Zoek in de documentatie…

Compliance

Compliance Certificeringen

Compliance Certificeringen

GDPR

Compliant

DORA

Compliant

ISO 27001

Q1 2026

Belangrijkste beveligingsprincipes bij Onesurance

End-to end enryptie voor alle data in transit en at rest

Multi-factor authenticatie verplicht voor alle gebruikers

24/7 security monitoring met geautomatiseerde incident detectie

Data residency binnen de EU (Azure West-Europe)

ISO 27001 certificering in voorbereiding (target Q1 2026)

End-to end enryptie voor alle data in transit en at rest

Certificeringen en Standaarden

Onesurance houdt zich aan de hoogste security en compliance standaarden in de financiële sector. Hieronder vindt u een overzicht van onze huidige certificeringen en roadmap.

Certificering

Beschrijving

Status

TRUST CENTER - COMPLIANCE CERTIFICERINGEN

Onesurance Compliance & Certificeringen
Laatst bijgewerkt: December 2024

Onze Aanpak voor Compliance

Bij Onesurance geloven we dat compliance niet alleen gaat om het behalen van certificaten—het gaat om het inbouwen van robuuste beveiliging en privacypraktijken in de basis van onze operaties. Hoewel we werken aan formele externe certificeringen, hebben we al uitgebreide frameworks en controles geïmplementeerd die voldoen aan de vereisten van ISO 27001, AVG en DORA.

Onze compliance reis is transparant, meetbaar en controleerbaar. Deze pagina beschrijft onze huidige compliance status, de controles die we hebben ingevoerd, en ons certificeringsplan.

Certificering Roadmap

ISO 27001 Informatiebeveiliging
• Status: Implementatie voltooid, certificering gepland Q1 2026
• Scope: Volledige ISMS (Information Security Management System)
• Huidige status:

  • Alle 114 ISO 27001:2022 controles geïmplementeerd

  • Risicobeoordelingen uitgevoerd en gedocumenteerd

  • Beleidskader volledig operationeel

  • Interne audits regelmatig uitgevoerd

  • Management reviews kwartaallijks
    • Volgende stappen:

  • Q4 2025: Interne audit en gap analyse

  • Q1 2026: Externe certificeringsaudit

  • Certificeringsorgaan: [Te bevestigen]
    • Auditor: Wordt aangekondigd Q4 2025

SOC 2 Type II
• Status: Gepland voor 2026
• Scope: Beveiliging, beschikbaarheid, verwerkingsintegriteit
• Timeline: Certificering gepland voor H2 2026
• Voorbereiding: Controles worden afgestemd met ISO 27001 implementatie

Wettelijke Compliance (Operationeel)

AVG (Algemene Verordening Gegevensbescherming)
• Status: ✅ Volledig compliant sinds 2018
• Functionaris Gegevensbescherming: Benoemd en actief (dpo@onesurance.ai)
• Belangrijkste maatregelen:

  • Register van verwerkingsactiviteiten (ROPA) bijgehouden

  • Data Protection Impact Assessments (DPIA's) voor hoogrisico verwerking

  • Verwerkersovereenkomsten met alle subverwerkers

  • Privacy by Design principes in productontwikkeling

  • Procedures voor rechten van betrokkenen (toegang, rectificatie, verwijdering)

  • Meldprocedure datalekken binnen 72 uur

  • Bewustzijnstraining voor alle medewerkers
    • Laatste DPIA uitgevoerd: [Datum]
    • Volgende privacyaudit: [Datum]

DORA (Digital Operational Resilience Act)
• Status: ✅ Compliant met toepasselijke vereisten voor verzekeringssector
• Implementatie datum: Januari 2025
• Belangrijkste gebieden:

  1. ICT Risicobeheer: Uitgebreid framework voor identificatie en beheer van ICT-risico's

  2. Incident Management: Rapportageprocedures en response plannen

  3. Resilience Testing: Jaarlijks testprogramma voor bedrijfscontinuïteit

  4. Third-Party Risk: Due diligence en monitoring van ICT-dienstverleners

  5. Information Sharing: Deelname aan sectorbrede threat intelligence
    • ICT-incidentenregister bijgehouden
    • Resilience tests: Jaarlijks gepland
    • Volgende DORA review: Q2 2025

EU AI Act
• Status: ✅ Monitoring en voorbereiding voor implementatie (2026)
• Classificatie: Beperkt risico / minimaal risico systemen
• AI Systemen in gebruik:

  • Churn predictie (beperkt risico)

  • Customer Lifetime Value berekening (minimaal risico)

  • Next Best Product aanbevelingen (beperkt risico)

  • Defend Agent (conversational AI - beperkt risico)
    • Maatregelen:

  • Transparantie: Gebruikers zijn op de hoogte van AI-gebruik

  • Menselijk toezicht: Human-in-the-loop voor kritieke beslissingen

  • Documentatie: AI-systemen volledig gedocumenteerd

  • Bias monitoring: Regelmatige evaluatie van model outputs
    • Compliance deadline: December 2026
    • Status voorbereiding: Op schema

Operationele Compliance Controles

Information Security Management System (ISMS)
• ISO 27001:2022 framework volledig geïmplementeerd
• 114 controles operationeel en gedocumenteerd
• Risk assessment methodologie: Gebaseerd op ISO 27005
• Asset management: Volledig inventarisatie van informatieactiva
• Toegangscontrole: Role-Based Access Control (RBAC) op alle systemen
• Encryptie: AES-256 voor data at rest, TLS 1.3 voor data in transit
• Netwerkbeveiliging: Firewalls, segmentatie, intrusion detection
• Incident response: Dedicated team en 24/7 monitoring
• Business continuity: DR-plan met RTO/RPO targets
• Leveranciersbeheer: Due diligence en ongoing monitoring

Interne Audits & Assessments
• Frequentie: Kwartaalse interne audits
• Scope: Alle ISMS-controles en processen
• Laatste audit: [Datum]
• Bevindingen: [Aantal] bevindingen, waarvan [aantal] opgelost
• Volgende audit: [Datum]
• Audit logs: Volledig digitaal en doorzoekbaar

Risk Assessments
• Frequentie: Jaarlijks, en bij significante wijzigingen
• Methodologie: ISO 27005 gebaseerde risicoanalyse
• Laatste assessment: [Datum]
• Geïdentificeerde risico's: [Aantal]
• Geaccepteerde risico's: [Aantal] (met management goedkeuring)
• Risk treatment plans: Actief gevolgd en bijgewerkt
• Volgende assessment: [Datum]

Beveiligingsframeworks

Naast onze certificeringstrajecten volgen we industrie best practices:

NIST Cybersecurity Framework
• Implementatie: Alle 5 functies (Identify, Protect, Detect, Respond, Recover)
• Maturity level: Tier 3 (Repeatable, Adaptable)
• Gebruikt voor: Gap analyses en continuous improvement

CIS Controls
• Implementatie: 18 Critical Security Controls
• Focus gebieden:

  • Asset management en inventarisatie

  • Access control en accountbeheer

  • Continuous vulnerability management

  • Secure configuration

  • Logging en monitoring

  • Incident response capabilities

OWASP
• Application security: OWASP Top 10 mitigaties geïmplementeerd
• Secure coding: Trainingen en code reviews
• Dependency management: Automated scanning voor kwetsbare libraries

Penetration Testing & Vulnerability Management

Penetration Testing
• Frequentie: Jaarlijks door externe partij
• Scope: Volledige applicatie en infrastructuur
• Laatste test: [Datum]
• Kritieke bevindingen: Allemaal opgelost voor productie release
• Volgende test: [Datum gepland]
• Test rapport: Beschikbaar voor enterprise klanten onder NDA

Vulnerability Scanning
• Frequentie: Wekelijkse geautomatiseerde scans
• Tools: [Vulnerability scanner namen]
• Remediation SLA:

  • Kritiek: <48 uur

  • Hoog: <72 uur

  • Gemiddeld: <1 maand

  • Laag: <3 maanden
    • Patch management: Geautomatiseerd proces voor systeem updates

Security Code Reviews
• Static Application Security Testing (SAST): Geautomatiseerd in CI/CD
• Dynamic Application Security Testing (DAST): Maandelijks
• Software Composition Analysis (SCA): Continue monitoring dependencies
• Code review proces: Peer reviews voor alle code changes

Training & Awareness

Beveiligingsbewustzijn
• Onboarding training: Verplicht voor alle nieuwe medewerkers
• Jaarlijkse herhalingstraining: Compliance en security best practices
• Phishing simulaties: Kwartaalse tests
• Security champions: Aangewezen in elk team
• Privacy training: Specifiek voor medewerkers die persoonsgegevens verwerken

Certifications Voor Medewerkers
• Aangemoedigd: ISO 27001 Lead Implementer, CISSP, CISM
• Training budget: Beschikbaar voor security-gerelateerde certificeringen

Evidence & Transparantie

Wat We Kunnen Delen
We geloven in transparantie en zijn bereid om de volgende documentatie te delen met prospects en klanten:
• Statement of Applicability (SoA) - ISO 27001 controles
• Risk assessment samenvatting (niet-gevoelige delen)
• Beleidsdocumenten (security, privacy, incident response)
• Penetration test samenvattingen (executive summary)
• Verwerkersovereenkomsten (DPA's)
• Subprocessor lijst met locaties
• Compliance roadmap en timelines

Customer Due Diligence
We ondersteunen:
• Security questionnaires: Gestandaardiseerd proces, respons binnen 5 werkdagen
• Vendor risk assessments: Volledige documentatie beschikbaar
• On-site audits: Beschikbaar voor enterprise klanten
• Third-party assessments: Right-to-audit clausules in contracten
• Regelmatige updates: Proactieve communicatie bij compliance status wijzigingen

Waarom Dit Belangrijk Is

Operationele Compliance vs. Certificaten

Formele certificeringen zijn waardevol, maar ze zijn momentopnames in de tijd. Onze focus ligt op continue, operationele compliance:

Real-time monitoring: 24/7 beveiligingsmonitoring en alerting
Continuous improvement: Wekelijkse reviews en updates van controles
Proactive risk management: Niet reactief, maar vooruitkijkend
Embedded in culture: Security is verantwoordelijkheid van iedereen
Auditeerbaar: Alle controles gedocumenteerd en traceerbaar

Een certificaat bevestigt dat je op een specifiek moment voldeed aan de standaard. Operationele compliance betekent dat je elke dag voldoet aan (en vaak overtreft) die standaard.

Voor Insurance Sector Klanten

Als verzekeringssector klant is compliance niet optioneel—het is essentieel. Onze aanpak biedt u:

Regulatory alignment: DORA, AVG, en sectorspecifieke vereisten
Audit support: We helpen u aan uw eigen compliance verplichtingen te voldoen
Risk reduction: Onze controles verminderen uw third-party risico
Transparantie: Volledige zichtbaarheid in onze security posture
Partnership: We groeien samen met uw compliance behoeften

Contact

Voor certificeringen en compliance vragen:
• Compliance Team: dpo@onesurance.ai
• Voor audit aanvragen: dpo@onesurance.ai
• Voor DPA's en contracten: dpo@onesurance.ai

Laatst bijgewerkt: December 2024
Onesurance B.V. | Breda, Nederland | KvK: 87521997