Compliance Frameworks

Overzicht van alle compliance frameworks die Onesurance monitort en naleeft. Van AVG en DORA tot ISO 27001 en EU AI Act — wij zorgen dat onze diensten voldoen aan de strengste eisen.

Compliance overzicht

  • 6 frameworks — Actief gemonitord en geauditeerd
  • AVG + DORA compliant — Volledige naleving sinds oprichting
  • ISO 27001 in uitvoering — ISMS operationeel, certificering Q2 2026

Compliance Dashboard

Compliant

AVG / GDPR

Volledige compliance sinds oprichting. Alle 7 beginselen nageleefd.

Q2 2026

ISO 27001

ISMS operationeel. Certificeringsaudit gepland Q2 2026.

Compliant

DORA

Alle 5 pijlers geimplementeerd. Verzekeringssector vereisten voldaan.

Monitoring

EU AI Act

Beperkt Risico classificatie. Actieve monitoring van vereisten.

Monitoring

NIST CSF

Kern controles geimplementeerd. Continue verbetering.

Monitoring

CIS Controls

Top 10 kritieke controles actief. Periodieke evaluatie.

Compliant

Algemene Verordening Gegevensbescherming

Onesurance voldoet volledig aan de AVG sinds oprichting. Alle 7 beginselen van gegevensverwerking worden nageleefd, ondersteund door technische en organisatorische maatregelen.

AVG Beginselen

  • Rechtmatigheid, behoorlijkheid en transparantie — Verwerking op basis van geldige grondslagen met duidelijke communicatie naar betrokkenen.
  • Rechten van betrokkenen — Volledig geimplementeerde procedures voor inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar.
  • Toestemmingsbeheer — Granulaire toestemming met mogelijkheid tot intrekking. Volledige audit trail.
  • Privacy by Design & Default — Gegevensbescherming ingebouwd in alle systemen en processen vanaf het ontwerp.
  • Beveiliging van verwerking — Passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens.
  • Meldplicht datalekken — Procedure voor melding aan AP binnen 48 uur en notificatie van betrokkenen indien vereist.
  • Register van verwerkingsactiviteiten — Volledig bijgehouden register conform artikel 30 AVG.
  • Functionaris Gegevensbescherming — Aangestelde FG die toeziet op naleving en adviseert over gegevensbescherming.

Evidence & Documentatie

Privacyverklaring Verwerkersovereenkomsten (VVO) Register van verwerkingsactiviteiten Data Protection Impact Assessment (DPIA)
Q2 2026

ISO 27001 — Information Security Management System

Ons ISMS is volledig operationeel en ingericht conform ISO 27001:2022. De certificeringsaudit is gepland voor Q2 2026. Alle Annex A controles zijn geimplementeerd en worden periodiek geauditeerd.

Annex A Controles

  • Organisatorische controles — Informatiebeveiligingsbeleid, risicobeheer, compliance management, asset management en leveranciersrelaties.
  • Personele controles — Screening, beveiligingsbewustzijn, training, disciplinaire processen en verantwoordelijkheden na dienstverband.
  • Fysieke controles — Fysieke beveiliging via Azure datacenters (SOC 2 gecertificeerd), clean desk policy en apparaatbeheer.
  • Technologische controles — Encryptie, netwerksegmentatie, toegangscontrole, vulnerability management, logging en monitoring.

Interne Audits

Wij voeren halfjaarlijks of bij significante wijzigingen interne audits uit op alle ISMS-processen. Bevindingen worden gevolgd tot afsluiting en gerapporteerd aan het managementteam.

Compliant

Digital Operational Resilience Act

Als dienstverlener voor de verzekeringssector voldoet Onesurance volledig aan de DORA-vereisten. Alle vijf pijlers zijn geimplementeerd en worden continu bewaakt.

De 5 Pijlers van DORA

  • ICT Risicobeheer — Systematische identificatie, beoordeling en mitigatie van ICT-risico's met een gedocumenteerd risicoraamwerk.
  • Incidentbeheer — Gestandaardiseerd proces voor detectie, classificatie, escalatie en rapportage van ICT-gerelateerde incidenten.
  • Digitale Weerbaarheid Testing — Regelmatige penetratietests, vulnerability assessments en scenario-gebaseerde tests om operationele veerkracht te valideren.
  • Third-Party Risicobeheer — Due diligence, contractuele waarborgen en continue monitoring van alle ICT-dienstverleners.
  • Informatie-uitwisseling — Deelname aan relevante informatie-uitwisselingsnetwerken voor cyberdreigingen en -kwetsbaarheden.
Monitoring

EU AI Act

Onesurance classificeert haar AI-toepassingen als Beperkt Risico (Limited Risk) onder de EU AI Act. We monitoren actief de regelgevende ontwikkelingen en hebben proactieve maatregelen genomen.

Maatregelen

  • Risicobeoordeling — Classificatie van alle AI-systemen op risicniveau conform de EU AI Act taxonomie.
  • Transparantie — Gebruikers worden duidelijk geinformeerd wanneer zij met AI-systemen interacteren.
  • Menselijk toezicht — Alle AI-beslissingen zijn onderworpen aan menselijke controle en overschrijving.
  • Data governance — Kwaliteitscontroles op trainingsdata, bias-monitoring en dataminimalisatie.
  • Technische documentatie — Volledige documentatie van AI-modellen, trainingsprocessen, prestatiemetrieken en beperkingen.
Monitoring

NIST Cybersecurity Framework

Onesurance hanteert het NIST Cybersecurity Framework als leidraad voor onze beveiligingsaanpak. De vijf kernfuncties zijn geintegreerd in onze operationele processen.

Identificeren

Asset management, risicobeoordeling, governance en bedrijfsomgeving in kaart gebracht om cybersecurity risico's te begrijpen.

Beschermen

Toegangscontrole, beveiligingsbewustzijn, gegevensbescherming en onderhoud om kritieke diensten te waarborgen.

Detecteren

Continue monitoring, anomaliedetectie en beveiligingsgebeurtenissen om dreigingen tijdig te identificeren.

Reageren

Responsplanning, communicatie, analyse, mitigatie en verbeteringen bij beveiligingsincidenten.

Herstellen

Herstelplanning, verbeteringen en communicatie om tijdig te herstellen na beveiligingsincidenten.

Monitoring

CIS Controls

Onesurance implementeert de CIS Critical Security Controls als aanvullend raamwerk voor praktische beveiligingsmaatregelen. De top 10 controles zijn actief.

Top 10 Controles

  • 1. Inventaris van bedrijfsmiddelen — Actief beheer van alle hardware en software assets in het netwerk.
  • 2. Inventaris van software — Alleen geautoriseerde software draait op bedrijfssystemen.
  • 3. Gegevensbescherming — Classificatie, encryptie en bescherming van gevoelige gegevens.
  • 4. Veilige configuratie — Gestandaardiseerde hardening van servers, endpoints en netwerkapparaten.
  • 5. Accountbeheer — Lifecycle management van accounts met least privilege en regelmatige reviews.
  • 6. Toegangscontrole — Rolgebaseerde toegang met MFA en continue authenticatiemonitoring.
  • 7. Kwetsbaarhedenbeheer — Continue vulnerability scanning en tijdige patching van systemen.
  • 8. Audit log beheer — Centrale verzameling, bescherming en analyse van audit logs.
  • 9. E-mail en webbrowser bescherming — Filtering van kwaadaardige content en beperking van ongeautoriseerde plugins.
  • 10. Malware verdediging — Endpoint protection, anti-malware en gedragsanalyse op alle systemen.

Vragen over Compliance?

Onze Functionaris Gegevensbescherming helpt u graag met vragen over compliance, certificeringen of regelgeving.

Algemene Support: support@onesurance.ai
E-mail DPO: dpo@onesurance.ai (DPO — Menno Kooistra)
Telefoon: +31 6 13 27 01 44 (Onesurance Support)
Neem Contact Op met Onze DPO →