Daumen hoch!
Folgender Vorschlag jedoch : Company Name hinreichend lang machen damit er nicht erraten werden kann oder einen API key hinterlegbar machen.
Es sei denn die Termine können auch öffentlich sein ;-)

Https schützt auch URL Parameter, dadurch wäre der API key auch nicht durch man in the middle Attacken angreifbar.
Ja, unwahrscheinliches Szenario bei so hoch sensiblen Daten, aber wollte es nur erwähnt haben.

Viele Grüße