Recovia verwerkt gevoelige financiële, juridische en persoonlijke gegevens van kwetsbare mensen. Dat vraagt om het hoogste beveiligingsniveau. Hier leest u exact hoe wij dat waarborgen — welke standaarden we volgen, welke maatregelen we treffen en hoe we compliance structureel inbedden in ons platform.
Recovia opereert op het snijvlak van financiële dienstverlening, overheid en gezondheidszorg. Dat betekent dat we niet aan één standaard voldoen, maar aan een combinatie van kaders die samen het volledige compliancelandschap dekken.
```De internationale standaard voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Dit is het fundament waarop alle andere maatregelen zijn gebouwd.
De praktische controleset behorend bij ISO 27001. Bevat 93 maatregelen verdeeld over organisatorische, menselijke, fysieke en technologische controls die Recovia implementeert in architectuur, processen en beleid.
De Nederlandse norm voor informatiebeveiliging in de gezondheidszorg, gebaseerd op ISO 27001 maar aangevuld met zorgspecifieke eisen rondom beschikbaarheid, patiëntgegevens en medische informatieuitwisseling.
Het gemeenschappelijke normenkader voor informatiebeveiliging binnen alle overheidslagen in Nederland. Gebaseerd op ISO 27001/27002, aangevuld met overheidsspecifieke maatregelen en basisbeveiligingsniveaus (BBN).
De Europese verordening voor de bescherming van persoonsgegevens. Stelt eisen aan rechtmatigheid, doelbinding, dataminimalisatie, opslagbeperking, integriteit, vertrouwelijkheid en verantwoordingsplicht.
Uitbreiding op ISO 27001 specifiek voor privacybeheer. Biedt een raamwerk voor het opzetten van een Privacy Information Management System (PIMS), gericht op de eisen van AVG/GDPR.
De standaard voor bedrijfscontinuïteit. Richt zich op het identificeren van bedreigingen, het bouwen van veerkracht en het waarborgen van beschikbaarheid bij verstoringen.
"Compliance is voor Recovia geen afvinklijst. Het is een ontwerpprincipe dat in elke architectuurbeslissing, elke feature en elk proces is ingebouwd — vanaf dag één."
ISO 27001 vormt het fundament van Recovia's beveiligingsaanpak. Hieronder de kerngebieden en hoe wij deze implementeren in ons platform en onze organisatie.
```Role-Based Access Control (RBAC) met granulaire rechten per functie, dossier en organisatie. Least-privilege principe als standaard. Geen gebruiker ziet meer dan strikt noodzakelijk.
Multi-Factor Authenticatie (MFA) verplicht voor alle gebruikers. Wachtwoordbeleid conform NIST-richtlijnen. Sessiemanagement met automatische time-out en re-authenticatie bij gevoelige acties.
AES-256 encryptie voor data at rest. TLS 1.3 voor data in transit. Encryptie key management met hardware security modules (HSM). Geen onversleutelde opslag van persoonsgegevens.
Volledige audittrail van alle gebruikersacties, systeemwijzigingen en datatoegangen. Logs zijn onveranderbaar (immutable), centraal opgeslagen en minimaal 12 maanden beschikbaar.
Geformaliseerd incident response plan met escalatieprocedures, verantwoordelijkheden en communicatieprotocollen. Datalekprocedure conform AVG met melding aan AP binnen 72 uur.
Disaster recovery met RPO < 1 uur en RTO < 4 uur. Automatische failover, geografisch gescheiden backups en periodieke recovery-tests. Gedocumenteerd bedrijfscontinuïteitsplan.
Geautomatiseerde vulnerability scanning, dependency monitoring, penetratietests door externe partijen (minimaal jaarlijks) en een responsible disclosure beleid.
Security-by-design in de SDLC. Code reviews met security focus, SAST/DAST tooling, dependency scanning en beveiligde CI/CD pipeline. OWASP Top 10 als minimumstandaard.
Gestructureerd risicomanagementproces met risicoregister, periodieke risicoanalyses (BIA), risicoacceptatiecriteria en aantoonbare behandeling van geïdentificeerde risico's.
Recovia wisselt signaleringsinformatie uit met zorgprofessionals en verwerkt data die raakt aan gezondheid en welzijn. NEN 7510 stelt aanvullende eisen bovenop ISO 27001 die wij volledig adresseren.
```Recovia's vroegsignalering detecteert patronen die kunnen wijzen op gokproblematiek, verslavingsgedrag en psychische problematiek. Deze signalen worden gedeeld met zorgprofessionals — psychologen, verslavingszorg, huisartsen. Op het moment dat financiële data wordt gecombineerd met zorginformatie ontstaat een bijzondere verantwoordelijkheid.
NEN 7510 borgt dat deze informatie-uitwisseling veilig, gecontroleerd en conform zorgstandaarden verloopt. Niet als extra laag, maar als integraal onderdeel van het platform.
Gemeenten en kredietbanken die Recovia gebruiken vallen onder de BIO. Als leverancier voldoet Recovia aan de eisen die de BIO stelt aan de verwerking van overheidsinformatie op BBN2-niveau.
```De BIO werkt met drie Basisbeveiligingsniveaus (BBN). Recovia richt zich op BBN2 (vertrouwelijk), het niveau dat geldt voor de verwerking van vertrouwelijke overheidsinformatie en persoonsgegevens. Dit niveau vereist aanvullende maatregelen bovenop BBN1 op het gebied van toegangscontrole, logging, cryptografie en fysieke beveiliging.
Concrete BIO-maatregelen die Recovia implementeert omvatten verplichte MFA, gescheiden beheeraccounts, versleutelde opslag, geformaliseerd patchmanagement en periodieke penetratietests door onafhankelijke partijen.
Recovia verwerkt bijzondere persoonsgegevens als verwerker namens bewindvoerders, schuldhulpverleners en gemeenten. Privacy is geen compliance-checkbox — het is een ontwerpprincipe dat in elke feature is ingebouwd.
```| AVG-vereiste | Hoe Recovia dit implementeert |
|---|---|
| Art. 5 — Rechtmatigheid en doelbinding | Elke dataverwerking is gekoppeld aan een expliciet verwerkingsdoel. Verwerkingsregister beschikbaar. Geen verwerking buiten de gedefinieerde doelen. |
| Art. 5 — Dataminimalisatie | Alleen gegevens die strikt noodzakelijk zijn voor het verwerkingsdoel worden opgeslagen. Automatische opschoningsroutines voor verouderde data. |
| Art. 5 — Opslagbeperking | Retentiebeleid per gegevenstype met automatische verwijdering na afloop van bewaartermijnen. Configureerbaar per organisatie. |
| Art. 15–22 — Rechten betrokkenen | Ingebouwde functionaliteit voor inzage, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar. Cliënten kunnen via het portaal hun rechten uitoefenen. |
| Art. 25 — Privacy by design / default | Privacyvriendelijke standaardinstellingen. Gegevensbescherming ingebouwd in architectuur. DPIA uitgevoerd voor alle verwerkingen met hoog risico. |
| Art. 28 — Verwerkersovereenkomst | Standaard verwerkersovereenkomst conform AVG met elke opdrachtgever. Sub-verwerkers gedocumenteerd en contractueel gebonden aan dezelfde eisen. |
| Art. 30 — Verwerkingsregister | Volledig, actueel verwerkingsregister met alle verwerkingsactiviteiten, doelen, categorieën betrokkenen, ontvangers en bewaartermijnen. |
| Art. 32 — Beveiliging | Technische en organisatorische maatregelen conform ISO 27001. Encryptie, pseudonimisering, toegangscontrole en regelmatige evaluatie van effectiviteit. |
| Art. 33–34 — Datalekmelding | Geformaliseerde datalekprocedure met melding aan AP binnen 72 uur. Automatische detectie van mogelijke datalekken. Communicatieprotocol voor betrokkenen. |
| Art. 35 — DPIA | Data Protection Impact Assessment uitgevoerd voor het volledige platform, met specifieke aandacht voor signaleringsalgoritmen, profilerings-aspecten en geautomatiseerde besluitvorming. |
"Recovia is verwerker. De verwerkingsverantwoordelijke bepaalt het doel en de middelen. Wij leveren het platform, de beveiliging en de compliancewaarborgen — en leggen daarover verantwoording af via verwerkersovereenkomsten, auditrechten en transparante documentatie."
Recovia hanteert een defense-in-depth strategie met zero-trust als uitgangspunt. Elke laag in de architectuur heeft zijn eigen beveiligingsmaatregelen — geen single point of failure.
```Elke laag vertrouwt geen enkele andere laag — alles wordt geverifieerd, altijd.
Alle data wordt verwerkt en opgeslagen binnen de EU/EER. Geen datatransfer naar derde landen. Hosting bij ISO 27001-gecertificeerde Europese providers.
Multi-tenant architectuur met volledige data-isolatie per organisatie. Geen gedeelde databases. Tenant-specifieke encryptiesleutels. Logische én fysieke scheiding.
Versleutelde backups elke 15 minuten met geografisch gescheiden opslag. Automatische recovery-tests. Point-in-time recovery mogelijkheid tot 30 dagen terug.
Alle gebruikersacties, datatoegangen en systeemwijzigingen worden onveranderbaar gelogd. Logs zijn niet te wijzigen of te verwijderen — ook niet door beheerders.
Jaarlijkse penetratietest door onafhankelijke externe partij. Aanvullend: continue vulnerability scanning, dependency monitoring en bug bounty programma.
Kritieke acties (betaaluitvoering, rechtenwijziging, dossierverwijdering) vereisen goedkeuring van een tweede geautoriseerde medewerker. Ingebouwd in de workflow engine.
Technische maatregelen zijn pas effectief als ze worden gedragen door de juiste processen, verantwoordelijkheden en cultuur. Dit is hoe Recovia compliance organisatorisch borgt.
```Aangewezen Information Security Officer (ISO) verantwoordelijk voor het ISMS, risicobeoordelingen en de coördinatie van beveiligingsmaatregelen. Rapporteert direct aan de directie.
Verplichte jaarlijkse security awareness training voor alle medewerkers. Aanvullend: phishing simulaties, secure coding training voor developers en incidentrespons-oefeningen.
Compleet beleidsraamwerk: informatiebeveiligingsbeleid, acceptabel gebruik, wachtwoordbeleid, BYOD-beleid, incidentresponsplan, bedrijfscontinuïteitsplan en privacybeleid.
Alle sub-verwerkers en toeleveranciers worden beoordeeld op beveiligingsniveau. Verwerkersovereenkomsten, audits en periodieke herevaluatie van de gehele supply chain.
PDCA-cyclus (Plan-Do-Check-Act) conform ISO 27001. Periodieke interne audits, managementreviews en verbeteracties. Leerpunten uit incidenten worden structureel verwerkt.
Geformaliseerde procedures voor detectie, classificatie, escalatie en melding van beveiligingsincidenten en datalekken. Melding aan AP binnen 72 uur. Communicatieprotocol voor betrokkenen.
Aangewezen FG (DPO) die toezicht houdt op de naleving van de AVG, DPIA's coördineert, adviseert over privacy-impact en fungeert als aanspreekpunt voor betrokkenen en de AP.
Verklaring Omtrent het Gedrag (VOG) voor alle medewerkers met toegang tot productiedata. Geheimhoudingsverklaring als onderdeel van arbeidsovereenkomsten. Periodieke herevaluatie.
Compliance dashboards voor opdrachtgevers. Auditrecht opgenomen in verwerkersovereenkomsten. Bereidheid tot externe audits en certificeringsbeoordelingen.
Recovia bouwt compliance vanaf de basis in. Dit is ons pad naar formele certificering — niet als einddoel, maar als externe validatie van wat we al doen.
```Architectuur, processen en beleid opgezet conform ISO 27001. ISMS-documentatie, risicoregister, beveiligingsbeleid en verwerkingsregister gereed. Zero-trust architectuur geïmplementeerd.
ISMS volledig operationeel. Interne audits uitgevoerd. Managementreviews gepland. Incidentprocedures getest. Medewerkerstraining afgerond. Gap-analyse voor certificering uitgevoerd.
Stage 1 en Stage 2 audit door geaccrediteerde certificatie-instelling. Eventuele bevindingen opgelost. Penetratietest door onafhankelijke partij. DPIA-review door externe privacy-expert.
Formele ISO 27001-certificering. Aansluitend: NEN 7510-certificering en BIO-conformiteitsverklaring. Jaarlijkse surveillance-audits en driejaarlijkse hercertificering.
"Wij wachten niet op certificering om het juiste te doen. Elke maatregel op deze pagina is nu al onderdeel van ons ontwerp en onze werkwijze. Certificering bevestigt wat we al hebben gebouwd."
Heeft u vragen over onze beveiligingsarchitectuur, verwerkersovereenkomst of compliance-documentatie? Onze Security Officer staat klaar om uw vragen te beantwoorden.