |
| Personeelsbeveiliging, toegangsbeleid en beheer van activa | Strikt toegangsbeheer tot productiesystemen en een onveranderlijk auditlogboek van gevoelige handelingen. Bekijk maatregel ↓ |
| Meerfactorauthenticatie en beveiligde communicatie | Wachtwoordloos inloggen met apparaatverificatie, 2FA voor organisatoren en versleutelde verbindingen. Bekijk maatregel ↓ |
Val je als organisator zelf onder NIS2 of de Cyberbeveiligingswet en heb je voor je leverancierstoets aanvullende informatie of een leveranciersverklaring nodig? Mail ons op security@mijnevent.nl — we denken graag mee.
Incidentrespons
Gaat er ondanks alles toch iets mis, dan volgen we een vast proces — transparant richting organisatoren en, waar nodig, richting de toezichthouder.
-
< 24 uur
Detectie & inperking
Het incident wordt onderzocht en ingeperkt: getroffen systemen worden geïsoleerd en misbruik wordt gestopt.
-
Direct
Getroffen organisatoren informeren
Zodra duidelijk is welke organisaties geraakt zijn, informeren we ze rechtstreeks — met wat er bekend is en wat we doen.
-
< 72 uur
Melding bij de Autoriteit Persoonsgegevens
Bij een datalek met risico voor betrokkenen melden we binnen 72 uur bij de AP, conform de AVG.
-
< 1 maand
Eindrapportage
Getroffen organisatoren ontvangen een eindrapport: oorzaak, impact, genomen maatregelen en wat we structureel verbeteren.
-
Doorlopend
Registratie & evaluatie
Elk incident wordt vastgelegd en geëvalueerd; verbeterpunten vloeien terug in de beveiligingsmaatregelen.
Subverwerkers
Voor specifieke onderdelen van de dienst schakelen we gespecialiseerde partijen in. We kiezen bewust voor Europese partijen waar dat kan, en leggen met elke subverwerker verwerkersafspraken vast.
| Subverwerker | Doel | Gegevens | Locatie |
|---|---|---|---|
| Mollie B.V. | Betalingsverwerking (Mollie Connect) | Naam, e-mailadres en betaalgegevens; kaart- en rekeninggegevens raken onze servers nooit (PCI-DSS) | EU (Nederland) |
| Amazon Web Services | Hosting, databases, bestandsopslag en queues | Alle platformgegevens: accounts, bestellingen, tickets | EU (Frankfurt) |
| Laravel (Vapor) | Deployment- en infrastructuurbeheer | Configuratie- en deploymentmetadata; klantgegevens blijven in de EU | VS (beheer) |
| Lettermint | Transactionele e-mail: tickets, inloglinks, verificatiecodes en bevestigingen | Naam, e-mailadres en ticket-/bestelinhoud | EU |
| NottaSocket | Realtime updates: verkoopstanden, wachtrijposities en check-ins | Beperkte eventmetadata; geen persoonsgegevens van bezoekers | EU (Stockholm) |
| Cloudflare, Inc. | Renderen van ticket-PDF's en social-preview-afbeeldingen | Naam bezoeker, eventgegevens en QR-code, uitsluitend tijdens het renderen | VS (EU-datacenters; DPF/SCC's) |
| ClearAnalytics | Privacy-vriendelijke bezoekersstatistiek, zonder cookies | Geanonimiseerde bezoekgegevens | EU |
| Bunny.net (Bunny Fonts) | Lettertype-CDN | IP-adres bij het laden van lettertypes | EU (Slovenië) |
Deze lijst wordt bijgewerkt wanneer er iets wijzigt. Bij substantiële wijzigingen informeren we organisatoren vooraf. De afspraken over gegevensverwerking zijn vastgelegd in onze verwerkersovereenkomst.
Versie 1.0 · Laatst bijgewerkt: 11 juni 2026 · Beoordeeld op aansluiting met NIS2 (EU 2022/2555), de Cyberbeveiligingswet, ISO/IEC 27002:2022 en de AVG.
Kwetsbaarheid gevonden? Vertel het ons.
Geen enkel systeem is perfect — ook het onze niet. Heb je een zwakke plek ontdekt, meld het dan vertrouwelijk. We reageren snel, lossen het op en publiceren je melding nooit zonder overleg. We waarderen verantwoorde melders en doen niet moeilijk over goedbedoeld onderzoek.
Mail ons op security@mijnevent.nlVerkoop tickets op een platform dat veiligheid serieus neemt
Start gratis en laat de beveiliging aan ons over — van inloglink tot check-in aan de deur.