Zoek in de documentatie…

Beveiliging

Privacy & Gegevensverwerking

Privacy & Gegevensverwerking

GDPR

Compliant

DORA

Compliant

ISO 27001

Q1 2026

Belangrijkste beveligingsprincipes bij Onesurance

End-to end enryptie voor alle data in transit en at rest

Multi-factor authenticatie verplicht voor alle gebruikers

24/7 security monitoring met geautomatiseerde incident detectie

Data residency binnen de EU (Azure West-Europe)

ISO 27001 certificering in voorbereiding (target Q1 2026)

End-to end enryptie voor alle data in transit en at rest

Certificeringen en Standaarden

Onesurance houdt zich aan de hoogste security en compliance standaarden in de financiële sector. Hieronder vindt u een overzicht van onze huidige certificeringen en roadmap.

Certificering

Beschrijving

Status

TRUST CENTER - PRIVACY & GEGEVENSVERWERKING

Onesurance Privacy & Gegevensverwerkingspraktijken
Laatst bijgewerkt: December 2024

Onze Toewijding aan Privacy

Bij Onesurance behandelen we privacy niet als een afvinklijstje, maar als een fundamenteel recht. We zijn ons bewust dat we gevoelige persoons- en verzekeringsgegevens verwerken, en we nemen deze verantwoordelijkheid zeer serieus. Onze privacy

praktijken gaan verder dan wettelijke minimumvereisten en zijn gebouwd op transparantie, verantwoording en respect voor individuele rechten.

AVG Compliance

Wettelijke Basis

Onesurance B.V. is geregistreerd in Nederland (KvK: 87521997) en valt onder de Algemene Verordening Gegevensbescherming (AVG / GDPR). We verwerken persoonsgegevens alleen wanneer we daarvoor een geldige rechtsbasis hebben:

• Contractuele noodzaak: Verwerking noodzakelijk voor uitvoering van het contract met onze klanten
• Gerechtvaardigd belang: Voor verbeteringen van onze dienstverlening, security en fraud prevention
• Wettelijke verplichting: Wanneer vereist door wet- en regelgeving
• Toestemming: In specifieke gevallen waar andere rechtsgronden niet van toepassing zijn

Functionaris Gegevensbescherming (FG)

• Aangewezen: Ja, dedicated Data Protection Officer
• Contact: dpo@onesurance.ai
• Verantwoordelijkheden:

  • Monitoring van AVG compliance

  • Advies over Data Protection Impact Assessments

  • Training en awareness voor medewerkers

  • Contactpunt voor toezichthouder (Autoriteit Persoonsgegevens)

  • Behandeling van verzoeken van betrokkenen
    • Onafhankelijkheid: Rapporteert direct aan directie, geen belangenconflict
    • Expertise: Gecertificeerd in privacy en dataprotectie

AVG Principes

We houden ons strikt aan de 7 AVG-principes:

  1. Rechtmatigheid, behoorlijkheid en transparantie

    • Duidelijke communicatie over datagebruik

    • Privacy notices in begrijpelijke taal

    • Geen verborgen dataverwerking

  2. Doelbinding

    • Data alleen gebruikt voor specifieke, legitieme doelen

    • Geen hergebruik voor incompatibele doeleinden

    • Duidelijke documentatie van verwerkingsdoelen

  3. Minimale gegevensverwerking

    • Alleen noodzakelijke gegevens verzameld

    • Regelmatige review van dataverzameling

    • Verwijdering van overbodige datapunten

  4. Juistheid

    • Mechanismes voor correctie van onjuiste gegevens

    • Regelmatige validatie van gegevenskwaliteit

    • Direct updaten bij bekende onjuistheden

  5. Opslagbeperking

    • Gedefinieerde retentieperiodes per datacategorie

    • Geautomatiseerde verwijdering na retentieperiode

    • Uitzondering alleen bij wettelijke vereisten

  6. Integriteit en vertrouwelijkheid

    • Technische en organisatorische maatregelen (zie Template 03)

    • Encryptie, toegangscontroles, security monitoring

    • Incident response procedures

  7. Verantwoordingsplicht

    • Uitgebreide documentatie van compliance

    • Regular audits en assessments

    • Demonstreerbare naleving van AVG

Rechten van Betrokkenen

We respecteren en faciliteren alle rechten onder de AVG:

Recht op Informatie
• Privacy notice: Beschikbaar op website en bij onboarding
• Inhoud: Welke data, waarom, hoe lang, met wie gedeeld, rechten
• Updates: Proactive communication bij wijzigingen
• Taal: Nederlands en Engels beschikbaar

Recht op Inzage (Art. 15 AVG)
• Procedure: Aanvraag via dpo@onesurance.ai
• Identificatie: Verificatie van identiteit vereist (kopie ID)
• Response tijd: Binnen 1 maand (uitstel mogelijk tot 3 maanden)
• Inhoud van inzage:

  • Kopie van persoonsgegevens

  • Verwerkingsdoelen

  • Categorieën van gegevens

  • Ontvangers van data

  • Bewaartermijn

  • Bron van gegevens (indien niet van betrokkene)
    • Formaat: PDF of gestructureerde data (CSV/JSON)
    • Kosten: Eerste aanvraag gratis, redelijke kosten bij herhaalde aanvragen

Recht op Rectificatie (Art. 16 AVG)
• Procedure: Via dpo@onesurance.ai of via klantportaal
• Response tijd: Onmiddellijke correctie, bevestiging binnen 1 maand
• Doorgifte: Correcties worden doorgegeven aan ontvangers
• Validatie: Verificatie van correctheid bij wijzigingen

Recht op Verwijdering / 'Recht om Vergeten te Worden' (Art. 17 AVG)
• Gronden voor verwijdering:

  • Gegevens niet langer noodzakelijk

  • Intrekking toestemming

  • Bezwaar tegen verwerking

  • Onrechtmatige verwerking

  • Wettelijke verplichting tot verwijdering
    • Uitzonderingen:

  • Wettelijke bewaartermijnen (bijv. fiscaal)

  • Vaststelling/uitoefening rechtsvorderingen

  • Archiveringsverplichtingen
    • Response tijd: Binnen 1 maand
    • Bevestiging: Schriftelijke bevestiging van verwijdering
    • Backup retention: Gegevens in backups worden overschreven bij volgende backup cycle

Recht op Beperking van Verwerking (Art. 18 AVG)
• Gronden:

  • Betwisting juistheid (pending verificatie)

  • Onrechtmatige verwerking maar geen verwijdering gewenst

  • Data niet meer nodig voor ons maar wel voor betrokkene's rechtsvorderingen

  • Bezwaar tegen verwerking (pending balancing test)
    • Implementatie: Technische blokkering, markering in systeem
    • Opheffing: Only met toestemming of om rechtsvordering te stellen

Recht op Dataportabiliteit (Art. 20 AVG)
• Scope: Data verstrekt door betrokkene, verwerkt via geautomatiseerde middelen
• Formaat: Gestructureerd, gangbaar, machineleesbaar (JSON, CSV, XML)
• Directe overdracht: Waar technisch mogelijk, direct naar andere verwerkingsverantwoordelijke
• Response tijd: Binnen 1 maand

Recht van Bezwaar (Art. 21 AVG)
• Grond: Bijzondere persoonlijke situatie
• Verwerkingen: Gerechtvaardigd belang of taak van algemeen belang
• Assessment: Balancing test tussen belangen organisatie en betrokkene
• Direct marketing: Onvoorwaardelijk recht van bezwaar
• Response tijd: Binnen 1 maand

Geautomatiseerde Besluitvorming & Profiling (Art. 22 AVG)
• Beleid: Geen volledig geautomatiseerde beslissingen met rechtsgevolg
• AI modellen: Altijd human-in-the-loop voor kritieke beslissingen
• Profiling: Transparant over gebruik van predictive models
• Opt-out: Mogelijk voor niet-essentiële profiling
• Uitleg: Recht op uitleg over logica automated processing

Gegevensverwerking Details

Categorieën van Persoonsgegevens

We verwerken de volgende categorieën (afhankelijk van dienst en relatie):

Contactinformatie

  • Naam, adres, telefoon, e-mail

  • Bedrijfsnaam, functie (B2B context)

Identificatiegegevens

  • KvK nummer (voor bedrijven)

  • Unieke klant IDs (intern)

Gebruiksgegevens

  • Login tijden, IP-adressen

  • Features gebruikt, klik gedrag

  • API calls, systeemgebruik

Verzekeringsgerelateerde Gegevens (van eindklanten van onze klanten)

  • Polisnummers, claimbedragen

  • Risicoprofielen, premieberekeningen

  • Churn risk scores, lifetime value

Technische Gegevens

  • Browser type, device informatie

  • Cookies, session IDs

  • Log files, error reports

Bijzondere Categorieën (minimaal, alleen indien noodzakelijk)

  • Health data: Alleen indien relevant voor verzekeringsproduct (bijv. zorgverzekering)

  • Strafrechtelijke gegevens: Niet verwerkt tenzij wettelijk vereist

Verwerkingsdoelen

• Dienstverlening: Uitvoering van SaaS platform voor verzekeraars
• Customer support: Troubleshooting, helpdesk, onboarding
• Product development: Verbetering features, bug fixes, innovatie
• Security: Fraud detection, access control, incident response
• Compliance: Voldoen aan wettelijke verplichtingen
• Analytics: Aggregated, anonymized usage statistics
• Marketing: Met toestemming, opt-out mogelijk

Register van Verwerkingsactiviteiten (ROPA)

We onderhouden een uitgebreid ROPA conform Art. 30 AVG:

• Scope: Alle verwerkingsactiviteiten gedocumenteerd
• Details per verwerking:

  • Naam en contactgegevens verwerkingsverantwoordelijke

  • Doeleinden van verwerking

  • Categorieën van betrokkenen

  • Categorieën van persoonsgegevens

  • Categorieën van ontvangers

  • Doorgifte naar derde landen (niet van toepassing)

  • Bewaartermijnen

  • Technische en organisatorische maatregelen
    • Update frequentie: Bij nieuwe verwerkingen en minimaal jaarlijks review
    • Beschikbaarheid: Beschikbaar voor toezichthouder op verzoek

Bewaartermijnen

Datacategorie

Bewaartermijn

Grondslag

Klantgegevens

Duur contract + 30 dagen

Contractuele noodzaak

Communicatie

Duur contract + 1 jaar

Gerechtvaardigd belang

Facturen

7 jaar

Wettelijke verplichting (fiscaal)

Support tickets

2 jaar

Gerechtvaardigd belang

Security logs

1 jaar (7 jaar voor incidents)

Gerechtvaardigd belang

Marketing data

Tot intrekking toestemming

Toestemming

Analytics (aggregated)

Onbeperkt

Geen persoonsgegevens (geanonimiseerd)

Automatische verwijdering: Geautomatiseerd proces controleert dagelijks op verlopen data

Data Protection Impact Assessments (DPIA)

Wanneer Vereist
• Nieuwe technologie met hoog privacyrisico
• Grootschalige verwerking bijzondere categorieën
• Systematische monitoring
• Geautomatiseerde besluitvorming met rechtsgevolg
• Verwerking op grote schaal

Onze DPIA's
• Uitgevoerd voor: AI modellen (Churn, CLV, NBP), Defend Agent
• Laatste DPIA: [Datum]
• Uitkomst: Acceptabel risico met mitigerende maatregelen
• Maatregelen: Anonymization, aggregation, human oversight
• Review: Bij significante wijzigingen of jaarlijks

DPIA Proces

  1. Beschrijving verwerking en doelen

  2. Noodzaak en proportionaliteit assessment

  3. Risico-identificatie voor rechten betrokkenen

  4. Maatregelen om risico's aan te pakken

  5. Consultatie FG

  6. Documentatie en goedkeuring

  7. (Indien nodig) Voorafgaande raadpleging toezichthouder

Internationale Gegevensdoorgifte

Gegevenslocatie
• Primair: Azure West-Europe (Nederland)
• Backup: Azure West-Europe (geografisch redundant binnen EU)
• Geen doorgifte buiten EU/EEA

Subverwerkers (Zie ook Template 08)
• Microsoft Azure: EU datacenters, Standard Contractual Clauses
• Bonsai Software: EU gevestigd, verwerkersovereenkomst
• Adequacy decisions: Voorkeur voor EU-based vendors
• Nieuwe subverwerkers: Voorafgaande goedkeuring klant mogelijk

Waarborgen bij Doorgifte (indien van toepassing)
• Adequacy decision (Art. 45 AVG)
• Standard Contractual Clauses (Art. 46 AVG)
• Binding Corporate Rules (niet van toepassing)
• Transfer Impact Assessment (TIA) uitgevoerd

Privacy by Design & Default

Design Principes
• Proactive not reactive: Privacy vanaf eerste ontwerpfase
• Privacy as default: Meest privacy-vriendelijke instellingen standaard
• Embedded into design: Privacy integral deel van systeem, niet add-on
• Full functionality: Geen trade-off tussen privacy en functionaliteit
• End-to-end security: Volledige lifecycle bescherming
• Visibility and transparency: Duidelijk voor gebruikers
• User-centric: Respect voor user privacy

Implementatie
• Minimization: Alleen essentiële datavelden required
• Purpose limitation: Data alleen voor gedeclareerd doel
• Access controls: Least privilege by default
• Encryption: Default voor alle gevoelige data
• Audit logging: Transparantie over data access
• Retention: Automatische verwijdering na periode
• Portability: Export functionaliteit ingebouwd

Privacy Governance

Privacy Review Board
• Samenstelling: FG, Security, Legal, Product, Engineering
• Frequentie: Maandelijks
• Agenda: Nieuwe features, DPIA's, privacy incidents, policy updates
• Beslissingsbevoegdheid: Go/no-go voor privacy-impactful changes

Privacy Training
• Onboarding: Verplichte privacy training voor alle nieuwe medewerkers
• Refresher: Jaarlijkse herhaling
• Specifieke training: Voor medewerkers met data toegang
• GDPR awareness: Begrip van principes en rechten
• Incident response: Procedures bij privacy breach

Privacy Metrics
• Betrokkenenverzoeken: Aantal, type, responstijd
• DPIA's: Aantal uitgevoerd, risico's geïdentificeerd
• Privacy incidents: Aantal, ernst, time-to-resolution
• Training completion: Percentage medewerkers
• Policy updates: Frequentie en communicatie

Datalekken & Meldplicht

Detectie & Assessment
• Monitoring: 24/7 security monitoring voor anomalieën
• Sources: Security tools, user reports, third-party notifications
• Initial assessment: Binnen 4 uur na detectie
• Classification:

  • Omvang: aantal betrokkenen

  • Type data: bijzondere categorieën, financieel, etc.

  • Gevolgen: identiteitsfraude, financiële schade, reputatieschade

Meldprocedure
• Intern: Directe escalatie naar FG en management
• Autoriteit Persoonsgegevens: Binnen 72 uur indien vereist
• Criteria voor melding:

  • Waarschijnlijk risico voor rechten betrokkenen

  • Kan leiden tot fysieke, materiële of immateriële schade

  • Niet te mitigeren door maatregelen
    • Inhoud melding:

  • Aard van datalek

  • Categorieën en aantal betrokkenen

  • Waarschijnlijke gevolgen

  • Genomen/voorgestelde maatregelen
    • Betrokkenen: Zonder onnodige vertraging bij hoog risico
    • Klanten: Proactive communication, updates, support

Voorkoming
• Preventive controls: Zie Template 03 (Gegevensbeveiliging)
• Regular testing: Penetration tests, vulnerability scans
• Incident response drills: Jaarlijkse oefeningen
• Lessons learned: Post-incident reviews en verbeteringen

Cookies & Tracking

Cookiebeleid
• Cookie notice: Duidelijk zichtbaar bij eerste bezoek
• Categorieën:

  • Strictly necessary: Altijd actief

  • Functional: Voor gebruikservaring

  • Analytics: Voor statistieken (opt-in)

  • Marketing: Voor personalisatie (opt-in)
    • Consent management: Granular control per categorie
    • Withdrawal: Eenvoudig intrekken via instellingen

Tracking Technologies
• Session cookies: Voor user sessions, verwijderd bij sluiten browser
• Persistent cookies: Bewaartermijn duidelijk gecommuniceerd
• Third-party cookies: Alleen met toestemming
• Analytics: Google Analytics met IP anonymization
• No selling: We verkopen nooit data aan derden

Klant Verwerkingsverantwoordelijkheden

Als verwerkingsverantwoordelijke bepalen onze klanten:
• Doelen en middelen van verwerking
• Rechtsbasis voor verwerking
• Rechten van hun betrokkenen
• Bewaartermijnen (binnen onze technische mogelijkheden)

Onesurance als verwerker:
• Verwerkt data alleen op instructie van klant
• Assisteert bij naleving AVG-verplichtingen
• Faciliteert uitoefening rechten betrokkenen
• Assisteert bij DPIA's indien nodig
• Meldt datalekken direct aan klant

Verwerkersovereenkomst (DPA)
• Standaard DPA beschikbaar
• Conform Art. 28 AVG
• Onderdelen:

  • Onderwerp en duur verwerking

  • Aard en doel verwerking

  • Type persoonsgegevens

  • Categorieën betrokkenen

  • Rechten en verplichtingen verwerkingsverantwoordelijke

  • Instructies voor verwerking

  • Vertrouwelijkheid

  • Beveiliging

  • Subverwerkers

  • Rechten betrokkenen

  • Assistentie bij compliance

  • Audits

  • Verwijdering/retournering data
    • Beschikbaar bij: Contractondertekening of op verzoek

Transparantie & Communicatie

Privacy Notice
• Locatie: Website, in-app, contractdocumentatie
• Updates: Versiecontrole, changelog beschikbaar
• Notification: Email bij material changes
• Archief: Eerdere versies beschikbaar

Contact voor Privacy
• Functionaris Gegevensbescherming: dpo@onesurance.ai
• Response tijd: Binnen 5 werkdagen voor initiële response
• Talen: Nederlands en Engels
• Escalatie: Directie indien ontevreden met FG response

Toezichthouder
• Nederland: Autoriteit Persoonsgegevens (AP)
• Website: autoriteitpersoonsgegevens.nl
• Klachtrecht: Betrokkenen kunnen klacht indienen bij AP

Laatst bijgewerkt: December 2024
Onesurance B.V. | Breda, Nederland | KvK: 87521997