Gegevensbeveiliging voor Overheid

Informatiebeveiliging en compliance bij gebruik van Omgever

Samenvatting

Omgever is een AI-tool voor het automatisch beoordelen van ruimtelijke onderzoeken en zienswijzen. Dit document licht toe hoe Omgever omgaat met gegevensbeveiliging in relatie tot de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001 en de AVG.

Kernpunten

  • Volledig EU-verwerking: Alle AI-analyse via AWS Bedrock binnen de EU
  • Twee productlijnen met verschillende privacyregimes
  • Zienswijzen: alleen geanonimiseerd, verwerkersovereenkomst beschikbaar
  • Standaard producten: geen persoonsgegevens in AI-keten
  • Gecertificeerde leveranciers: ISO 27001, SOC 2 Type II, C5
  • Geen doorgifte naar de Verenigde Staten

Overzicht productlijnen

Product Persoonsgegevens PDF-conversie AI-analyse Rol Omgever Verwerkersovereenkomst
Standaard (ruimtelijke onderzoeken) Nee Mistral (EU) Claude via AWS Bedrock (EU) Eigen dienst Niet nodig
Zienswijzen Indirect herleidbaar* Mistral (EU) Claude via AWS Bedrock (EU) Verwerker Verplicht

*Zienswijzen worden geanonimiseerd aangeleverd, maar kunnen door inhoud (bijv. verwijzing naar eigen woning) indirect herleidbaar zijn.

Omgever is Microsoft Verified Partner (MpnId 7085493)

Certificeringen onze partners

Partner Certificeringen
Microsoft Azure ISO 27001, SOC 2 Type II, C5, CSA STAR
Amazon Web Services (Bedrock) ISO 27001, SOC 2 Type II, C5, CSA STAR
Mistral AI ISO 27001, SOC 2 Type II, HDS

Wat doet Omgever?

Omgever helpt bij het beoordelen van de volledigheid en kwaliteit van ruimtelijke onderzoeken en zienswijzen.

Standaard producten (ruimtelijke onderzoeken)

De tool:

  1. Ontvangt een PDF-document (het onderzoek)
  2. Converteert dit naar een gestructureerd tekstbestand
  3. Analyseert het document op volledigheid, juridische houdbaarheid en kwaliteit
  4. Geeft een overzichtelijk beoordelingsrapport terug

Persoonsgegevens: Nee – ruimtelijke onderzoeken bevatten geen persoonsgegevens.

Zienswijzen-analyse

Voor overheidsklanten biedt Omgever ook de mogelijkheid om zienswijzen te analyseren:

  1. Ontvangt geanonimiseerde zienswijzen (zonder expliciete persoonsgegevens)
  2. Analyseert de inhoud en thema's van de zienswijzen
  3. Groepeert en categoriseert de zienswijzen
  4. Genereert samenvattingen en overzichten

Persoonsgegevens: Zienswijzen worden geanonimiseerd aangeleverd. Door de inhoud kan een zienswijze indirect herleidbaar zijn tot een persoon. Dit geldt als persoonsgegeven in de zin van de AVG.

Rol Omgever: Verwerker (Art. 28 AVG)

Verwerkersovereenkomst: Verplicht

Hoe werkt de dataverwerking?

Overzicht per productlijn

Aspect Standaard (onderzoeken) Zienswijzen
Persoonsgegevens Nee Indirect herleidbaar*
PDF-conversie Mistral (EU) Mistral (EU)
AI-analyse Claude via AWS Bedrock (EU) Claude via AWS Bedrock (EU)
Doorgifte buiten EU Nee Nee
Rol Omgever Eigen dienst Verwerker
Verwerkersovereenkomst Niet nodig Verplicht

*Geanonimiseerd aangeleverd, maar door inhoud mogelijk herleidbaar tot personen.

✅ Volledig EU: Alle AI-verwerking vindt plaats binnen de Europese Unie. Er is geen doorgifte naar de Verenigde Staten.

Onze AI-leveranciers en AVG-Compliance

Anthropic Claude via AWS Bedrock (EU)

Alle AI-analyses (zowel standaard producten als zienswijzen) vinden plaats via Anthropic Claude op AWS Bedrock binnen de Europese Unie.

Mistral AI (PDF-conversie)

Voor PDF-conversie gebruiken we Mistral AI (Frans bedrijf).

Microsoft Azure (Hosting)

Ons hostingplatform.

Toetsing aan BIO en ISO 27001

BIO-maatregelen

De BIO vereist een risicogebaseerde aanpak voor cloudgebruik. Dit is onze invulling:

BIO-eis Onze invulling Status
Risicoanalyse cloudgebruik Uitgevoerd per productlijn
Contractuele waarborgen DPA's met alle leveranciers
Leveranciersbeheer Alleen ISO 27001 / SOC 2 gecertificeerde partijen
Dataclassificatie Standaard: zakelijk. Zienswijzen: indirect herleidbaar (EU-only)
Logging en monitoring Audit trail van alle verwerkingen
Exit-strategie Data is exporteerbaar, geen vendor lock-in

Veelgestelde vragen

Is dit toegestaan onder de BIO?

Ja.

Hoe zit het met de AVG?

Standaard producten: Geen persoonsgegevens in de documenten. AVG niet van toepassing op documentinhoud. Verwerking volledig binnen EU.

Zienswijzen: Omgever is verwerker (Art. 28 AVG). Verwerkersovereenkomst verplicht. Volledige EU-verwerking.

Hebben wij een verwerkersovereenkomst nodig?

Product Verwerkersovereenkomst
Standaard (onderzoeken) Nee – geen persoonsgegevens in documenten
Zienswijzen Ja – Omgever is verwerker, verwerkersovereenkomst beschikbaar

Wat als de gemeente een EU-only beleid heeft?

Geen probleem. Alle verwerking vindt standaard plaats binnen de EU via AWS Bedrock. Er is geen doorgifte naar de VS.

Wordt de data gebruikt voor AI-training?

Nee. Anthropic gebruikt API-data niet voor training van modellen. Dit is contractueel gegarandeerd.

Onze leveranciers

Leverancier Functie Locatie Certificeringen
Microsoft Azure Hosting, opslag EU (West-Europa) ISO 27001, SOC 2 Type II, C5, CSA STAR
Amazon Web Services (Bedrock) AI-analyse (Claude) EU (Frankfurt) ISO 27001, SOC 2 Type II, C5, CSA STAR
Mistral AI PDF-conversie EU (Frankrijk) ISO 27001, SOC 2 Type II, HDS

Contact

Voor vragen over informatiebeveiliging en privacy:

Omgever
E-mail: security@omgever.nl
Functionaris Gegevensbescherming: fg@omgever.nl

Bijlagen

Beschikbaar op verzoek:

Vragen over gegevensbeveiliging?

Wij helpen u graag verder met specifieke vragen over compliance en informatiebeveiliging.

Neem contact op →