Enterprise die écht van jou is.
Voor overheid, zorg, onderwijs, legal en gereguleerde teams die hun data niet onder Amerikaanse jurisdictie willen zetten. Sovereign-deployment is de kernbelofte — niet een bijzaak. Geen CLOUD-Act, geen Schrems II-grijs-gebied, geen vendor lock-in.
Geen compromis op soevereiniteit.
Vier pilaren waar de Enterprise-deployment op rust. Geen "best-effort" — bewijs op aanvraag.
100% EU-hosting
Hetzner DE (Falkenstein + Nürnberg) onder Duitse rechtspersoon. Backups in secundaire Hetzner-regio. Geen AWS · geen Azure · geen Google Cloud.
Zonder US-tools
Standaard deployment kan zonder Cloudflare en zonder Sentry (env-var off). CI-gate scant elke deploy op verboden US-vendors.
Single-tenant beschikbaar
Private instance met eigen database, eigen cache, eigen object-storage. Geen shared infrastructure met andere klanten.
DPA-maatwerk per sector
Templates voor overheid, zorg, onderwijs, legal. Subprocessor-lijst verifieerbaar via /subprocessors + /api/platform/data-residency.
Sovereign-stack als architectuur.
Geen marketing-diagram — een eerlijk overzicht. Wat draait op Hetzner DE, wat is optioneel, wat ontbreekt expres.
- · Hetzner Falkenstein DE (compute)
- · Hetzner Nürnberg DE (backup)
- · Postgres + Redis self-hosted
- · Object-storage Hetzner DE
- · WebRTC SFU (Rooms) self-hosted
- · Open-source SAML/SCIM library (SSO)
- · Mollie (NL-PSP)
- · Brevo (NL-email)
- · Cloudflare CDN (env-var off)
- · Sentry error-tracking (env-var off)
- · Web-analytics (alleen self-hosted)
- · Push-notifications (eigen FCM kan)
Bij sovereign-setup zijn deze allemaal uit. Je kan ze per dienst aanvinken als je oké met de US-vendor-implicatie bent.
- · AWS · Azure · Google Cloud
- · Auth0 · Firebase · Supabase
- · Stripe (US-PSP)
- · Twilio (US-comms)
- · Datadog · New Relic (US-obs)
- · Zapier · Make.com US-region
- · OpenAI / Anthropic API-kalls
Niet "wij kunnen het later toevoegen" — niet doen. Architectuur-keuze.
Niet als upsell. Onderdeel van de configuratie.
Acht capabilities die in andere tools "Enterprise-Plus" of "Custom" zijn — bij ons standaard.
Wat verandert er bij Enterprise.
Tien aspecten · open en eerlijk. Geen verstopte upsells.
| Aspect | Standaard (Team) | Enterprise |
|---|---|---|
| Hosting | Multi-tenant Hetzner DE | Multi-tenant óf single-tenant private instance |
| Cloudflare | Aan (optie om af te zetten) | Uit bij sovereign-setup |
| Sentry | Optioneel (env-var) | Uit bij sovereign-setup |
| SSO | SAML 2.0 basis | SAML + OIDC + SCIM + JIT-provisioning |
| Audit | Standaard audit-log | Hash-chained + externe verification |
| DPA | Standaard template | Maatwerk per sector |
| Support | Email binnen 1 werkdag | Named contact · SLA onderhandelbaar |
| IP-allowlist | Per workspace | Per workspace + concern-overrule |
| Compliance-PDF | Op aanvraag | Eén klik · met subprocessor-snapshot |
| Prijs | €19/user/mnd | Vanaf €25.000/jaar · volume-staffels 1-7 |
Vier sectoren waarvoor we expliciet optimaliseren.
Niet "branche-edities" — wel sector-specifieke contracting + compliance-mapping die bij grotere contracten standaard meelopen.
Overheid
Gemeenten, provincies, uitvoerders. Contractueel CLOUD-Act-vrij. BIO-mapping in ontwikkeling.
- Single-tenant private-cloud
- Custom DPA per overheid-sector
- Bestuurslagen-isolatie
- NL-jurisdictie gegarandeerd
Zorg
Ziekenhuizen, GGZ, VVT. NEN 7510 gap-analyse als deel van onboarding. Geen AI-training op patiëntdata.
- NEN 7510 gap-analyse
- Medisch beroepsgeheim-rollen
- Break-glass op nood-toegang
- Geen telemetrie op klant-data
Onderwijs
PO, VO, MBO, HO. SURF-DPA-compatibel. Per-locatie isolatie. Geen US-analytics op leerlingdata.
- SURF-DPA-template
- Per-vestiging workspace-model
- Docent/student/ouder-rollen
- Geen Google Analytics
Legal
Advocatuur, notariaat, incasso. Step-up auth op RESTRICTED-dossiers. NOvA-principles ingebouwd.
- Beroepsgeheim-classification
- Step-up op dossier-toegang
- Audit-trail per cliënt
- Geheimhoudings-export onderhandelbaar
Concreet — per onderdeel.
Zes groepen · 36 controls. Alles operationeel · audit-baar via compliance-PDF + audit-export.
Identiteit & toegang
- SAML 2.0 SSO (in-process open-source library, Apache-2.0)
- OIDC met Auth-Code + PKCE
- SCIM 2.0 (Users + Groups + ResourceTypes)
- JIT-provisioning + automatische deprovision
- 2FA-enforcement (per workspace verplicht-of-aanbevolen)
- Step-up reauth op finance + privilege-escalation
Audit & forensisch onderzoek
- HMAC-SHA256 hash-chain audit (tamper-evident)
- Externe verification-endpoint voor auditors
- Audit-export ZIP per workspace · per concern
- Field-level diff bij elke mutatie
- IP + device-fingerprint per audit-entry
- Configureerbare retention (default 7 jaar NL)
Data & versleuteling
- TLS 1.3 in-transit · AES-256 at-rest
- Per-workspace key-isolation (envelope encryption)
- Data-classificatie 4 niveaus (PUBLIC/INTERNAL/CONFIDENTIAL/RESTRICTED)
- Field-level redaction in uitrol
- Backup encryption met sectie-isolation key
- Versleutelde backups in secundaire Hetzner-regio
Netwerk & perimeter
- IP-allowlist per workspace (CIDR IPv4+IPv6)
- Fail-closed bij allowlist-mismatch
- Optionele Cloudflare-uitsluiting (env-toggle)
- WAF-rules op API-rand
- Rate-limit per route + per IP
- DDoS-mitigatie via Hetzner-native + Anycast
Compliance & governance
- DPA-template + subprocessor-annex
- Sub-processor-registry met 30-dagen-notification
- Compliance-PDF (ISO/SOC2/NIS2/AVG-art-30)
- Data-residency-claim per workspace
- Audit-export voor jaarrapportage
- Right-to-erasure self-serve (DPO meekijkend)
Operationele beveiliging
- Pen-test bij major-release (extern)
- Responsible disclosure-policy (security.txt)
- Vulnerability-management met SLA per CVSS-tier
- CI-gate scant op verboden US-vendors
- Secret-rotation (HMAC-keys + DB-creds + API-tokens)
- Incident-response runbook met klant-notificatie-traject
Vijf stappen naar SSO + SCIM live.
Typische tijd: 4-8 weken afhankelijk van complexiteit. Met dual-auth-window zodat je gefaseerd kan cutoveren.
Welke IDP gebruiken jullie · welke groups · welke attributes · welke joiners/movers/leavers-flow.
In-process via een open-source SAML/SCIM-library (Apache-2.0). Test-flow met staging-domain. Idempotent-config zodat we kunnen rollback.
Initial-sync (read-only audit). Mapping group→role + attribute→workspace. Dry-run met preview vóór live.
Eerste-login provisioning. Role-mapping op SAML-attributes of SCIM-group-membership. Step-up op admin-acties.
Go-live met dual-auth (oude + nieuwe) voor 7 dagen. Daarna password-auth uitgeschakeld voor SAML-domeinen. Continue monitoring op login-anomalies.
Wat CISO en DPO meestal vragen.
Wat betekent "sovereign" hier concreet?
Stack draait op Hetzner DE (Falkenstein + Nürnberg) onder Duitse rechtspersoon. Geen US-cloud-providers. Geen Cloudflare in sovereign-setup. Geen Sentry in sovereign-setup. Geen US-data-processors zonder expliciete opt-in. Resultaat: geen CLOUD-Act-vatbaarheid · geen Schrems II-grijs-gebied · geen vendor lock-in op US-stack.
Hoe loopt het verschil met "private cloud"?
Multi-tenant = onze gedeelde Hetzner-infra · isolatie op DB-rij. Single-tenant private = jouw eigen DB + Redis + S3 binnen onze Hetzner-account. Private cloud (klant-Hetzner) = onze code op jullie eigen Hetzner-account. On-prem = jullie eigen datacenter, optioneel air-gapped.
Welke IDP-systemen werken?
Geverifieerd: Okta · Microsoft Entra ID (Azure AD) · Google Workspace · JumpCloud · OneLogin. Andere SAML 2.0 / OIDC / SCIM 2.0-conforme IDPs werken ook — bij twijfel: technical-call met jullie IDP-team.
Hoe werkt de hash-chain audit?
Elke audit-entry bevat HMAC-SHA256 over de vorige entry plus zijn eigen payload. Wijzig je een eerdere entry, dan breekt de keten en wordt dat zichtbaar in de externe verification-endpoint. Auditors kunnen onafhankelijk de keten valideren — wij kunnen niet ongezien een entry wijzigen.
Wat zit er precies in break-glass?
Time-boxed rol-verhoging (default 30 minuten · max 4 uur). Activatie vereist reden + optioneel multi-approver. Auto-revoke aan einde TTL. Activatie + revocatie + alle handelingen tijdens elevation worden audit-gelogd met aparte break-glass-tag.
Kunnen jullie ISO 27001 / SOC 2 leveren?
Controls zijn operationeel (HMAC-audit · 2FA · IP-allowlist · step-up · SCIM · DPA · sub-processor-annex). Voor formele ISO 27001 / SOC 2 Type II-certificering leveren we gap-analyse + control-mapping voor jullie eigen audit-track. Wij claimen geen certificeringen die we niet zelf hebben.
Hoe gaat data-export bij contract-einde?
Data-portability is altijd-aan. Bij contract-einde: full export ZIP (JSON · CSV · PDF · binaries) · audit-trail-ZIP · 90 dagen read-only retentie op onze infra · daarna permanent verwijderd met DPO-ondertekend bewijs.
Welke vorm van pen-test wordt gedaan?
Extern bij elke major-release. Scope: applicatie · API · auth-flow · file-upload-gate · SSO/SCIM. Resultaten worden gedeeld met klanten op aanvraag (NDA-vereist voor details). Responsible-disclosure-policy actief op security.txt voor externe security-researchers.
Klaar voor een sovereign-deployment-gesprek?
Lead-formulier routeert direct naar sales + DPO. Reactie binnen één werkdag. Geen commitment — eerst kijken of de configuratie bij jullie sector past.