Beveiliging

Security & Toegang

Manuless werkt in de systemen van de opdrachtgever. Dat vereist heldere afspraken over toegang, credentials en overdracht. Op deze pagina staat hoe wij daarmee omgaan: van het eerste intakegesprek tot het moment dat de workflow draait en wij de toegang overdragen.

Versie 1.0 Vastgesteld: 27 juni 2026 Security by Design
Sectie 1

Geen hardcoded credentials

Een workflow die Manuless oplevert, bevat nooit een wachtwoord, API-sleutel of token in de code. Alle gevoelige verbindingsgegevens worden vervangen door een duidelijk gelabelde placeholder die de opdrachtgever zelf invult na ontvangst.

Voorbeeld: opgeleverde workflow (geanonimiseerd)
hubspot_api_key: PLACEHOLDER_HUBSPOT_API_KEY
gmail_oauth_token: PLACEHOLDER_GMAIL_OAUTH
openai_api_key: PLACEHOLDER_OPENAI_KEY
webhook_secret: PLACEHOLDER_WEBHOOK_SECRET

De handleiding beschrijft precies welke placeholders moeten worden vervangen, waar u de bijbehorende sleutels kunt vinden en in welke volgorde u ze invult. Manuless heeft na oplevering geen toegang tot uw productie-credentials. U bepaalt zelf wat u invult en wanneer.

Sectie 2

Tijdelijke toegang

Wanneer een opdracht implementatie in de omgeving van de opdrachtgever vereist (het daadwerkelijk instellen en testen van de workflow in het live-systeem), vraagt Manuless tijdelijke toegang. Die toegang is:

  • Uitsluitend bestemd voor de overeengekomen werkzaamheden
  • Beperkt tot de systemen en accounts die voor de implementatie noodzakelijk zijn
  • Zo kort mogelijk: Manuless vraagt toegang wanneer de implementatie begint en geeft aan wanneer de toegang kan worden ingetrokken
  • Nooit gebruikt voor andere doeleinden dan de afgesproken opdracht
1
Opdrachtgever verleent toegang

Via een uitnodiging vanuit het eigen systeem van de opdrachtgever, niet via wachtwoorden die worden gedeeld via e-mail of chat.

2
Implementatie en test

Manuless gebruikt de toegang uitsluitend voor het installeren, configureren en testen van de workflow.

3
Oplevering

Manuless geeft aan dat de implementatie klaar is en herinnert de opdrachtgever actief aan het intrekken van de tijdelijke toegang.

4
Opdrachtgever trekt toegang in

De opdrachtgever verwijdert of deactiveert de tijdelijke toegang vanuit het eigen systeem. Manuless bevestigt dat de toegang is ingetrokken wanneer gevraagd.

Sectie 3

Minimale rechten

Manuless vraagt altijd de minimaal benodigde rechten voor de uit te voeren werkzaamheden. Dat betekent in de praktijk:

  • Leestoegang waar schrijftoegang niet noodzakelijk is
  • Toegang tot specifieke mappen of modules, niet tot de volledige omgeving als dat niet hoeft
  • Geen beheerdersrechten tenzij de implementatie dat technisch vereist, en dan alleen voor de duur van die specifieke stap
  • Geen toegang tot systemen die buiten de scope van de opdracht vallen

Als u twijfelt over welke rechten u kunt verlenen, bespreken wij dit vóór de implementatie. Manuless werkt liever iets trager met beperkte rechten dan ruimer dan nodig.

Sectie 4

Veilige bestandsoverdracht

Wanneer bestanden worden uitgewisseld in het kader van een opdracht (workflow-configuraties, procesontwerpen, handleidingen of tijdelijke exportbestanden), gebruiken wij uitsluitend beveiligde kanalen.

  • Workflow-bestanden worden gedeeld via een beveiligde link of een versleutelde omgeving, niet als onbeveiligd e-mailbijlage
  • Gevoelige documenten (met klantgegevens of systeeminformatie) worden gedeeld via een versleutelde map die de opdrachtgever zelf beheert
  • Manuless verstuurt nooit wachtwoorden, API-sleutels of tokens via e-mail, chat of andere onbeveiligde kanalen

Praktisch: Tijdelijke toegang tot gevoelige bestanden wordt verleend via een beveiligde map die de opdrachtgever aanmaakt en beheert, bijvoorbeeld een gedeelde map in Google Drive of een vergelijkbare omgeving met toegangscontrole. Manuless heeft geen eigen opslag voor klantbestanden.

Sectie 5

Na oplevering

Na oplevering van de workflow heeft Manuless standaard geen toegang meer tot de systemen van de opdrachtgever. De overdracht is volledig: de workflow draait in de eigen omgeving van de opdrachtgever, op de eigen accounts van de opdrachtgever, met de eigen credentials van de opdrachtgever.

Manuless herinnert bij elke oplevering actief aan de volgende stappen voor de opdrachtgever:

  • Tijdelijke toegang van Manuless intrekken of deactiveren
  • Placeholders in de workflow vervangen door eigen credentials
  • Verificatie dat de workflow correct functioneert na het invullen van de eigen gegevens
  • Eventuele tijdelijke exportbestanden of gedeelde mappen verwijderen of de toegang intrekken

Wanneer een retainercontract wordt afgesloten, worden de toegangsafspraken voor dat contract apart vastgelegd. Ook dan geldt: minimale rechten, voor de kortst mogelijke duur.

Sectie 6

Beveiliging van Manuless zelf

Manuless past de volgende maatregelen toe op de eigen systemen en werkwijze:

  • Sterke, unieke wachtwoorden en tweefactorauthenticatie op alle accounts die toegang geven tot klantomgevingen of eigen bedrijfssystemen
  • Projectcommunicatie via versleutelde kanalen
  • Geen opslag van klantgegevens buiten de eigen CRM en projectadministratie
  • Apparaten zijn versleuteld en beveiligd met toegangscode
  • Tijdelijke bestanden met klantinformatie worden na gebruik verwijderd

Bij een incident dat mogelijk gevolgen heeft voor de gegevens van een opdrachtgever, neemt Manuless zo spoedig mogelijk contact op en handelt conform de meldplicht datalekken uit de AVG.

Vragen of meldingen: Vermoedt u een beveiligingsprobleem dat verband houdt met werkzaamheden van Manuless? Neem direct contact op via [email protected]. Wij reageren binnen één werkdag.