COMPLIANCE & SECURITY
Compliance by design
AVG, EU AI Act en BIO-principes als uitgangspunt — niet als afvinklijst achteraf. Transparant uitgelegd zodat u weet waar u aan toe bent.
UITGANGSPUNT
Waarom we dit expliciet maken
Onze klanten zijn MKB-bedrijven en publieke organisaties. Beide categorieën dragen verantwoordelijkheid voor hoe AI wordt ingezet: welke data er verwerkt wordt, waar die staat, en hoe beslissingen tot stand komen. Wie dat niet op orde heeft, loopt zowel juridisch als operationeel risico.
We bouwen AI-oplossingen met AVG, EU AI Act en — voor overheid — BIO-principes als vertrekpunt. Hieronder staat concreet wat dat betekent, zodat uw privacy officer of juridisch adviseur het direct kan toetsen.
FRAMEWORKS
Vier pijlers, concreet uitgelegd
Geen vage compliance-taal — concrete maatregelen en waar ze van toepassing zijn.
Dataverwerking binnen de EU
Wij verwerken persoonsgegevens volgens de Algemene Verordening Gegevensbescherming. Alle leads, contactgegevens en projectdocumentatie staan in de EU (Frankfurt). Voor iedere klant sluiten we een verwerkersovereenkomst.
- Data-opslag in EU (Hetzner Duitsland en Supabase Frankfurt)
- Sub-verwerkers buiten de EU alleen met Standard Contractual Clauses
- Datalek-meldplicht binnen 72 uur conform AVG Art. 33
- Automatische verwijdering 30 dagen na einde overeenkomst
Risicoclassificatie van uw agent
Elke AI-agent valt onder een risicocategorie van de EU AI Act. Bij de intake bepalen we samen in welke categorie uw agent valt en welke verplichtingen daaraan verbonden zijn.
- Classificatie high-risk / limited-risk / minimal-risk in intake
- Transparantieverplichting: eindgebruikers weten dat ze met AI praten
- Menselijk toezicht waar de wet dat vereist
- Logging en auditability van AI-beslissingen
Baseline Informatiebeveiliging Overheid
Voor overheidsorganisaties hanteren we BIO als basisnorm. Waar mogelijk draait de agent op de eigen infrastructuur van de klant, zodat data nooit de controle van de organisatie verlaat.
- Agent op eigen infrastructuur of EU-gehoste ruimte van de klant
- Toegangscontroles, logging en audit trails op maat
- Gescheiden productie-, test- en ontwikkelomgevingen — standaard in onze implementatie, in overleg met uw IT
- Werkwijze afgestemd op informatiebeveiligingsbeleid van de organisatie
Beveiliging als uitgangspunt
We bouwen met security als startpunt, niet als toevoeging achteraf. Versleuteling, toegangscontrole en least-privilege zijn standaard.
- TLS-encryptie standaard, SSH-sleutelauthenticatie op infrastructuur
- Least-privilege access: medewerkers hebben alleen toegang wanneer nodig
- System-prompt guardrails en toolbeperkingen — samen met u bepalen we wat de agent wel en niet mag
- Logging en audit trails voor iedere productieomgeving
AI ACT CLASSIFICATIE
Hoe we uw agent classificeren
De EU AI Act kent drie hoofdcategorieën. De verplichtingen verschillen per categorie — en daarmee ook onze aanpak.
Minimal-risk
Meeste zakelijke agents vallen hier: interne kennisbank, planning, offertebouwer, klantenservice. Transparantie-eisen (bv. melden dat het AI is) en algemene AVG-verplichtingen gelden.
Limited-risk
Agents die inhoud genereren of emoties herkennen. Extra transparantie richting eindgebruiker is verplicht. We documenteren welke gegevens de agent gebruikt en waarvoor.
High-risk
Agents in gereguleerde domeinen (kredietbeoordeling, onderwijs-evaluatie, kritieke infrastructuur). Uitgebreide conformiteits-assessment, registratie en menselijk toezicht vereist. We bouwen dit alleen in nauwe samenwerking met uw compliance officer.
Weet u niet zeker in welke categorie uw beoogde agent valt? Dat is normaal. In de intake bepalen we dat samen, voordat er regels code geschreven worden.
HOSTING & SUB-VERWERKERS
Waar uw data staat
Volledige transparantie over welke derde partijen betrokken zijn en waar ze gevestigd zijn.
| Dienst | Locatie | Doel |
|---|---|---|
| Supabase | Frankfurt (EU) | Database voor leads, contactverzoeken en vragenlijsten |
| Vercel | VS (SCC) | Website-hosting en anonieme, cookieloze analytics |
| Resend | VS (SCC) | Transactionele e-mail (bv. contactformulier-bevestiging) |
| Calendly | VS (SCC) | Afspraakplanning — click-to-load, laadt pas na klik van gebruiker |
| Hetzner Online | Falkenstein, Duitsland (EU) | Server-hosting voor bedrijfsadministratie en interne CRM |
Sub-verwerkers buiten de EU werken onder Standard Contractual Clauses. Voor de AI-agent zelf kiezen we samen de hosting: EU-cloud of uw eigen infrastructuur. Klant-data van eindgebruikers (chatberichten, telefoongesprekken) passeren onze systemen niet structureel — die blijven op uw infrastructuur.
OPERATIONELE DOCUMENTEN
Draaiboeken en checklists op aanvraag
Naast onze verwerkersovereenkomst hanteren we concrete operationele documenten die onze claims uitvoerbaar maken. Uw compliance officer, juridisch adviseur of IT-verantwoordelijke kan deze op aanvraag bekijken.
- Incident Response Plan — concreet protocol voor de 72-uurs AVG-meldplicht (Art. 33), cyberverzekering-notificatie en klant-communicatie
- AI Act-intake checklist — per agent bepalen we samen de risicoclassificatie en welke verplichtingen gelden
- Agent Delivery SOP — verplichte stappen bij oplevering: AI-disclosure in system prompt, toegangscontroles, logging en audit trail
VERWERKERSOVEREENKOMST
DPA beschikbaar voor review
Onze verwerkersovereenkomst (conform AVG Art. 28) is beschikbaar voor juridische review. U kunt deze online bekijken, printen of opslaan als PDF. Bij opdracht sluiten we de overeenkomst automatisch mee.
SECURITY
Responsible disclosure
Een kwetsbaarheid ontdekt in onze systemen of in software die wij bij klanten hebben geïmplementeerd? Meld het responsible en geef ons tijd om te reageren voordat het openbaar wordt.
We reageren binnen 2 werkdagen, werken samen aan een oplossing, en noemen u graag in de credits.
Vragen over compliance?
Uw privacy officer of juridisch adviseur mag met ons bellen. We beantwoorden elke vraag over dataverwerking, sub-verwerkers, AI Act-classificatie of BIO-aansluiting.