Eerlijkheid over beperkingen bouwt vertrouwen. Webflow is extreem sterk op veel gebieden, maar het is belangrijk om te weten waar de grenzen liggen.
Geen EU-data-residentie
Alle data staat in de VS. Als je organisatie verplicht is data binnen de EU te houden, is Webflow (vooralsnog) geen optie. De juridische basis voor EU-transfers is het Data Privacy Framework + Standard Contractual Clauses maar de fysieke locatie blijft VS.
Geen HIPAA-compliance
Webflow is niet HIPAA-compliant en biedt geen Business Associate Agreements. Gebruik Webflow nooit voor websites die beschermde gezondheidsinformatie (PHI) verzamelen via native formulieren. Zorg- en medische organisaties kunnen Webflow wel gebruiken voor marketing-websites en integreren met HIPAA-compliant form providers voor PHI-verzameling.
Geen PCI DSS-certificering
Webflow zelf is niet PCI DSS-gecertificeerd. Voor Webflow Ecommerce wordt betalingsverwerking volledig afgehandeld door Stripe, dat wel PCI DSS Level 1-gecertificeerd is. Kaartgegevens raken Webflow's servers nooit aan.
Custom security headers alleen voor Enterprise
Content-Security-Policy, X-Frame-Options en andere custom security headers zijn alleen configureerbaar op Enterprise-plannen. Niet-Enterprise-klanten kunnen dit omzeilen door Cloudflare als reverse proxy te gebruiken.
Geen native cookie consent
Zoals eerder genoemd: je moet zelf een cookie consent manager installeren. Webflow heeft dit niet ingebouwd.
Deze beperkingen zijn helder, gedocumenteerd en beheersbaar. Ze maken Webflow niet onveilig, ze definiƫren gewoon de grenzen van wat het platform doet en niet doet.
volgende