Uw API-sleutels beveiligen: best practices
API-sleutels zijn de toegangspoort tot uw gegevens. Leer hoe u ze effectief kunt beschermen tegen lekken en ongeoorloofd gebruik.
In het kort
Uw KBO/BCE-API-sleutels (paar publieke sleutel + geheime sleutel) geven toegang tot de officiele gegevens van de Kruispuntbank van Ondernemingen namens u. Een lek stelt uw quotum, uw gegevens en uw identiteit bloot. Drie niet-onderhandelbare regels: sla sleutels op in omgevingsvariabelen, stel ze nooit bloot aan de clientzijde, en roteer ze elke 90 dagen.
Waarom uw API-sleutels beveiligen?
Uw API-sleutels geven toegang tot de KBO/BCE-gegevens namens u. Als ze gecompromitteerd worden, kan een derde partij:
- Uw aanvraagquotum verbruiken
- Toegang krijgen tot uw bedrijfsgegevens
- Uw identiteit nabootsen in de logs
De fundamentele regels
1. Nooit blootstellen aan de clientzijde
De geheime sleutel (sk_live_...) mag nooit verschijnen in:
- JavaScript-code aan de browserzijde
- Decompileerbare mobiele applicaties
- Openbare Git-repositories
2. Omgevingsvariabelen gebruiken
1 2 3
# .env.local (nooit committen)
API_PUBLIC_KEY=pk_live_uw_sleutel
API_SECRET_KEY=sk_live_uw_geheim
3. Regelmatige rotatie van sleutels
- Wijzig uw sleutels elke 90 dagen
- Maak de nieuwe sleutel aan voordat u de oude verwijdert
4. Machtigingen beperken
- Gebruik verschillende sleutels voor elke omgeving (dev, staging, prod)
- Activeer verloopmeldingen in uw dashboard
Bij een lek
Als uw geheime sleutel is gecompromitteerd:
Aanvullende bronnen
API-sleutelbeveiliging maakt deel uit van een bredere integratiestrategie. Raadpleeg de Python FastAPI-tutorial om te zien hoe u sleutels laadt vanuit omgevingsvariabelen in een Python-project, en de Node.js/TypeScript-integratiegids voor JavaScript-projecten. Om uw quotum efficient te beheren zonder uw sleutels te overbelasten, lees ook de rate limits en caching-architectuur. De volledige endpointsreferentie beschrijft de beschikbare scopes en rechten per sleutel.
Conclusie
De beveiliging van uw API-sleutels is uw verantwoordelijkheid. Door deze best practices te volgen, beschermt u uw gegevens en die van uw gebruikers.
Veelgestelde vragen
Waarom mag een geheime API-sleutel nooit worden blootgesteld aan de clientzijde in Belgie?
De geheime sleutel (sk_live_...) van een KBO/BCE-API authenticeert namens u bij de servers van Company Belgium. Als ze is opgenomen in client-side JavaScript of in een decompileerbare mobiele app, kan iedereen ze extraheren en gebruiken om uw quotum te verbruiken, uw gegevens te benaderen of uw identiteit na te bootsen in de logs. Ze moet altijd server-side blijven, geladen vanuit een omgevingsvariabele.
Wat is de juiste manier om API-sleutels op te slaan in een Node.js- of Python-project?
Sla uw sleutels in beide gevallen op in een .env-bestand dat u aan .gitignore toevoegt. In Node.js gebruikt u het dotenv-pakket en benadert u sleutels via process.env.API_PUBLIC_KEY. In Python gebruikt u python-dotenv en os.getenv(). Hardcode nooit sleutels in de broncode. Gebruik voor productieomgevingen een secrets manager zoals AWS Secrets Manager, HashiCorp Vault of Kubernetes secrets.
Wat te doen als een KBO/BCE-API-sleutel is blootgesteld in een openbare Git-repository?
Handel onmiddellijk in vier stappen: deactiveer de gecompromitteerde sleutel in uw Company Belgium-dashboard, maak een nieuw sleutelpaar aan, werk alle applicaties bij die de oude sleutel gebruikten, en controleer de gebruikslogs op ongeautoriseerde toegang. Het volstaat niet om de commit te verwijderen: beschouw de sleutel als definitief gecompromitteerd vanaf het moment van blootstelling en trek ze in.
Hoe vaak moet u de API-sleutels van een KBO/BCE-integratie vernieuwen?
De aanbevolen best practice is rotatie elke 90 dagen. Maak altijd de nieuwe sleutel aan voordat u de oude verwijdert om onderbreking van de dienst te vermijden. Gebruik verschillende sleutels voor elke omgeving (ontwikkeling, staging, productie) en voor batchjobs, zodat u een specifieke toegang kunt intrekken zonder de andere te beinvloeden. Activeer ook vervalmeldingen in het Company Belgium-dashboard.
Reacties
Gerelateerde artikelen

Belgian Crossroads Bank for Enterprises (KBO) API: volledige Engelstalige developer-documentatie
Engelstalige developer-documentatie voor de API van de Belgische Kruispuntbank van Ondernemingen. Overzicht van het KBO/BCE-register, wettelijke context, toegangsopties, snelle start met cURL-voorbeelden en integratiepatronen voor internationale developers.

Rate limits, quota en caching om een KBO/BCE-applicatie te schalen: referentie-architectuur
Uw app bevraagt de KBO/BCE-API in volume — hoe 429's vermijden, kosten beheersen en latency garanderen? Referentie-architectuur met meerlaags cache, requestwachtrij, observability en webhooks. Concrete patronen en streefcijfers.

BCE/KBO API endpoints reference: volledige lijst van REST-routes (companies, addresses, NACE, UBO, vestigingen, Peppol)
Technische referentie van de REST-endpoints van de Company Belgium-API: zoeken, bedrijfsfiche, adressen, NACE-activiteiten, vestigingen, bestuurders, UBO, Peppol-verificatie. Met responsschema's, parameters en foutcodes.
