Transparantie · In het openbaar gebouwd
Websitegezondheid
Ik houd mijn eigen site aan de lat die ik leg voor de producten die ik bouw. Deze pagina is het bewijs, geen bewering: de prestatiecijfers hieronder worden nu live in je browser gemeten, en de beveiligingsheaders worden live van deze site opgehaald. Elk onderdeel heeft ook de productredenering achter de beslissing, want hoe je denkt is waar het om gaat.
API- en servicestatus
Live bereikbaarheidscontroles, nu vanuit je browser uitgevoerd, voor de services waarvan deze site afhankelijk is. Waarom: een eerlijke, realtime status is beter dan een statisch 'everything's fine'.
Services controleren…
Website
Vercel edge / static hosting
Controleren…
Formulieren- en nieuwsbrief-API
Supabase Edge Functions
Controleren…
Botbescherming
Google reCAPTCHA
Controleren…
Vertaling
14 talen · vooraf gebouwde, geen runtime calls
Controleren…
Bereikbaarheid en round-trip-tijd vanaf jouw locatie, elke minuut opnieuw gecontroleerd. Een rode stip betekent dat je browser die service niet kon bereiken.
Prestaties
Voorgerenderde statische pagina's (SSG), een zelf gehoste subset van de lettertypes, bundelsplitsing per taal, en scripts van derden (reCAPTCHA) die alleen op aanvraag worden geladen. Waarom: snelheid is een functie en een vertrouwenssignaal; het snelste verzoek is het verzoek dat je nooit doet.
LCP
…
Goed: ≤ 2500 ms
CLS
…
Goed: ≤ 0.1
FCP
…
Goed: ≤ 1800 ms
TTFB
…
Goed: ≤ 800 ms
Live Core Web Vitals van je huidige paginalading (groen = goed, oranje = kan beter, rood = slecht). Cijfers verschillen per apparaat en netwerk.
Beveiliging
Een op hashes gebaseerde Content-Security-Policy zonder inline- of eval-scripts, HSTS met preload, bescherming tegen clickjacking en cross-origin, en een backend waar de browser de database nooit raakt. Waarom: verdediging in de diepte, en controles die veilig dichtvallen in plaats van open.
Live headers controleren…
Live van deze site opgehaald. Backend-versterking (server-geverifieerde reCAPTCHA die veilig dichtvalt, honeypots, rate limiting op IP-hash, met HMAC ondertekende verwijderlinks, met RLS vergrendelde tabellen) wordt hier niet getoond, maar wordt wel geaudit.
Privacy & AVG
Geen enkele bezoeker wordt gevolgd voordat die toestemming geeft, en er laadt standaard niets dat hun gegevens naar een derde partij zou lekken. Waarom: privacy is geen instelling om achteraf op te schroeven, het is een uitgangspunt om vanaf het begin in te ontwerpen.
Toestemmingsgebonden. Standaard alleen essentieel; analytics laden pas na opt-in. Bij de eerste lading vuurt geen enkele tracker af.
Zelf gehoste lettertypes. Lettertypes worden vanaf dit domein geserveerd, zodat IP's van bezoekers nooit Google Fonts bereiken.
Geen ruw IP opgeslagen. Misbruikcontroles voor formulieren en nieuwsbrief gebruiken een gesalte eenrichtingshash van het IP, nooit het ruwe adres.
Echt recht op verwijdering. Een werkende, per e-mail geverifieerde gegevensverwijderingsflow verwijdert je gegevens permanent (AVG Art. 17).
Eerlijke beweringen. Vertrouwensbadges zeggen 'Ready / Managed', niet 'Compliant', tenzij daar bewijs achter zit.
Openbaarmaking. Een security.txt-contact en een clausule over de doorslaggevende taal op de juridische pagina's.
Toegankelijkheid
Gebouwd richting WCAG 2.2 AA (Gereed, niet extern gecertificeerd): bruikbaar met toetsenbord, schermlezer, en voor mensen die minder beweging nodig hebben. Waarom: een ervaring die mensen uitsluit is niet af.
Toetsenbord & focus. Overal zichtbare focusringen en een link om naar de inhoud te springen op elke pagina.
Minder beweging. Elke animatie, inclusief de casestudy-diagrammen, respecteert prefers-reduced-motion.
Semantische structuur. Juiste landmarks, koppen, labels en alt-tekst voor hulptechnologie.
Contrast & doelen. Tekstcontrast en de grootte van aanraakdoelen halen de AA-lat in zowel het lichte als het donkere thema.
Betrouwbaarheid & proces
Er gaat niets ongetest naar productie, en formulieren zijn gehard tegen misbruik zonder echte mensen te straffen. Waarom: betrouwbaarheid is een productbeslissing, en het proces is waar kwaliteit werkelijk vandaan komt.
Deploys met testpoort. Route- en vertaalpariteitstests moeten slagen vóór elke build; promotie loopt van dev naar qa naar prod.
Gelaagde misbruikverdediging. reCAPTCHA-score + honeypot + servervalidatie + rate limiting op IP-hash, allemaal fail-safe.
Dubbele opt-in. Nieuwsbriefaanmeldingen worden per e-mail bevestigd; elk bericht bevat een werkende afmeldlink.
Nette foutafhandeling. Formulieren vallen terug op duidelijke, specifieke meldingen (waaronder 'too many attempts') in plaats van te breken.
Wil je iets hiervan zelf verifiëren? Open de dev tools van je browser en bekijk de response-headers, draai Lighthouse, of tab met je toetsenbord door de site. Dat is precies het doel van in het openbaar bouwen.