Diensten Aanpak Contact Plan een gesprek

Voorlopig juridisch document

Privacyverklaring en algemene voorwaarden

Deze pagina legt vast hoe RoodRoot omgaat met contactgegevens, klantgegevens, beveiligingsonderzoek, scope, toestemming, rapportage en aansprakelijkheid.

RoodRoot RoodRoot, eenmanszaak in oprichting Laatst bijgewerkt: 12 juli 2026
Voorlopige tekst. Deze pagina is bedoeld als werkbare basis voor de website, offertes en intake. Bij een concrete opdracht gaan offerte, opdrachtbevestiging, verwerkersafspraken en schriftelijke afwijkingen voor.
Privacy Algemene voorwaarden

Inhoud

Privacyverklaring Persoonsgegevens Bewaartermijnen AI-hulpmiddelen en externe API's Privacyrechten Algemene voorwaarden Beveiligingstests Uitvoering Betaling Aansprakelijkheid Contact

Privacyverklaring

RoodRoot verwerkt persoonsgegevens zorgvuldig en alleen voor zakelijke doelen die passen bij contact, intake, uitvoering van opdrachten, administratie en beveiliging. De website gebruikt geen marketingcookies, trackingcookies, statistiekdiensten of browseropslag zoals localStorage of sessionStorage.

Verwerkingsverantwoordelijke
RoodRoot, eenmanszaak in oprichting.
Contact
contact@roodroot.nl en .
Website
https://roodroot.nl.
KvK-nummer
Volgt na inschrijving.

Welke gegevens verwerkt RoodRoot?

Contactformulier en e-mail

Als je contact opneemt, kan RoodRoot de volgende gegevens verwerken: naam, organisatie, e-mailadres, gekozen dienst, berichtinhoud, datum en tijdstip van ontvangst en technische mailserver- of spamfiltergegevens die nodig zijn voor aflevering, opvolging en spam- of botbeperking.

RoodRoot gebruikt deze gegevens om je aanvraag te beantwoorden, misbruik te beperken, afspraken te maken en een eventuele opdracht voor te bereiden. De pagina zelf voert geen tracking of statistiekdiensten uit.

Intake en opdrachten

Bij intake of uitvoering van een opdracht kunnen aanvullende gegevens worden verwerkt, zoals contactpersonen, functie, telefoonnummer, scopeinformatie, systemen, IP-reeksen, applicatienamen, testvensters, rapporten, schermafbeeldingen, logbestanden, kwetsbaarheidsinformatie, herstelinformatie, factuurgegevens en correspondentie.

De concrete opdracht bepaalt welke gegevens nodig zijn. RoodRoot vraagt niet meer gegevens dan redelijk nodig is voor scope, toestemming, uitvoering, rapportage, facturatie, beveiliging en wettelijke administratie.

Grondslagen

RoodRoot verwerkt gegevens op basis van uitvoering van een overeenkomst of precontractuele maatregelen, gerechtvaardigd belang bij beveiliging en zakelijke communicatie, wettelijke verplichtingen zoals administratie- en belastingplichten, en toestemming waar dat nodig is.

Bewaartermijnen en beveiliging

Inkomende contactmails en bijbehorende technische mailserver- of spamfiltergegevens worden bij contact standaard maximaal 30 dagen bewaard voor opvolging, aflevering, spam- of botbeperking en misbruikonderzoek binnen de mailomgeving. Dit is geen tracking op de webpagina. Als er een zakelijke relatie of opdracht ontstaat, kunnen relevante contactgegevens en correspondentie langer worden bewaard zolang dat nodig is voor de relatie, opdracht, bewijspositie of administratie.

Facturen, betaalgegevens en vergelijkbare administratieve stukken worden 7 jaar bewaard, tenzij een langere wettelijke termijn geldt. Opdrachtgegevens, rapporten, scope-afspraken en relevante correspondentie worden bewaard zolang dat nodig is voor uitvoering, nazorg, aansprakelijkheidsvragen, beveiliging en wettelijke verplichtingen.

Klantgegevens worden zoveel mogelijk gescheiden per klant of opdracht. Toegang tot klantbestanden, rapporten, testnotities, logbestanden en decryptie wordt beperkt tot wat nodig is voor de opdracht. Waar passend gebruikt RoodRoot versleuteling, gescheiden opslag, minimale rechten, logregistratie, MFA en back-ups.

RoodRoot kan verwerkers gebruiken voor hosting, e-mail, opslag, sms, administratie, beveiliging of andere operationele diensten. Met zulke partijen worden passende afspraken gemaakt wanneer dat nodig is.

AI-hulpmiddelen en externe API's

RoodRoot gebruikt klantcode, klantgegevens, logbestanden, rapporten of vertrouwelijke opdrachtinformatie niet zomaar in LLM's, AI-hulpmiddelen of externe API's. Zonder duidelijke afspraak werkt RoodRoot met lokale hulpmiddelen, zoals een lokale LLM, en lokale verwerking waar dat redelijk mogelijk is.

De opdrachtgever houdt regie over het gebruik van externe API's en AI-hulpmiddelen. Als de opdrachtgever API-sleutels, accounts, tokens, cloudtoegang of betaalde diensten aanlevert, geldt dat als toestemming om die dienst binnen de afgesproken scope te gebruiken. Gebruik van API-sleutels, accounts of betaalde diensten van RoodRoot gebeurt alleen na duidelijke afspraak of schriftelijke autorisatie door de opdrachtgever. Daarbij wordt vooraf of tijdens de opdracht afgestemd welke data via die dienst wordt verwerkt en wie de kosten draagt.

Jouw privacyrechten

Je kunt vragen om inzage, correctie, verwijdering, beperking, overdracht of bezwaar tegen verwerking van je persoonsgegevens. Stuur daarvoor een bericht naar contact@roodroot.nl. RoodRoot kan vragen om informatie waarmee je identiteit redelijk kan worden vastgesteld.

Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Algemene voorwaarden

Deze algemene voorwaarden gelden voor aanbiedingen, offertes, werkzaamheden, diensten en opdrachten van RoodRoot, tenzij schriftelijk anders is afgesproken. Afwijkingen gelden alleen voor de opdracht waarvoor ze expliciet zijn vastgelegd. Inkoopvoorwaarden of andere voorwaarden van de opdrachtgever gelden alleen als RoodRoot die uitdrukkelijk en schriftelijk accepteert.

RoodRoot levert technische dienstverlening op het gebied van digitale beveiliging, penetratietesten, red teaming, kwetsbaarheidsanalyses, technische beveiligingsbeoordelingen, codebeoordeling, infrastructuur, cloud, Linux/NixOS, DevOps, serverbeheer, OT-beveiliging, IoT, industriƫle automatisering en aanverwant technisch advieswerk.

Offerte, scope en opdrachtbevestiging

Een opdracht komt tot stand na schriftelijke acceptatie van een offerte, opdrachtbevestiging of andere duidelijke schriftelijke afspraak. Offertes zijn vrijblijvend en dertig dagen geldig, tenzij iets anders is vermeld. RoodRoot mag een opdracht weigeren of stoppen als het doel onrechtmatig lijkt, toestemming ontbreekt, de scope onduidelijk is of de uitvoering onverantwoord risico oplevert.

In de opdrachtbevestiging of Rules of Engagement staan de scope, systemen, applicaties, IP-reeksen, cloudaccounts, testvensters, toegestane technieken, uitgesloten handelingen, contactpersonen, noodstop, rapportagevorm, planning, tarief, betalingsvoorwaarden en eventuele afspraken over logregistratie, toegestane bronadressen, accounts en toegang.

Een vrijblijvend kennismakingsgesprek is kosteloos, tenzij anders afgesproken. Zodra RoodRoot inhoudelijk scope, aanpak, ontwerpkeuzes, technische analyse of een bruikbare briefing uitwerkt, kan dat als betaalde verkenning of scopebepaling worden behandeld.

Beveiligingstests en toestemming

Beveiligingstests, scans, exploitatie, social engineering, phishing, fysieke tests en onderzoek naar productieomgevingen beginnen pas na expliciete schriftelijke autorisatie van de opdrachtgever. De opdrachtgever staat ervoor in dat hij bevoegd is om toestemming te geven voor alle systemen, netwerken, accounts, gebouwen, medewerkers, cloudomgevingen en derde partijen die binnen scope vallen. Als de opdrachtgever toegang tot een externe API, cloudomgeving of beheerde dienst aanlevert, blijft de opdrachtgever verantwoordelijk voor toestemming, gebruiksvoorwaarden en eventuele logregistratie door die dienst.

De opdrachtgever zorgt voor bereikbare contactpersonen, escalatieroutes, testvensters, relevante systeeminformatie, noodzakelijke accounts, interne afstemming, back-ups en monitoring. Denial-of-service, destructieve handelingen, persistentie, malware-achtige payloads, fysieke toegang, social engineering, phishing en tests op systemen van derden vallen buiten scope tenzij ze uitdrukkelijk en schriftelijk zijn toegestaan.

RoodRoot werkt zo zorgvuldig en beperkt mogelijk binnen het doel van de opdracht. Als een test onverwacht instabiliteit, dataverlies, juridische twijfel of disproportioneel risico veroorzaakt of dreigt te veroorzaken, mag RoodRoot de werkzaamheden pauzeren en eerst afstemmen met de opdrachtgever.

Kwetsbaarheden buiten scope worden niet verder onderzocht dan redelijk nodig is om ze veilig te signaleren, tenzij RoodRoot daarvoor aanvullende toestemming krijgt. Kritieke bevindingen kunnen tussentijds worden gemeld zodat de opdrachtgever direct kan handelen. Publicatie of gecoordineerde kwetsbaarheidsmelding gebeurt alleen volgens afzonderlijke schriftelijke afspraken of wettelijke noodzaak.

Uitvoering, rapportage en klantdata

RoodRoot voert werkzaamheden uit naar beste inzicht en vermogen als inspanningsverplichting. Beveiligingsonderzoek levert geen garantie dat systemen volledig veilig zijn of dat elke kwetsbaarheid wordt gevonden. Rapportages beschrijven bevindingen, bewijs, impact, risico en herstelrichting of herstelhints op basis van de afgesproken scope en het onderzoeksmoment. Stap-voor-stap implementatieadvies, een hertest, herstelbegeleiding, het uitvoeren van herstelwerk of aanvullende analyse is meerwerk tenzij dit schriftelijk is overeengekomen. Als RoodRoot herstelwerk uitvoert, is dat herstelwerk geen onderdeel van een onafhankelijke pentest.

Een hertest van eerder gerapporteerde bevindingen kan wel worden uitgevoerd, ook als die bevindingen uit een pentest van een andere partij komen. Zo'n hertest ziet op verificatie van herstel binnen de afgesproken bevindingen en geldt niet als nieuwe onafhankelijke pentest van dezelfde applicatie.

Na herstelwerk aan een specifieke applicatie voert RoodRoot geen onafhankelijke pentest op diezelfde applicatie uit, tenzij er minimaal twaalf maanden zijn verstreken of de opdrachtgever een aantoonbare changelog aanlevert van functionaliteit die niet door RoodRoot is geschreven. In dat geval wordt specifiek die changelog getest, eventueel aangevuld met OWASP Top 10- of vergelijkbare onderzoekspunten die buiten het eigen herstelwerk vallen.

Klantgegevens, inloggegevens, rapporten, schermafbeeldingen, logbestanden, exploituitvoer en testnotities worden vertrouwelijk behandeld en waar passend versleuteld overgedragen of opgeslagen. De opdrachtgever deelt geen gevoelige data die niet nodig is voor de opdracht. Partijen maken aanvullende afspraken over geheimhouding, verwerkersrollen, bewaartermijnen, scheiding per tenant, aangeleverde bestanden, overdracht en verwijdering als de opdracht dat vereist.

Bij tests op systemen van de opdrachtgever, beheerwerk of onderzoek op infrastructuur van derden kunnen hostingproviders, datacenters, cloudproviders, netwerkleveranciers of transitpartijen technisch verkeer, metadata, logregistratie, momentopnamen of beheerhandelingen verwerken of waarnemen. RoodRoot kan zulke verwerking door partijen buiten de eigen omgeving niet volledig voorkomen. De opdrachtgever blijft verantwoordelijk voor de keuze van zijn hosting-, cloud- en netwerkleveranciers en voor afspraken met die partijen.

RoodRoot noemt opdrachtgevers, systemen, bevindingen of rapportages niet als referentie, case, marketingmateriaal of publieke uiting zonder voorafgaande schriftelijke toestemming van de opdrachtgever. Vertrouwelijkheid geldt niet voor informatie die al openbaar is zonder schending, zelfstandig is ontwikkeld of verplicht moet worden verstrekt op grond van wet, rechterlijk bevel of toezichthouder.

Als bij een opdracht persoonsgegevens van medewerkers, klanten of eindgebruikers van de opdrachtgever worden verwerkt, leggen partijen indien nodig vooraf vast of RoodRoot verwerker of zelfstandig verwerkingsverantwoordelijke is. Wanneer RoodRoot als verwerker optreedt, wordt een passende verwerkersovereenkomst gesloten.

Betaling en intellectueel eigendom

Tarieven en betalingstermijnen staan in de offerte of opdrachtbevestiging. Tenzij anders afgesproken, zijn bedragen exclusief btw en factureert RoodRoot op basis van afgesproken vaste prijs, dagtarief, uurtarief of verkenning/scopebepaling. De standaard betalingstermijn is veertien dagen na factuurdatum.

Bij te late betaling mag RoodRoot wettelijke handelsrente, redelijke incassokosten en gemaakte kosten in rekening brengen. RoodRoot mag werkzaamheden, rapportage, hertests of andere opleveringen opschorten nadat de opdrachtgever redelijk is gewaarschuwd. Opschorting laat de betalingsverplichting bestaan.

RoodRoot behoudt rechten op eigen methodieken, sjablonen, hulpmiddelen, scripts, rapportstructuren, knowhow en generieke werkwijzen. De opdrachtgever krijgt na betaling een gebruiksrecht op de voor hem opgeleverde rapporten en opleveringen voor interne zakelijke doeleinden, tenzij schriftelijk anders is afgesproken.

Aansprakelijkheid

RoodRoot is alleen aansprakelijk voor directe schade die het rechtstreekse gevolg is van een toerekenbare tekortkoming. Directe schade omvat uitsluitend redelijke kosten om de tekortkoming te herstellen, redelijke kosten ter beperking van directe schade en redelijke kosten om oorzaak en omvang vast te stellen. Aansprakelijkheid voor indirecte schade, gevolgschade, winstderving, omzetverlies, gemiste besparingen, reputatieschade, bedrijfsstagnatie, verlies van data en aanspraken van derden is uitgesloten voor zover de wet dat toestaat.

Voor zover beperking wettelijk is toegestaan, is de aansprakelijkheid van RoodRoot beperkt tot het bedrag dat voor de betreffende opdracht is betaald in de drie maanden voorafgaand aan de schadeveroorzakende gebeurtenis, met een maximum van EUR 25.000, tenzij schriftelijk een hoger maximum is afgesproken of een toepasselijke aansprakelijkheidsverzekering meer uitkeert.

RoodRoot is niet aansprakelijk voor schade die inherent is aan schriftelijk geautoriseerde beveiligingstests binnen de afgesproken scope, voor zover RoodRoot zorgvuldig en conform de opdracht heeft gehandeld. Deze beperking geldt niet bij opzet of bewuste roekeloosheid van RoodRoot of voor aansprakelijkheid die volgens dwingend recht niet mag worden beperkt.

De opdrachtgever vrijwaart RoodRoot voor aanspraken die voortkomen uit ontbrekende bevoegdheid, onjuiste scopeinformatie, onvolledige systeeminformatie, instructies van de opdrachtgever, schending van voorwaarden van derde partijen, of tests waarvoor de opdrachtgever geen geldige toestemming had.

Overmacht, beeindiging en recht

RoodRoot is niet aansprakelijk voor vertraging of tekortkoming door omstandigheden buiten redelijke controle, zoals storingen bij providers, netwerkproblemen, ziekte, overheidsmaatregelen, stroomstoringen of incidenten bij derden.

Partijen mogen een opdracht beeindigen volgens de afspraken in de offerte of opdrachtbevestiging. Bij beeindiging betaalt de opdrachtgever voor al uitgevoerde werkzaamheden, gemaakte kosten en redelijkerwijs gereserveerde capaciteit, tenzij schriftelijk anders is afgesproken.

Op deze voorwaarden en alle opdrachten is Nederlands recht van toepassing. Geschillen worden bij voorkeur eerst zakelijk besproken. Als dat niet lukt, worden geschillen voorgelegd aan de bevoegde rechter in Nederland.

Contact

Vragen over deze voorwaarden of de verwerking van persoonsgegevens kunnen naar contact@roodroot.nl. Bel voor spoed of lopende opdrachten via .

Beveiliging wordt getest, niet bezoekers.

Geen trackingcookies. Geen advertentieprofielen. Geen statistiekdiensten van derden.

Lees deze privacyverklaring en voorwaarden voor meer informatie. De broncode wordt openbaar op 1 augustus 2026.

Bekijk onze code op GitHub en lees deze privacyverklaring en voorwaarden voor meer informatie.

Offensieve beveiliging vanuit Nederland. Direct onderzoek, heldere bevindingen en hulp bij herstel.

Diensten

Penetratietesten Hertesten Red teaming Social engineering Codebeoordeling Cloudbeveiliging OT- en IoT-beveiliging

RoodRoot

Aanpak Contact Privacy Voorwaarden

Contact

contact@roodroot.nl LinkedIn GitHub
© 2026 RoodRoot. Alle rechten voorbehouden. Cookies zijn niet aanwezig op deze pagina