TechMeld — Security & Compliance

🔒 Onze aanpak

Bij TechMeld behandelen wij de beveiliging van uw data als een kernonderdeel van het product. Deze pagina beschrijft onze technische en organisatorische maatregelen, ons compliance-kader en de manier waarop wij reageren op beveiligingsincidenten.

De volledige Security Whitepaper, Verwerkersovereenkomst (DPA), Service Level Agreement (SLA) en Incident Response Plan zijn op aanvraag beschikbaar via info@techmeld.eu.

🌐 Infrastructuur & data-residentie

🇪🇺 EU hosting

Alle data blijft in europe-west1 (Sint-Ghislain, België). Geen doorgifte buiten de EU.

🔑 Versleuteling

TLS 1.2+ voor verbindingen, AES-256 voor data at rest met Google-beheerde sleutels.

👤 MFA

Tweestapsverificatie via TOTP (Google Authenticator, Authy, 1Password) beschikbaar voor alle gebruikers via Mijn account → Tweestapsverificatie. Organisatiebrede afdwinging voor admin-accounts staat op de roadmap 2026.

📚 Audit-logging

Alle kritieke acties worden gelogd met userID, orgID, IP en timestamp.

🔐 Toegangsbeheer

Role-based access control (RBAC) met least-privilege principe, data-isolatie per organisatie via Firestore Security Rules. Toegang tot de productieomgeving is beperkt tot geautoriseerd personeel (momenteel de zaakvoerder als DPO/Security Lead).

💾 Back-ups & recovery

Automatische multi-zone replicatie door Google Cloud (99,999% durability), Firestore Point-in-Time Recovery (7 dagen retentie) en dagelijkse scheduled back-ups (30 dagen retentie), actief op productie.

📡 Monitoring & alerting

Applicatie- en audit-logs via Firebase/Cloud Logging. Real-time error reporting via Google Cloud Operations met automatische e-mailnotificaties bij nieuwe of terugkerende incidenten.

✅ Compliance & certificeringen

TechMeld: AVG/GDPR-compliant (Verwerkersovereenkomst artikel 28), DPO beschikbaar, sub-processor register transparant.

Google Cloud (sub-processor) — infrastructuur-certificeringen:

ISO/IEC 27001, 27017, 27018, 22301
SOC 1, SOC 2 Type II, SOC 3
NEN 7510 (informatiebeveiliging zorg)
CSA STAR, ENS High (ES), C5 (DE), HDS (FR)

Opmerking: bovenstaande certificeringen zijn van toepassing op de onderliggende infrastructuur (Google Cloud Platform, europe-west1).

Alle Google Cloud-certificaten publiek raadpleegbaar op cloud.google.com/compliance.

Status TechMeld: ISO/IEC 27001:2022 aligned — Information Security Management System (ISMS) geïmplementeerd met policies, risicoanalyse, asset inventory, logging, incident management en leveranciersbeheer. Formele externe certificatie is gepland bij verdere schaalgroei.

Roadmap TechMeld: CyberFundamentals Basic (CCB België) in 2026, extern pentest in 2026, formele ISO 27001 / NEN 7510 certificatie bij schaalgroei.

🛡 NIS2 & zorgsector

Voor ziekenhuizen en essentiële entiteiten onder NIS2 leveren wij:

Ondersteuning bij leveranciersvragenlijsten (SIG Lite, CAIQ, custom)
Meldingsplicht binnen 48 uur aan Verwerkingsverantwoordelijke
Ondersteuning bij meldingen aan CCB en GBA
Forensische logs bewaard 90+ dagen, uitgebreid bij incidenten

🔁 Sub-verwerkers

Sub-verwerker	Locatie	Doel
Google Cloud / Firebase	EU (europe-west1)	Hosting, database, opslag, authenticatie, push
Google Gemini (via Vertex AI)	EU (europe-west1)	AI-analyse, inference-only (geen aparte sub-verwerker buiten Google)
Google Cloud Fraud Defense (voorheen reCAPTCHA Enterprise)	EU	Bot-/fraudebescherming op publieke formulieren
PayPal	Luxemburg	Betalingsverwerking (optioneel)
Billit	België	Peppol e-facturatie
Combell	België	SMTP-e-mail

🚨 Incident response

Bij een bevestigd datalek melden wij binnen 48 uur aan de Verwerkingsverantwoordelijke. Wij ondersteunen de melding aan de Gegevensbeschermingsautoriteit (72 uur, AVG art. 33) en aan het CCB voor NIS2-entiteiten.

Volledige procedure (detectie, inperking, eradicatie, herstel, lessons learned) beschreven in ons Incident Response Plan (op aanvraag).

🔒 Responsible disclosure

Heeft u een beveiligingsprobleem ontdekt? Meld het vertrouwelijk via info@techmeld.eu.

Wij reageren binnen 48 uur
Wij onderzoeken en patchen binnen maximaal 30 dagen
Wij erkennen uw bijdrage op aanvraag (hall of fame)
Meldingen in goed vertrouwen vallen onder ons responsible disclosure beleid en leiden niet tot juridische stappen

📧 Contact

Data Protection Officer / Security Lead:
Domenico Sciarrone
E-mail: info@techmeld.eu
Telefoon: +32 483 089 594 (werkuren; best-effort bij kritieke incidenten)
Adres: Genk, België
BTW: BE 1035.361.865

🔒 Our approach

At TechMeld we treat the security of your data as a core part of the product. This page describes our technical and organizational measures, our compliance framework and how we respond to security incidents.

The full Security Whitepaper, Data Processing Agreement (DPA), Service Level Agreement (SLA) and Incident Response Plan are available on request via info@techmeld.eu.

🌐 Infrastructure & data residency

🇪🇺 EU hosting

All data stays in europe-west1 (Saint-Ghislain, Belgium). No transfer outside the EU.

🔑 Encryption

TLS 1.2+ in transit, AES-256 at rest with Google-managed keys.

👤 MFA

Two-factor authentication via TOTP (Google Authenticator, Authy, 1Password) available to every user via My Account → Two-factor authentication. Organisation-wide enforcement for admin accounts is on the 2026 roadmap.

📚 Audit logging

All critical actions logged with userID, orgID, IP and timestamp.

🔐 Access control

Role-based access control (RBAC) with least-privilege principle; per-organisation data isolation enforced by Firestore Security Rules. Access to production is restricted to authorised personnel (currently the sole proprietor acting as DPO/Security Lead).

💾 Backups & recovery

Automatic multi-zone replication by Google Cloud (99.999% durability), Firestore Point-in-Time Recovery (7-day retention) and daily scheduled backups (30-day retention), active on production.

📡 Monitoring & alerting

Application and audit logs via Firebase / Cloud Logging. Real-time error reporting via Google Cloud Operations with automatic email notifications on new or recurring incidents.

✅ Compliance & certifications

TechMeld: GDPR-compliant (DPA under article 28), DPO available, transparent sub-processor register.

Google Cloud (sub-processor) — infrastructure certifications:

ISO/IEC 27001, 27017, 27018, 22301
SOC 1, SOC 2 Type II, SOC 3
NEN 7510 (healthcare information security)
CSA STAR, ENS High (ES), C5 (DE), HDS (FR)

Note: the certifications above apply to the underlying infrastructure (Google Cloud Platform, europe-west1).

All Google Cloud certificates publicly available at cloud.google.com/compliance.

TechMeld status: ISO/IEC 27001:2022 aligned — Information Security Management System (ISMS) implemented, with policies, risk assessment, asset inventory, logging, incident management and supplier governance. Formal external certification is planned as the company scales.

TechMeld roadmap: CyberFundamentals Basic (CCB Belgium) in 2026, external pentest in 2026, formal ISO 27001 / NEN 7510 certification when we reach scale.

🛡 NIS2 & healthcare

For hospitals and essential entities under NIS2 we provide:

Support with vendor questionnaires (SIG Lite, CAIQ, custom)
Breach notification within 48 hours to the data controller
Support with notifications to CCB and the Belgian DPA
Forensic logs retained 90+ days, extended on incidents

🔁 Sub-processors

Sub-processor	Location	Purpose
Google Cloud / Firebase	EU (europe-west1)	Hosting, database, storage, authentication, push
Google Gemini (via Vertex AI)	EU (europe-west1)	AI analysis, inference-only (no separate sub-processor outside Google)
Google Cloud Fraud Defense (formerly reCAPTCHA Enterprise)	EU	Bot/fraud protection on public forms
PayPal	Luxembourg	Payment processing (optional)
Billit	Belgium	Peppol e-invoicing
Combell	Belgium	SMTP email

🚨 Incident response

On a confirmed data breach we notify the data controller within 48 hours. We support the notification to the Belgian DPA (72 hours, GDPR art. 33) and to the CCB for NIS2 entities.

Full procedure (detection, containment, eradication, recovery, lessons learned) described in our Incident Response Plan (on request).

🔒 Responsible disclosure

Found a security issue? Report it confidentially via info@techmeld.eu.

We respond within 48 hours
We investigate and patch within 30 days maximum
We acknowledge your contribution on request (hall of fame)
Good-faith reports fall under our responsible disclosure policy and will not result in legal action

📧 Contact

Data Protection Officer / Security Lead:
Domenico Sciarrone
Email: info@techmeld.eu
Phone: +32 483 089 594 (business hours; best-effort for critical incidents)
Address: Genk, Belgium
VAT: BE 1035.361.865

🔒 Notre approche

Chez TechMeld nous considérons la sécurité de vos données comme un élément central du produit. Cette page décrit nos mesures techniques et organisationnelles, notre cadre de conformité et notre réponse aux incidents de sécurité.

Le Security Whitepaper, le Contrat de traitement (DPA), le Service Level Agreement (SLA) et le Plan de réponse aux incidents sont disponibles sur demande via info@techmeld.eu.

🌐 Infrastructure & résidence des données

🇪🇺 Hébergement UE

Toutes les données restent dans europe-west1 (Saint-Ghislain, Belgique). Aucun transfert hors UE.

🔑 Chiffrement

TLS 1.2+ en transit, AES-256 au repos avec clés gérées par Google.

👤 MFA

Authentification à deux facteurs via TOTP (Google Authenticator, Authy, 1Password) disponible pour tous les utilisateurs via Mon compte → Authentification à deux facteurs. L'application à l'échelle de l'organisation pour les comptes admin figure sur la feuille de route 2026.

📚 Audit-log

Toutes les actions critiques sont journalisées (userID, orgID, IP, timestamp).

🔐 Contrôle d'accès

Contrôle d'accès basé sur les rôles (RBAC) avec principe de moindre privilège ; isolation des données par organisation via Firestore Security Rules. L'accès à l'environnement de production est limité au personnel autorisé (actuellement le gérant en tant que DPO/Security Lead).

💾 Sauvegardes & reprise

Réplication multi-zone automatique par Google Cloud (durabilité 99,999 %), Firestore Point-in-Time Recovery (rétention de 7 jours) et sauvegardes quotidiennes programmées (rétention de 30 jours), activés en production.

📡 Monitoring & alerting

Logs d'application et d'audit via Firebase / Cloud Logging. Error reporting en temps réel via Google Cloud Operations avec notifications e-mail automatiques sur incidents nouveaux ou récurrents.

✅ Conformité & certifications

TechMeld : conforme RGPD (contrat de traitement article 28), DPO disponible, registre des sous-traitants transparent.

Google Cloud (sous-traitant) — certifications de l'infrastructure :

ISO/IEC 27001, 27017, 27018, 22301
SOC 1, SOC 2 Type II, SOC 3
NEN 7510 (sécurité de l'information en santé)
CSA STAR, ENS High (ES), C5 (DE), HDS (FR)

Remarque : les certifications ci-dessus s'appliquent à l'infrastructure sous-jacente (Google Cloud Platform, europe-west1).

Tous les certificats Google Cloud publiquement disponibles sur cloud.google.com/compliance.

Statut TechMeld : ISO/IEC 27001:2022 aligned — Système de management de la sécurité de l'information (ISMS) implémenté, avec politiques, analyse des risques, inventaire des actifs, logging, gestion des incidents et gouvernance fournisseurs. La certification externe formelle est prévue avec la croissance.

Feuille de route TechMeld : CyberFundamentals Basic (CCB Belgique) en 2026, pentest externe en 2026, certification ISO 27001 / NEN 7510 formelle à l'échelle.

🛡 NIS2 & secteur de la santé

Pour les hôpitaux et entités essentielles sous NIS2 nous fournissons :

Assistance aux questionnaires fournisseurs (SIG Lite, CAIQ, personnalisé)
Notification de violation sous 48h au responsable de traitement
Assistance aux notifications CCB et APD
Journaux forensiques conservés 90+ jours, prolongés en cas d'incident

🔁 Sous-traitants

Sous-traitant	Lieu	Finalité
Google Cloud / Firebase	UE (europe-west1)	Hébergement, BDD, stockage, auth, push
Google Gemini (via Vertex AI)	UE (europe-west1)	Analyse IA, inférence uniquement (pas de sous-traitant distinct hors Google)
Google Cloud Fraud Defense (anciennement reCAPTCHA Enterprise)	UE	Protection bot/fraude sur les formulaires publics
PayPal	Luxembourg	Traitement des paiements (optionnel)
Billit	Belgique	Facturation électronique Peppol
Combell	Belgique	SMTP email

🚨 Réponse aux incidents

Sur une violation de données confirmée, nous notifions le responsable de traitement sous 48 heures. Nous soutenons la notification à l'APD belge (72h, RGPD art. 33) et au CCB pour les entités NIS2.

Procédure complète (détection, confinement, éradication, rétablissement, retours d'expérience) décrite dans notre Plan de réponse aux incidents (sur demande).

🔒 Divulgation responsable

Vous avez découvert un problème de sécurité ? Signalez-le confidentiellement via info@techmeld.eu.

Nous répondons sous 48 heures
Nous investiguons et corrigeons sous 30 jours maximum
Nous remercions votre contribution sur demande (hall of fame)
Les signalements faits de bonne foi relèvent de notre politique de divulgation responsable et ne donneront lieu à aucune action légale

📧 Contact

Data Protection Officer / Security Lead :
Domenico Sciarrone
E-mail : info@techmeld.eu
Téléphone : +32 483 089 594 (heures ouvrables ; meilleur effort pour incidents critiques)
Adresse : Genk, Belgique
TVA : BE 1035.361.865