Valenta-logo
Zoek een lokale expert
Beveiliging en privacy

Uw gegevens zijn bij ons veilig
. Hier is het bewijs.

Vragen over beveiliging en privacy komen al vroeg in elk gesprek ter sprake — en dat is ook terecht. Op deze pagina vindt u antwoorden op de vragen die we het vaakst krijgen van inkoop-, IT-, juridische en compliance . Als u aanvullende documentatie, een ingevulde beveiligingsvragenlijst of een technisch adviesgesprek nodig heeft, neem dan contact op met uw Managing Partner bij Valenta.

Neem contact op met een Managing Partner →
ISO 27001-gecertificeerd
Beheer van informatiebeveiliging
In overeenstemming met de SOC 2 Type II-principes
Beveiliging en vertrouwelijkheid
AVG & HIPAA
Gezondheidszorg in de EU, het VK en de VS
Microsoft Azure
Enterprise-grade
Certificeringen
Valenta-certificeringen
Harmonisatie van regelgeving
ISOISO 27001
SOC 2SOC 2 Type II
EUAVG
VKDe Britse AVG
HIPAAHIPAA
AustraliëAustralische privacywet
CanadaPIPEDA
Automatisering & RPA
Alle beveiligingsmaatregelen in dit document zijn van toepassing. Het hoofdstuk over AI-governance dient ter referentie voor het geval AI in een latere fase wordt geïntroduceerd.
Gegevensintegratie en analyse
Alle beveiligingsmaatregelen zijn van toepassing. Er wordt geen gebruik gemaakt van AI-modellen in datapijplijnen of deterministische analyses. Als er AI wordt toegevoegd, is het AI-beheer van toepassing.
Projecten op het gebied van data en AI
Alle beveiligingsmaatregelen zijn van toepassing, evenals het volledige hoofdstuk over AI-governance. De volledige documentatie over AI-governance is op verzoek verkrijgbaar.
Staff Augmentation
Alle beveiligingsmaatregelen zijn van toepassing, waaronder eindpuntbeveiliging, toegangsbeheer en apparaatbeleidsregels voor het personeel van Valenta.
Hoe er met uw gegevens wordt omgegaan

Jouw gegevens zijn van jou. Punt uit.

Valenta heeft uitsluitend toegang tot de gegevens die nodig zijn om de overeengekomen oplossing te leveren. Uw gegevens worden nooit voor andere doeleinden gebruikt, met andere klanten gedeeld of ingezet om AI- of machine learning-modellen te trainen — ongeacht het soort opdracht, zonder uitzondering.

Standaard gegevensminimalisatie

We hebben uitsluitend toegang tot de gegevens die nodig zijn om de oplossing te leveren. Er worden geen aanvullende gegevens geraadpleegd, bewaard of voor andere doeleinden gebruikt dan binnen de vastgestelde reikwijdte van de opdracht.

Geen blootstelling van gegevens tussen verschillende klanten

De gegevens, pijplijnen en omgevingscomponenten van elke klant zijn volledig van elkaar gescheiden. Er wordt niets gedeeld tussen klantaccounts, ongeacht de anciënniteit of de geografische locatie van het uitvoeringsteam.

Uw gegevens worden nooit gebruikt om AI te trainen

Dit geldt voor geen enkel type verbinding, onder geen enkele omstandigheid. Alle AI-inferentie in onze oplossingen is per sessie stateless. De modelaanbieder kan niet leren van uw gegevens of deze opslaan.

Netto-uitstroom bij afsluiting van de transactie

Alle toegang tot Valenta wordt formeel ingetrokken en dit wordt u schriftelijk bevestigd. De ontwikkel- en testomgevingen worden verwijderd zodra de overdracht is bevestigd.

Audittrail

Logbestanden van de pijplijnuitvoering, gegevens over API-aanroepen en toegangsgebeurtenissen worden gedurende de gehele opdracht bewaard en kunnen op verzoek door u worden ingezien.

Offshore-team, dezelfde controles

Ons Wereldwijde deliveryteam overal dezelfde toegangscontroles, ongeacht de locatie. De geografische locatie heeft geen invloed op de toegepaste norm.

Infrastructuur en implementatie

Waar je gegevens worden opgeslagen

De automatiseringsdiensten van Valenta worden geïmplementeerd via UiPath Automation Cloud, een cloud-native bedrijfsplatform dat wordt gehost op Microsoft Azure en dat regio-specifieke hostingopties biedt. Valenta biedt voor alle opdrachten twee implementatiemodellen aan. Voor beide gelden dezelfde beveiligingsmaatregelen. In uw opdrachtbevestiging staat vermeld welk model voor uw project van toepassing is.

Model A: Door de klant gehost

Jij hebt de controle

De oplossing wordt geïmplementeerd binnen uw eigen cloudomgeving. U bent eigenaar van alle reken-, opslag- en netwerkbronnen en u beheert deze zelf. Valenta heeft alleen toegang tijdens de looptijd van de overeenkomst.

De opslaglocatie van de gegevens wordt bepaald door uw cloudconfiguratie en regio-instellingen.

In dit model blijft de configuratie onder het directe beheer van je team vallen.

Model B: Beheerd door Valenta

Wij beheren

Valenta zorgt voor de infrastructuur die nodig is om de oplossing te leveren en beheert deze. U krijgt volledige toegang tot het systeem, de resultaten ervan en alle bijbehorende middelen.

De gegevensopslaglocatie wordt zo geconfigureerd dat deze voldoet aan uw geografische en wettelijke vereisten voordat de implementatie van start gaat.

Wij zorgen voor het beheer van patches, prestatiebewaking en operationele back-ups.

In beide modellen

  • Gegevens worden tijdens de overdracht versleuteld via HTTPS/TLS 1.2+
  • Opgeslagen gegevens worden versleuteld met AES-256
  • Toegang tot het netwerk is uitsluitend toegestaan via goedgekeurde IP-adressen of via VPN
  • Platform dat voldoet aan ISO 27001 en SOC 2 Type II
  • Een afzonderlijke, speciaal voor elke klant bestemde infrastructuur
  • Gegevensopslaglocatie geconfigureerd vóór de implementatie
Toegang en authenticatie

Wie heeft toegang en hoe wordt dit beheerd?

De toegang tot de omgevingen, gegevensbestanden en onderdelen van de oplossing van klanten is uitsluitend voorbehouden aan de leden van het Valenta-team die aan uw specifieke opdracht zijn toegewezen.

🔒

Alleen toegang binnen het kader van de opdracht

De toegang wordt niet gedeeld met andere klanten of teams, ongeacht anciënniteit of interne functie.

👤

Op rollen gebaseerde toegangscontrole

Elke gebruiker en elk serviceaccount krijgt de minimale rechten toegewezen die nodig zijn voor hun specifieke rol. Er is geen sprake van impliciet vertrouwen op basis van de netwerklocatie.

🔐

SSO en MFA zijn verplicht

Single Sign-On en meervoudige authenticatie zijn verplicht voor alle toegangspunten tot het platform.

📋

Alleen OAuth2

Alle koppelingen met uw bronsystemen maken gebruik van OAuth2 of app-gebaseerde authenticatie. Er wordt geen gebruik gemaakt van gedeelde wachtwoorden of basisauthenticatie.

💾

Inloggegevens mogen nooit in de code staan

API-sleutels, tokens en verbindingsstrings worden uitsluitend in de configuratie van de beveiligde omgeving opgeslagen — ze worden nooit in de pijplijncode of -definities opgenomen.

🏫

Een veiligheidstraining is verplicht

Alle teamleden volgen de vereiste training voordat ze toegang krijgen tot een klantomgeving. Of ze de training hebben afgerond, wordt bijgehouden en gecontroleerd.

AI-beheer

Hoe wij AI in uw opdracht aanpakken

Valenta hanteert een specifiek beleid inzake AI-governance en -beveiliging voor alle projecten op het gebied van data en AI. Dit zijn de uitgangspunten die voor elk AI-project gelden.

1

Uw gegevens worden nooit gebruikt om AI te trainen

Het is niet toegestaan om AI-modellen te trainen, te verfijnen of te verbeteren — ongeacht of deze eigendom zijn van Valenta of worden aangeboden door een platform van een derde partij. Hierop gelden geen uitzonderingen.

2

AI-inferentie zonder staat

Wanneer externe AI-API’s worden aangeroepen, worden er tussen sessies geen gegevens bewaard. De aanbieder van het model kan niet leren van uw gegevens en deze ook niet opslaan.

3

Alleen uw gegevens, als invoer

AI-modellen werken uitsluitend op basis van gegevens die u zelf hebt aangeleverd en waarover u de controle hebt. Algemene internetgegevens of gegevens van andere klanten worden nooit als invoer gebruikt.

4

menselijke controle

Wanneer AI-resultaten als basis dienen voor belangrijke beslissingen, is menselijke controle in de workflow ingebouwd. AI-resultaten dienen als ondersteunende informatie, niet als autonome beslissingen.

5

Elke AI-component wordt vóór de bouw gedocumenteerd

Welk model er wordt gebruikt, welke gegevens het ontvangt, wat het oplevert en de acceptatiecriteria — dit alles wordt door u beoordeeld en goedgekeurd voordat de ontwikkeling van start gaat.

Heeft u volledige documentatie over AI-governance nodig? Voor lopende opdrachten biedt Valenta gedetailleerde documentatie aan over de levenscyclus van AI-gegevens, modelgovernance, het beheer van artefacten en verplichtingen na afloop van de opdracht. Neem contact op met uw Managing Partner om deze aan te vragen.
Bestuur en incidentbeheer

Hoe wij te werk gaan en wat er gebeurt als er iets misgaat

Alle opdrachten van Valenta worden uitgevoerd binnen een gedocumenteerd bestuurskader dat veranderingbeheer, audittrajecten, toegangsbeoordelingen en incidentafhandeling omvat.

Verandermanagement

Alle implementaties in de productieomgeving verlopen volgens een gedocumenteerd proces voor wijzigingsaanvragen, dat vóór de implementatie met u wordt doorgenomen. Er komt geen ongeteste code in de productieomgeving terecht.

Onmiddellijke melding van incidenten

Mocht er zich een bevestigd beveiligingsincident voordoen dat gevolgen heeft voor uw omgeving, dan wordt u hiervan onmiddellijk op de hoogte gesteld. Daarna volgt een schriftelijk rapport met een analyse van de onderliggende oorzaak en de genomen maatregelen.

Volledig Audittrail

Logbestanden van pijplijnuitvoeringen, registraties van API-aanroepen, registraties van gegevenstransformaties en toegangsgebeurtenissen worden bewaard en kunnen op verzoek door u worden ingezien.

Samenwerking bij overtredingen van regelgeving

Valenta zal volledig meewerken aan alle meldingsverplichtingen inzake overtredingen van regelgeving die van toepassing zijn op uw organisatie en rechtsgebied.

De toegang wordt voortdurend geëvalueerd

De toegang tot uw omgeving wordt bij elk sprintcontrolepunt en telkens wanneer de teamsamenstelling verandert, opnieuw beoordeeld.

Milieusegregatie

Ontwikkelings-, UAT- en productieomgevingen worden bij alle opdrachten strikt gescheiden gehouden. Er komt geen ongeteste configuratie in de productie terecht.

Harmonisatie van regelgeving

Compliance waaraan wij ons houden

De infrastructuur- en platformcomponenten van Valenta zijn afgestemd op de volgende kaders, voor zover deze van toepassing zijn op uw sector en rechtsgebied. Indien uw compliance een specifieke toewijzing van controlemaatregelen, bewijsstukken of een ingevulde beveiligingsvragenlijst vereist, zal uw Managing Partner dit rechtstreeks met ons team afstemmen.

ISO

ISO 27001

Beheer van informatiebeveiliging. Geldt voor alle opdrachten en regio’s waarin diensten worden geleverd.

SOC 2

SOC 2 Type II

Beveiliging, beschikbaarheid en vertrouwelijkheid. Platformcomponenten die zijn afgestemd op enterprise-grade .

EUVK

AVG & Britse AVG

Gegevensbescherming in de EU en het VK. Valenta AI Limited is geregistreerd bij de ICO (ZB518204). Voor alle relevante opdrachten is een gegevensverwerkingsovereenkomst beschikbaar.

HIPAA

HIPAA

Projecten in de Amerikaanse gezondheidszorg waarbij beschermde gezondheidsgegevens betrokken zijn. Overeenkomst voor zakelijke partners is op verzoek verkrijgbaar.

Australië

Australische Privacywet van 1988

De Australische privacybeginselen zijn van toepassing op alle opdrachten waarbij de opdrachtgever in Australië is gevestigd. Dit compliance van de NDB-regeling.

Canada

Regionale gegevenssoevereiniteit

PIPEDA (Canada), PDPA (Maleisië), de Colombiaanse wet nr. 1581 en de toepasselijke lokale wetgeving. Er zijn regio-specifieke instellingen beschikbaar.

Veelgestelde vragen

Wat compliance beveiligingsteams ons vragen

Gebruikt Valenta mijn gegevens om AI-modellen te trainen?

Nee. Uw gegevens worden nooit gebruikt om een AI- of machine learning-model te trainen, te verfijnen of te verbeteren — ongeacht het type opdracht, zonder uitzondering. Alle AI-inferentie is stateless, wat betekent dat de modelaanbieder tussen sessies door geen gegevens bewaart.

Waar worden mijn gegevens gehost?

Valenta biedt twee implementatiemodellen aan. Bij een door de klant gehoste implementatie blijven uw gegevens binnen uw eigen cloudomgeving. Bij een door Valenta beheerde implementatie worden de gegevens gehost op de infrastructuur van Microsoft Azure, waarbij de gegevensopslaglocatie vóór aanvang van de implementatie zo wordt geconfigureerd dat deze voldoet aan uw geografische en wettelijke vereisten.

Voldoet Valenta aan de AVG?

Ja. De platformcomponenten en werkwijzen van Valenta voldoen aan de AVG voor opdrachten in de EU en het Verenigd Koninkrijk. Voor klanten in het Verenigd Koninkrijk is Valenta AI Limited bij het Information Commissioner’s Office (ICO) geregistreerd als verwerkingsverantwoordelijke en gegevensverwerker (registratienummer ZB518204). Voor alle relevante opdrachten is een gegevensverwerkingsovereenkomst beschikbaar.

Voldoet Valenta aan de HIPAA-voorschriften?

Ja, voor opdrachten op het gebied van de gezondheidszorg in de VS. Wanneer Valenta wordt ingeschakeld om namens een „Covered Entity” of een „Business Associate” diensten te verlenen waarbij „Protected Health Information” betrokken is, vallen deze diensten onder de toepasselijke HIPAA-voorschriften. Valenta wordt niet beschouwd als een „Business Associate”, tenzij dit uitdrukkelijk schriftelijk is overeengekomen.

Wie bij Valenta heeft toegang tot mijn gegevens?

Alleen de teamleden die aan uw specifieke opdracht zijn toegewezen. De toegang wordt niet gedeeld met andere klanten of projecten, ongeacht anciënniteit of locatie. Alle toegangsrechten worden bij afloop van de opdracht formeel ingetrokken en dit wordt u schriftelijk bevestigd.

Wat gebeurt er met mijn gegevens aan het einde van de opdracht?

Alle toegang van Valenta tot uw omgeving wordt bij het afsluiten van de opdracht formeel ingetrokken. Ontwikkelings- en testomgevingen, tijdelijke kopieën van gegevens en test-API-verbindingen worden volledig verwijderd zodra de overdracht is bevestigd. U ontvangt een schriftelijke bevestiging van de intrekking van de toegang.

Heeft Valenta een gegevensverwerkingsovereenkomst?

Ja. Voor opdrachten in het Verenigd Koninkrijk wordt bij aanvang van de dienstverlening een gegevensverwerkingsovereenkomst (DPA) gesloten overeenkomstig artikel 28 van de Britse AVG. Voor EU-opdrachten die onder Valenta GmbH vallen, maakt een gegevensverwerkingsovereenkomst integraal deel uit van elk contract. Neem contact op met uw Managing Partner bij Valenta om de voor uw rechtsgebied geldende gegevensverwerkingsovereenkomst te verkrijgen.

Is er een verschil in risicoprofiel tussen RPA- en Data & AI-opdrachten?

Ja, en daar gaan we direct op in. Bij Data & AI-opdrachten is sprake van bredere toegang tot gegevens, interacties met AI-modellen en aanvullende governanceverplichtingen. Valenta hanteert een specifiek beleid voor AI-governance en -beveiliging dat de levenscyclus van AI-gegevens, modelgovernance, stateless inference, menselijke controle en de afhandeling van artefacten aan het einde van de opdracht omvat. Neem contact op met uw Managing Partner om de volledige documentatie voor een Data & AI-opdracht aan te vragen.

Heeft u specifieke compliance over beveiliging of compliance ?

Uw Valenta Managing Partner kan een telefonisch overleg over technische zaken regelen, aanvullende documentatie verstrekken of het invullen van een beveiligingsvragenlijst coördineren. Wij werken rechtstreeks samen met uw compliance .

Neem contact op met een Managing Partner →Vraag een gratis beoordeling aan