Architectuur & soevereiniteit

Singulr VZW exploiteert een beheerde Git-forge gebaseerd op Forgejo, vanuit België onder Belgisch recht, als eerste bouwsteen van een Europees digitaal gemeengoed — naast code.overheid.nl, opencode.de en code.europa.eu. Deze pagina documenteert de technische architectuur, de fysieke hosting en de juridische verbintenissen.

100%
Europese infrastructuur en recht
BE
Toepasselijk Belgisch recht
0
CLOUD Act · FISA 702

Technische stack

De infrastructuur van Singulr berust volledig op gedocumenteerde en auditeerbare open source componenten. Geen afhankelijkheid van een propriëtaire uitgever, geen gesloten extensies, geen technische vendor lock-in.

Forge-engine
Forgejo 15.x LTS, onder GPL v3+. Forgejo is een community fork van Gitea, onderhouden door Codeberg e.V. (Duitsland), met open bestuur en een publieke roadmap.
Database
PostgreSQL 17, onder PostgreSQL-licentie (BSD-equivalent).
Reverse proxy & TLS
Caddy 2, onder Apache 2.0-licentie. Let's Encrypt-certificaten worden automatisch vernieuwd. HTTP/2 en HTTP/3 zijn actief.
Host-besturingssysteem
Ubuntu 26.04 LTS, met geactiveerde automatische installatie van onbeheerde beveiligingsupdates.
Containerisatie
Docker Compose voor de orkestratie van de applicatieve diensten. Persistente data op dedicated volumes, volledig geback-upt en reconstrueerbaar.

De volledige stack kan identiek worden gereproduceerd op een infrastructuur van derden. Geen enkel component is propriëtair aan Singulr.

Aansluiting bij de soevereine Europese federatie

De Europese publieke sector bouwt zijn soevereine forges al, op uiteenlopende vrije fundamenten:

  • code.overheid.nl (Nederland), soft launch april 2026, voor de Nederlandse overheden — op Forgejo;
  • opencode.de (Duitsland), voor de Duitse publieke sector — op GitLab (ZenDiS);
  • code.europa.eu (Europese Unie), voor de instellingen van de Unie — op GitLab.

Verschillende Git-engines (Forgejo, GitLab), eenzelfde eis: code gehost onder Europese jurisdictie en onder controle. Singulr heeft gekozen voor Forgejo (community fork van Gitea onder GPL v3+-licentie, ondersteund door Codeberg e.V.) en exploiteert dit fundament voor de private, associatieve en lokale organisaties die deze publieke voorzieningen niet dekken. Soevereiniteit wordt bepaald door de jurisdictie en de controle, niet door de keuze van een specifieke Git-engine.

Fysieke hosting

De productieservers van Singulr worden in België gehost, bij Behostings (Diogenius SPRL), in de datacenters InterXion BRU1 (Zaventem) en BRU3 (Nossegem), in de regio Brussel.

De keuze voor een Belgische host is niet bijkomstig. Hij garandeert dat de fysieke machines waarop de Singulr-diensten draaien onderworpen zijn aan het Belgisch recht en het Europees recht, zonder extraterritoriale toepassing van een buitenlands recht.

Back-ups

De dagelijkse back-ups worden aan de clientzijde versleuteld met restic (AES-256) en vervolgens opgeslagen op een Hetzner Storage Box in Duitsland (datacenter Falkenstein). De decryptiesleutel blijft uitsluitend onder controle van Singulr. Hetzner heeft als koude opslag geen toegang tot de data in leesbare vorm.

Bewaartermijn: 7 dagelijkse back-ups, 4 wekelijkse, 12 maandelijkse. Restauraties worden periodiek getest.

Monitoring

De beschikbaarheid van de diensten wordt vanuit de Europese Unie gemonitord door Better Stack (Tsjechië). De probes controleren de productiedomeinen om de drie minuten. Waarschuwingen worden per e-mail en mobiele notificatie verstuurd.

Juridische soevereiniteit

Juridische entiteit

Singulr is een merk van Singulr ASBL, vereniging zonder winstoogmerk naar Belgisch recht, geregeld door het Wetboek van vennootschappen en verenigingen van 23 maart 2019, met maatschappelijke zetel te Avenue Louise 231, 1050 Brussel, België. Inschrijving Kruispuntbank van Ondernemingen (KBO): [BCE À COMPLÉTER POST-DÉPÔT E-GREFFE].

Toegang en contracten worden gesloten met Singulr ASBL, onder Belgisch recht, met bevoegdheid van de rechtbanken van het gerechtelijk arrondissement Brussel.

Persoonsgegevens

De verwerking van persoonsgegevens wordt geregeld door de Algemene Verordening Gegevensbescherming (EU 2016/679) en de Belgische wet van 30 juli 2018. Het privacybeleid beschrijft de uitgevoerde verwerkingen, de rechtsgronden, de bewaartermijnen en de uitoefenbare rechten.

Genoemde subverwerkers

Singulr maakt gebruik van een beperkt aantal subverwerkers, allemaal gevestigd in de Europese Unie:

  • Behostings (Diogenius SPRL), België — hosting van de productieservers.
  • Hetzner Online GmbH, Duitsland — opslag van de aan de clientzijde versleutelde back-ups.
  • Better Stack (Better Stack Hosting s.r.o.), Tsjechië — externe monitoring van beschikbaarheid.
  • Brevo (Sendinblue SA), Frankrijk — transactionele e-mails (wachtwoord-reset, notificaties).

Geen extraterritorialiteit

Singulr is uitsluitend onderworpen aan het Belgisch en Europees recht. Eventuele verzoeken van buitenlandse autoriteiten worden behandeld volgens de procedures van gerechtelijke samenwerking voorzien door dit kader.

Operationele beveiliging

Transport

Al het inkomende verkeer wordt versleuteld in TLS 1.2 of 1.3. HSTS is geactiveerd met max-age=63072000 (twee jaar) en includeSubDomains. Geen enkele onversleutelde poort is blootgesteld.

Authenticatie & toegangsbeveiliging

Authenticatie via wachtwoord met moderne hashing (bcrypt). SSH-sleutels worden ondersteund voor toegang tot Git-repositories. Mislukte authenticatiepogingen worden door fail2ban opgevolgd met automatische blokkering boven een geparametreerde drempel.

Antwoord-headers

De standaard HTTP-beveiligingsheaders worden toegepast: Strict-Transport-Security, X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Referrer-Policy: strict-origin-when-cross-origin, restrictieve Permissions-Policy. De Server-header wordt verborgen.

Updates

Het host-besturingssysteem past automatisch onbeheerde beveiligingsupdates toe. De versies van Forgejo, PostgreSQL en Caddy worden actief opgevolgd, met uitrol van beveiligingspatches binnen termijnen die zijn vastgelegd in het SLA van het onderschreven plan.

Continuïteit

De dienstcontinuïteit berust op drie onafhankelijke lagen:

  1. Dagelijkse versleutelde back-ups, opgeslagen bij een andere provider dan de primaire hostingprovider (Hetzner Duitsland vs. Behostings België), met meerlaagse bewaring.
  2. Externe monitoring van de applicatieve beschikbaarheid vanuit een derde provider (Better Stack), onafhankelijk van de twee voorgaande, met realtime alerts.
  3. Gedocumenteerde herstelprocedure, getest, waarmee een volledige Singulr-dienst opnieuw kan worden opgebouwd op een nieuwe infrastructuur op basis van uitsluitend de back-ups.

In geval van uitval van de primaire hostingprovider kan de dienst opnieuw worden opgebouwd bij een Belgische of Europese andere provider op basis van de back-ups, zonder afhankelijkheid van een propriëtaire software-uitgever.

Wat Singulr momenteel niet aanbiedt

Uit eerlijkheid tegenover de organisaties die de oplossing evalueren, hieronder de functies die op de publicatiedatum van deze pagina niet zijn opgenomen in het Singulr-aanbod:

  • Geen geïntegreerde continue integratie- en deploymentdienst (CI/CD). Forgejo Actions is beschikbaar maar vereist een dedicated runner, die niet standaard is inbegrepen in de Cloud-plannen.
  • Geen gehoste Docker- of OCI-registry.
  • Geen gehoste pakketbeheerdienst (npm, Maven, PyPI).
  • Geen clientseitige versleuteling van de Git-repositories zelf. De TLS-versleuteling beveiligt het transport; de AES-256-versleuteling beveiligt de back-ups. De repositories in rust op de primaire server zijn niet door Singulr versleuteld (ze kunnen op schijfniveau versleuteld zijn afhankelijk van de hostingconfiguratie).
  • Geen contractuele SLA op gratis plannen of evaluatieplannen. SLA's zijn gekoppeld aan betalende plannen.

Deze punten kunnen evolueren. Singulr verkiest geen speculatieve roadmap aan te kondigen, en elke toevoeging te documenteren op het moment van haar indienststelling.

Soeverein Europees ecosysteem

Singulr dekt de Git-forge-bouwsteen. Een volledige infrastructuur vereist andere bouwstenen: beheerde databases, objectopslag, rekenkracht, CDN, observability, transactionele e-mail. Voor elk van deze bouwstenen bestaan soevereine Europese aanbieders.

Deze lijst documenteert, op de publicatiedatum, dat een 100 % soevereine Europese stack vandaag technisch samen te stellen is. Singulr verkoopt of beheert deze diensten niet en heeft geen enkele commerciële band met deze leveranciers.

Beheerde databases en rekenkracht
Scaleway (Franse SAS, Parijs), Clever Cloud (Franse SAS, Nantes), OVHcloud (Franse SAS, Roubaix).
Opslag, servers en infrastructuur
Hetzner (Duitse GmbH, Gunzenhausen, datacenters in Duitsland en Finland), Infomaniak (Zwitserse NV, Genève, controle op 13 mei 2026 overgedragen aan een Zwitserse stichting van openbaar nut om de onverkoopbaarheid te garanderen).
Transactionele en marketing-e-mail
Brevo (Franse SAS, Parijs), Mailjet (Franse SAS, Parijs).

Criterium voor deze lijst: maatschappelijke zetel in Europa (EU of Zwitserland), Europese jurisdictie van toepassing op de contracten, fysieke infrastructuur gelokaliseerd in Europa. Oplossingen die draaien bovenop een Amerikaanse hyperscaler-infrastructuur (AWS, GCP, Azure) staan hier niet vermeld, hun status onder de CLOUD Act en FISA 702 is niet gelijkwaardig.

Technisch contact

Technische vragen over de architectuur, de beveiligingsverbintenissen of de modaliteiten van migratie vanaf een derde provider kunnen worden gericht aan contact@singulr.be.

Een technisch verkennend gesprek kan op verzoek worden ingepland, zonder verbintenis.