1. Introductie
Basenorm ("wij", "ons" of "onze") hecht veel waarde aan jouw privacy. Dit privacybeleid legt uit hoe we jouw informatie verzamelen, gebruiken, delen en beschermen wanneer je ons AI-gedreven compliance-platform gebruikt.
Als Europees platform geven we prioriteit aan datasoevereiniteit en naleving van GDPR, NIS2 en DORA.
2. Welke gegevens we verzamelen en de juridische grondslag
Onder de Algemene Verordening Gegevensbescherming (GDPR) moeten wij een juridische grondslag hebben om jouw persoonsgegevens te verwerken.
| Gegevenscategorie | Doel | Juridische grondslag (GDPR) |
|---|---|---|
| Accountgegevens (naam, e-mail, bedrijf) | Om jouw account te beheren en toegang tot het platform te bieden. | Uitvoering van een overeenkomst |
| Compliance-gegevens (beleid, risico's, bewijs) | Om geautomatiseerde compliance-audits en risicoanalyses uit te voeren. | Uitvoering van een overeenkomst |
| Gebruiksgegevens (IP-adres, logs, gedrag) | Om beveiliging te handhaven, fraude te detecteren en het platform te optimaliseren. | Gerechtvaardigd belang |
| Marketinggegevens (nieuwsbriefaanmeldingen) | Om updates en inzichten uit de sector te versturen. | Toestemming |
| Reguleringsgegevens | Om te voldoen aan wettelijke rapportage- en bewaarverplichtingen. | Wettelijke verplichting |
3. AI-verwerking en databescherming
Basenorm gebruikt geavanceerde AI om compliance-workflows te automatiseren. We hanteren een "Privacy-by-Design"-aanpak voor onze AI-engine:
Geen externe training
We gebruiken jouw vertrouwelijke of persoonlijke data uitdrukkelijk niet om externe foundation-modellen van derden te trainen (zoals die van OpenAI of Anthropic).
Basenorm Community Intelligence
Om benchmarks voor de sector te leveren en de intelligentie van ons platform te verbeteren, kunnen we geanonimiseerde en geaggregeerde data binnen het Basenorm-ecosysteem gebruiken. Deze data wordt ontdaan van alle identifiers zodat ze niet herleidbaar is naar jouw organisatie of naar personen.
Data-isolatie
Jouw specifieke compliance-data blijft geïsoleerd en alleen toegankelijk voor geautoriseerde gebruikers binnen jouw organisatie.
4. Gegevens delen en openbaar maken
We verkopen jouw persoonsgegevens niet.
We kunnen informatie delen met:
- Dienstverleners: Externe leveranciers (bijvoorbeeld betalingsverwerkers, e-mailbezorging) die als sub-verwerkers optreden.
- Wettelijke verplichtingen: Wanneer dit wettelijk vereist is of nodig is om onze rechten te beschermen.
- Bedrijfsoverdracht: In het geval van een fusie of overname.
5. Databeveiliging en incidentrespons
We hanteren toonaangevende technische en organisatorische maatregelen:
- Versleuteling: Data wordt versleuteld in rust (AES-256) en tijdens transport (TLS 1.3).
- Weerbaarheid: Regelmatige penetratietests en kwetsbaarheidsscans.
- Rapportage (NIS2/DORA): In lijn met de eisen uit NIS2 en DORA hanteren we strikte incidentresponseprotocollen. Bij een significant beveiligingsincident verplichten we ons ertoe relevante autoriteiten en getroffen gebruikers binnen de wettelijk verplichte termijnen te informeren (bijvoorbeeld 24-uur vroege waarschuwing / 72-uur melding waar van toepassing).
6. Data residency (Europese soevereiniteit)
In tegenstelling tot veel GRC-aanbieders is Basenorm gebouwd voor Europese datasoevereiniteit:
Primaire hosting: Alle platformdata en back-ups worden opgeslagen op Microsoft Azure-servers in Amsterdam, Nederland (EU West-regio).
Dataoverdrachten: Hoewel we alle verwerking zoveel mogelijk binnen de EER houden, worden eventueel noodzakelijke internationale overdrachten beschermd door Standaardcontractbepalingen (SCC's) en zorgvuldige Transfer Impact Assessments (TIA's).
7. Bewaartermijnen
We bewaren jouw informatie alleen zolang:
- Jouw account actief is of nodig is om diensten te leveren.
- Vereist om te voldoen aan wettelijke, fiscale of regelgevende verplichtingen (bijvoorbeeld financiële administratie).
- Noodzakelijk voor het oplossen van geschillen.
8. Jouw privacyrechten
Als betrokkene heb je het recht op inzage, correctie, verwijdering (recht om vergeten te worden) en dataportabiliteit. Je kunt ook bezwaar maken tegen of beperking vragen van bepaalde verwerkingsactiviteiten.
Om deze rechten uit te oefenen, neem contact op via privacy@basenorm.com.
10. Contactgegevens
Basenorm
Amsterdam, Nederland
11. Naleving van regelgeving
We monitoren en actualiseren ons platform continu om te voldoen aan:
GDPR (Algemene Verordening Gegevensbescherming) • NIS2 (Richtlijn netwerk- en informatiebeveiliging) • DORA (Digital Operational Resilience Act) • AI Act (EU-verordening kunstmatige intelligentie)