Veilige Drupal platformen met aantoonbare compliance
Veilige Drupal platformen met aantoonbare compliance
Organisaties die werken met gevoelige of bedrijfskritische data kunnen zich geen risico’s veroorloven. Denk aan toezicht, audits, AVG, continuïteit en publieke verantwoording. Atom ontwikkelt en beheert veilige Drupal platformen voor overheid, semi overheid en grote organisaties die aantoonbaar grip willen op security, compliance en hun digitale omgeving.
We richten onze omgevingen zo in dat risico’s worden geminimaliseerd en gevoelige data niet in verkeerde handen kan vallen. Zo kun jij met een gerust hart vertrouwen op een veilige digitale omgeving.
Veilige Drupal platformen met aantoonbare compliance
ISO 27001 certificering
ISO 27001 is de internationaal erkende norm voor informatiebeveiliging en het opzetten van een Information Security Management System (ISMS). Met een ISMS worden beleid, processen en systemen zo ingericht dat vertrouwelijkheid, beschikbaarheid en integriteit van informatie zijn geborgd. ISO 27001 werkt risicogebaseerd: risico’s worden geïdentificeerd, beoordeeld en behandeld via passende maatregelen.
ISO 27001-certificering gaat veel verder dan ‘werken volgens de richtlijn’. Het vraagt om een structurele aanpak, continue verbetering en onafhankelijke audits. Zeggen dat digitale oplossingen voldoen aan standaarden zoals ISO 27001 is niet hetzelfde als daadwerkelijk gecertificeerd zijn. Met ons gecertificeerde ISMS laten we zien dat informatiebeveiliging aantoonbaar op orde is.
Wil je zekerheid bij een leverancier? Vraag dan altijd naar het ISO 27001-certificaat en de Verklaring van Toepasselijkheid.
Veilige aanpak van Drupal
Drupal is ontworpen voor organisaties met hoge eisen aan veiligheid. Niet alleen door de techniek, maar vooral door de gecentraliseerde en procesmatige manier waarop de Drupal-community met security omgaat. Veiligheidsissues worden openbaar en gestructureerd opgepakt, en patches komen snel en transparant beschikbaar. Daarom is Drupal al jaren de voorkeurskeuze bij (semi)overheid, zorg en andere omgevingen met gevoelige data. 
Daarnaast heeft Drupal standaard veel beveiligingsfuncties aan boord: een fijnmazig rollen- en rechtenmodel, logging, API-controls en uitbreidbare security-modules. Dat vormt een stevig vertrekpunt om maatregelen te implementeren die passen bij jouw processen.
Veilige Drupal hosting
Een veilig Drupal-platform begint bij een hostingomgeving die speciaal is ingericht voor stabiliteit, performance én informatiebeveiliging. Atom biedt zeer veilige, volledig beheerde Drupal hosting, waarbij we samenwerken met de gecertificeerde Nederlandse provider Fundaments voor een robuuste, ISO-27001, ISO9001, ISAE- en NEN-gecertificeerde infrastructuur met dagelijkse versleutelde back-ups, anti-DDoS, continue beveiligingsupdates en dataopslag in Nederlandse datacenters, conform AVG. Dit zorgt voor optimale snelheid, schaalbaarheid en bescherming tegen bedreigingen voor jouw Drupal platform, met volledige controle over de stack
Ontwikkelstraat en kwaliteitsstandaarden van Atom:
Een veilig en toekomstbestendig Drupal-platform begint bij een robuuste ontwikkelstraat. Bij Atom is die straat volledig ingericht op kwaliteit, veiligheid, overzichtelijkheid en overdraagbaarheid. Ons ontwikkelproces combineert strikte technische standaarden met een werkmethode die risico’s minimaliseert en continu inzicht geeft in de staat van de code.
Strikte ontwikkelstandaarden:
Om consistente, veilige en hoogwaardige code te garanderen, hanteert Atom de volgende kaders:
- Code reviews volgens het vier-ogenprincipe – elke wijziging wordt door minimaal twee ontwikkelaars beoordeeld, wat de kwaliteit verhoogt en fouten vroegtijdig onderschept.
- Drupal Coding Standards – om een uniforme, herkenbare en onderhoudbare codebase te waarborgen.
- Drupal Practice Standards – gericht op praktische toepasbaarheid, veiligheid en best practices binnen het Drupal-ecosysteem.
- PHPStan Level Max – maximale statische code-analyse om bugs, risico’s en inconsistenties al tijdens de bouwfase te detecteren.
- Separation of Concerns (SoC), waarbij modules klein, logisch gescheiden en per verantwoordelijkheid worden opgezet.
Deze combinatie zorgt ervoor dat nieuwe functionaliteit niet alleen werkt, maar ook voldoet aan moderne beveiligings- en kwaliteitsnormen.
Schrijven van veilige code
Veilige code is bij Atom de standaard. We schrijven code die expliciet rekening houdt met autorisatie, validatie en foutafhandeling. Onze visie is om altijd eerst te kijken naar configuratie, implementatie en integratie, en pas daarna naar maatwerk, waarbij we de keuzes zorgvuldig afwegen. Daarbij volgen we de best practices uit de community én ons eigen ontwikkelbeleid.
Door statische analyse, geautomatiseerde checks en peer reviews leggen we zwakke plekken al in de ontwikkelfase bloot.
Privacy by design & default
Privacy by design & default betekent dat we privacy niet achteraf toevoegen, maar vanaf de eerste schets meenemen. We kijken kritisch welke persoonsgegevens echt nodig zijn en hoe lang die bewaard moeten worden. Zo blijft je platform AVG-proof in de praktijk, niet alleen op papier.
Sanatize Script
Met Drupal en een maatwerkscript kunnen we gegevens automatisch anonimiseren, pseudonimiseren, verwijderen of afschermen als dat nodig is, iets wat we voor onze ontwikkel-, test- en acceptatieomgevingen standaard doen. Waar data niet aanwezig is en niet wordt verwerkt, kan die ook niet worden gelekt.
Atom STM
Atom STM is een dashboard dat automatisch informatie ophaalt uit de productieomgevingen van onze klanten. Het laat in één oogopslag zien of SSL-certificaten bijna verlopen, of er (veiligheids-)updates voor Drupal klaarstaan, waar een site wordt gehost, welke PHP-versie de server gebruikt en nog veel meer technische details. Het doel is om op één centrale plek zoveel mogelijk actuele informatie over klantomgevingen inzichtelijk te maken.
Het geeft ons aantoonbare grip en zicht op op je landschap en verkleint de kans op lekken én ondersteunt governance, audits en compliance.
OWASP
OWASP gebruiken we als leidraad voor wat een veilige webapplicatie is. De OWASP Top 10 beschrijft de meest voorkomende risico’s, zoals lekke inlogprocessen, slechte toegangsbeveiliging of ongecontroleerde invoer. Wij gebruiken deze lijst als checklist bij ontwerp, ontwikkeling en tests. Denk aan veilige sessies, beperkte foutmeldingen en het voorkomen van injectie-aanvallen. Dit helpt om ook minder zichtbare risico’s systematisch mee te nemen.
Pentesting
Pentesting is een praktijktest waarbij een externe specialist je platform probeert te hacken, als volledig externe gebruiker of als ingelogde gebruiker. Het doel is onder andere om fouten in toegangscontroles of autorisatie-instellingen bloot te leggen. Zo ontdekken we zwakke plekken die je met gewone tests soms niet ziet. Afhankelijk van het risico en type platform plannen we periodiek zo’n test in. De gevonden punten worden gerangschikt op impact en vervolgens gericht opgelost.
Digital Soevereiniteit
Digitale soevereiniteit gaat over de vraag in hoeverre een persoon, organisatie of overheid controle heeft over de eigen digitale omgeving, data, technologie en afhankelijkheden. Het draait dus om autonomie: zelf kunnen bepalen waar gegevens staan, wie erbij kan, welke technologie je gebruikt en welke risico’s je accepteert.
Waar informatiebeveiliging gaat over het beschermen van informatie (vertrouwelijkheid, integriteit en beschikbaarheid), gaat digitale soevereiniteit over het hebben van de regie over die informatie en de systemen eromheen. Als je niet weet waar data staat of wie er technisch toegang toe kan hebben, kun je de vertrouwelijkheid nooit volledig garanderen.
Voor Atom betekent digitale soevereiniteit dat jij als organisatie grip houdt op je data, je platform en je leveranciers. Concreet beloven we dat:
- Je platform data wordt gehost binnen Europa en onder Europese wet- en regelgeving valt;
- Je altijd eigenaar blijft van je data, code en content, zonder licentie-lock-in;
- We werken met open source (Drupal), open standaarden en overdraagbare code, zodat een andere partij het platform kan overnemen als dat ooit nodig is - geen vendor-lock-in;
- Ons ISO 27001-gecertificeerde ISMS en onze security-aanpak aantoonbaar bijdragen aan controle over risico’s;
- We transparant zijn over betrokken leveranciers, datastromen en een mogelijke exitstrategie.
Digitale soevereiniteit is daarmee geen absolute garantie, maar een bewuste set keuzes rond hosting, technologie, beveiliging en governance, zodat jij als organisatie maximaal de regie houdt over je digitale landschap.
