Terug naar blog
Security

Je hebt een app laten bouwen. Maar van wie is die eigenlijk?

Norrie
21 april 2026
van-wie-is-je-applicatie.png

Over vendor lock-in, de Lovable & Vercel incidenten en waarom controle telt.

Je hebt een app laten bouwen. Maar van wie is die eigenlijk?

Afgelopen week gebeurde er iets wat ik al een tijdje zag aankomen.

Twee van de meest gebruikte platforms in de moderne softwarewereld werden binnen 48 uur met ernstige beveiligingsproblemen geconfronteerd. Niet bij een obscuur startupje zonder budget. Bij Lovable, een AI app-builder met een waardering van 6,6 miljard dollar, en bij Vercel het hostingplatform waarop een groot deel van het moderne web draait.

Ik schrijf dit niet om angst te zaaien. Ik schrijf dit omdat ik denk dat het tijd is om een eerlijk gesprek te voeren over iets wat veel ondernemers niet bewust meewegen als ze een digitale oplossing laten bouwen: wie heeft er eigenlijk de controle?

Wat er gebeurde

Bij Lovable ontdekte een beveiligingsonderzoeker dat broncode, databasewachtwoorden en klantdata van duizenden projecten gewoon in te zien waren voor iedereen met een gratis account. Het lek was 48 dagen eerder al gemeld. Er was geen actie ondernomen. Pas nadat het groot nieuws werd, greep Lovable in.

Bij Vercel verkregen hackers toegang tot interne systemen via een koppeling met een AI-tool van een derde partij. De gestolen data werd te koop aangeboden voor twee miljoen dollar. Crypto-projecten, webshops, SaaS-platforms allemaal klanten die hun applicaties op Vercel draaiden en nu hun toegangscodes moesten vervangen.

Twee platforms. Twee incidenten. Één week.

Dit is geen pech. Dit is een structureel probleem.

Ik hoor je denken: "Zulke dingen kunnen altijd gebeuren." En dat klopt. Geen enkel systeem is 100% veilig. Maar dat is precies mijn punt.

Als jij je applicatie bouwt op een platform dat je niet beheert, niet begrijpt en niet kunt verlaten — dan ligt jouw risico bij iemand anders op het bord. En die iemand anders hoeft jouw belangen niet voorop te stellen.

Kijk naar hoe Lovable in eerste instantie reageerde: ze ontkenden het lek, noemden het "intentional behaviour" en gaven vervolgens hun eigen documentatie en bugbounty-partner de schuld. Pas na publieke druk kwamen ze met excuses. Is dat het niveau van verantwoordelijkheid waarop jij jouw bedrijfsdata wil laten rusten?

Vibe coding: snel bouwen, maar ten koste van wat?

De afgelopen jaren is er een nieuwe categorie tools ontstaan waarbij je met een paar zinnen een complete applicatie kunt laten genereren. "Vibe coding" heet dat. Je beschrijft wat je wil, een AI bouwt het, en binnen een uur staat er iets online.

Ik snap de aantrekkingskracht. Het is snel, het is goedkoop en het voelt als magie.

Maar wat je er vaak niet bij krijgt: inzicht in wat er onder de motorkap gebeurt. Je ziet een werkende app, maar je weet niet hoe de data is opgeslagen, wie er toegang toe heeft, of hoe je ooit van het platform afkomt als dat nodig is. Je betaalt maandelijks voor een dienst die jouw idee host, jouw klantdata beheert en jouw code in zijn systeem opslaat. En als dat platform morgen besluit de prijzen te verdubbelen, overgenomen wordt of zoals we net zagen gehackt wordt? Dan sta je met lege handen.

Vendor lock-in is niet alleen een commercieel risico

Er wordt vaak over vendor lock-in gesproken in termen van kosten: "Stel dat het platform de prijs verhoogt, kunnen we dan nog weg?" Dat is een terechte vraag. Maar het Lovable- en Vercel-incident maakt duidelijk dat de stakes hoger liggen.

Vendor lock-in is ook een beveiligingsrisico. Als jouw data alleen bestaat binnen het ecosysteem van een ander bedrijf, heb jij geen onafhankelijke controle over hoe die data wordt beschermd.

En het is een continuïteitsrisico. Platforms verdwijnen. Ze worden overgenomen, ze veranderen van koers, ze gaan failliet. Als jouw applicatie niet op eigen benen kan staan, is jouw bedrijfsproces kwetsbaar.

Wat is dan het alternatief?

De applicaties die ik bij CodeBros bouw, zijn gebaseerd op open en overdraagbare technologie. Dat betekent:

  • De broncode is van jou. Altijd. Niet van een platform, niet van ons.
  • De applicatie draait op infrastructuur die je zelf beheert of die wij voor je beheren, maar transparant en uitlegbaar.
  • Als je morgen besluit met een andere partij verder te gaan, neem je alles mee.

Dat klinkt misschien vanzelfsprekend. Maar geloof me: voor veel ondernemers die vandaag een app laten bouwen via een AI-platform of een goedkoop no-code-bureau, is dit helemaal niet vanzelfsprekend.

De vraag die je jezelf zou moeten stellen

Niet: "Werkt mijn app?"

Maar: "Wat gebeurt er met mijn app, mijn klantdata en mijn businesslogica als het platform waarop ik vertrouw morgen een probleem heeft?"

Als je het antwoord niet weet — of als het antwoord je niet geruststelt — dan is dat het moment om eens goed na te denken over hoe je software is gebouwd.

Ik denk graag met je mee.

Terug naar alle artikelen