Trust Center

Geschreven door Martijn de Koning

Laatst bijgewerkt Ongeveer 5 uur geleden

TriFact365 biedt de Dienst aan zakelijke klanten via een veilig, cloudgebaseerd platform dat wereldwijd toegankelijk is: onze klanten kunnen de Dienst overal met een internetverbinding gebruiken. Dit Trust Center beschrijft onze gegevensbeschermings-, beveiligings- en compliance-praktijken.

Onze aanpak

Beveiliging is bij ons geen aparte laag bovenop het product, maar een eigenschap van het product zelf. We ontwerpen, ontwikkelen en beheren onze Software vanuit het principe dat jouw data minimaal wordt verwerkt, veilig wordt opgeslagen en alleen toegankelijk is voor wie dat nodig heeft voor de dienstverlening.

Drie uitgangspunten sturen ons werk:

  • Primaire verwerking binnen de Europese Economische Ruimte (EER). Jouw Klantgegevens worden primair verwerkt en opgeslagen binnen de EER. Specifieke verwerkingslocaties van TriFact365 en onze subverwerkers staan vermeld in de sectie Onze infrastructuur hieronder en op onze subverwerkers-pagina. Doorgifte buiten de EER vindt alleen plaats met passende waarborgen conform de AVG.

  • Geen verkoop, geen hergebruik voor derden. We verkopen Klantgegevens niet en delen het niet voor commerciële doeleinden of modeltraining van derden.

  • Hulpmiddel, geen vervanger. Onze AI ondersteunt bij herkenning en classificatie, maar jij blijft eindverantwoordelijk voor de uitkomsten.

Compliance-status overzicht

TriFact365's gegevensbeschermings- en compliance-praktijken zijn ontworpen om wereldwijd toepasbaar te zijn op klanten in alle jurisdicties waar TriFact365 de Dienst aanbiedt. De onderstaande frameworks vormen de kern van het compliance-kader. Voor specifieke lokale compliance-vereisten van Klanten buiten de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland zijn aanvullende Addenda beschikbaar op verzoek via onze contactpagina.

Framework

Status

Target / behaald

Scope

Verifieerbaar via

ISO 27001:2022

ISMS in opbouw conform de norm — externe certificering in voorbereiding

Externe certificering in voorbereiding — fase [implementatie].

TriFact365 SaaS-platform

n.v.t. tot start audit-periode

SOC 2 Type II

Op roadmap

Volgt op ISO 27001-certificering

TriFact365 SaaS-platform

n.v.t. tot start audit-periode

AVG/GDPR

Conform

Doorlopend

Volledige verwerking

Verwerkersovereenkomst + Privacyverklaring

EU AI Act

Niet-hoog-risico-classificatie

Conform doorlopend voor toepasselijke bepalingen

AI-functionaliteiten in de Software

AI-Voorwaarden (classificatie en uitwerking)

EU Data Act

Conform overgangsregime art 29 EU Dataverordening

Volledig conform na verloop overgangsperiode

SaaS-aanbod

Overstap- en Dataportabiliteitsvoorwaarden (Annex A)

Waar we staan met certificeringen

Een certificering is geen eindpunt maar een momentopname van werk dat continu door moet gaan. Dit is onze actuele status:

ISO 27001

Het Information Security Management System (ISMS) van TriFact365 is in opbouw conform ISO/IEC 27001:2022. Externe certificering is in voorbereiding. Voortgang en behaalde mijlpalen worden in deze sectie bijgewerkt.

Huidige fase: [implementatie]

Scope: TriFact365 SaaS-platform en de onderliggende organisatie die de SaaS-dienst levert, beheert en ondersteunt.

Vragen: voor gerichte vragen over policies en controls kun je contact opnemen via het e-mailadres onderaan deze pagina.

SOC 2

SOC 2 Type II staat op onze roadmap. We starten het traject na afronding van de ISO 27001-certificering.

Rationale fasering: ISO 27001 en SOC 2 overlappen substantieel — ons ISMS-werk dekt circa 70% van de SOC 2 Trust Service Criteria. Sequentiële aanpak voorkomt dubbel werk en versnelt beide trajecten.

Scope-intentie: TriFact365 SaaS-platform + organisatie. Definitieve scope wordt vastgesteld bij start audit-periode.

AVG

We voldoen aan de Algemene Verordening Gegevensbescherming (AVG/GDPR). Zie onze Privacyverklaring en Verwerkersovereenkomst voor de volledige invulling als verwerker en verantwoordelijke.

EU AI Act

Onze AI-functionaliteiten zijn zo ingericht dat zij niet kwalificeren als hoog-risico AI-systeem in de zin van Bijlage III van de EU AI Act. Zie onze AI-Voorwaarden.

Onze infrastructuur

We hosten de TriFact365-Software bij twee cloudproviders, beide in Nederland:

  • Google Cloud Platform (regio europe-west4, Nederland) — ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1/2/3 gecertificeerd

  • Microsoft Azure (regio West Europe, Nederland) — ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1/2/3 gecertificeerd

Alle Klantgegevens worden primair binnen de EER verwerkt. Voor details over doorgifte buiten de EER, zie de Verwerkersovereenkomst.

Beveiligingsmaatregelen

We hanteren technische en organisatorische maatregelen die passen bij de aard van de gegevens die we verwerken:

  • versleuteling van gegevens bij opslag (at rest) en tijdens transport (in transit)

  • toegangsbeperking op basis van rollen en need-to-know

  • multifactor-authenticatie voor alle medewerkers met toegang tot productiesystemen

  • logging, monitoring en auditlogging van systeemtoegang

  • geheimhoudingsverplichtingen en security-awareness-training voor alle medewerkers

  • regelmatige back-ups, verwerking van back-ups binnen de EER

Pentests

We laten onze Software periodiek onderwerpen aan externe penetratietesten. Externe penetratietesten worden ten minste jaarlijks uitgevoerd als onderdeel van onze ISO 27001-implementatie. Bevindingen worden systematisch opgevolgd en verwerkt in onze beveiligingsroadmap.

Datalekken en incident response

Bij een datalek informeren we getroffen klanten zonder onredelijke vertraging en uiterlijk binnen 48 uur na ontdekking. Zie onze Verwerkersovereenkomst voor de volledige procedure.

Status & incident-historie

Op onze publieke Status Page houden wij klanten en geïnteresseerden op de hoogte van actuele storingen en eerdere incidenten. Wij publiceren daar:

  • De actuele beschikbaarheidsstatus van de Dienst

  • De incident-historie van de afgelopen 90 dagen

De Status Page is bereikbaar via status.trifact365.com.

De Status Page is een transparantie-instrument naast de juridische Service Level Agreement. De afspraken over beschikbaarheid, onderhoud en response-tijden staan in de Service Level Agreement; aan de Status Page kunnen geen rechten worden ontleend.

Subverwerkers

Onze subverwerkers voor Klantgegevens staan vermeld op de subverwerkers-pagina. Wijzigingen worden ten minste 14 dagen vooraf aangekondigd via e-mail of een bericht in de Software; de Klant kan binnen 10 dagen bezwaar maken via het supportkanaal in de Software. In dwingende omstandigheden — een wettelijke verplichting of een acuut beveiligingsincident — kunnen wij een subverwerker met onmiddellijke ingang inschakelen of vervangen, met behoud van het bezwaarrecht. Zie onze Verwerkersovereenkomst voor de volledige procedure.

Gegevensexport en -formaten

De Klant kan gedurende de looptijd van het Abonnement de eigen gegevens exporteren via de standaard exportmogelijkheden van de Software — per scherm of als archief-export.

Categorie

Formaat

Aangeleverde documenten en bijlagen

PDF, of het oorspronkelijke bestandsformaat

Verwerkingsresultaten en overzichten

Excel (.xlsx)

Overzichten van de eigen inrichting (gebruikers, koppelingen, schema's)

Excel (.xlsx)

Archief-export (volledige set, per administratie)

Een of meer ZIP-bestanden

Deze formaten zijn gestructureerd, gangbaar en machineleesbaar in de zin van artikel 30 lid 5 van de EU Dataverordening. Een volledige beschrijving van de exportmogelijkheden per scherm staat op de pagina Data export. De voorwaarden voor export en overstap staan in de Overstap- en Dataportabiliteitsvoorwaarden.

Beëindiging en heractivatie

Na beëindiging van het Abonnement vervalt het recht op gebruik van de Software, waaronder de standaard exportmogelijkheden. Het Account blijft toegankelijk gedurende 90 dagen. In die periode kan de Klant het Abonnement heractiveren via de Software; de toegang tot de Software wordt dan hersteld onder de op dat moment geldende voorwaarden. Na 90 dagen verwijdert TriFact365 het Account en de Klantgegevens, behoudens wettelijke bewaarverplichtingen.

De Klant is zelf verantwoordelijk voor het tijdig veiligstellen van Klantgegevens. Vóór beëindiging kan de Klant een export maken via de exportmogelijkheden in de Software. Moet de Klant Klantgegevens langer beschikbaar houden — bijvoorbeeld om aan een wettelijke bewaarplicht te voldoen — dan vereist dat een actief Abonnement gedurende die hele periode.

De volledige juridische regeling staat in artikel 7 van onze Algemene Voorwaarden en in de Overstap- en Dataportabiliteitsvoorwaarden.

Verzoeken van overheden en opsporingsdiensten

TriFact365 verstrekt Klantgegevens uitsluitend op basis van een rechtsgeldige en bindende wettelijke verplichting onder Nederlands of Europees recht. Voor zover wettelijk toegestaan:

  • betwisten wij verzoeken die buitensporig, onbepaald of onrechtmatig zijn;

  • informeren wij de Klant voorafgaand aan verstrekking, conform artikel 9.1 van onze Verwerkersovereenkomst;

  • verstrekken wij uitsluitend de strikt noodzakelijke gegevens.

TriFact365 werkt niet vrijwillig mee aan verzoeken van autoriteiten zonder wettelijke verplichting.

Bij doorgifte van persoonsgegevens buiten de Europese Economische Ruimte gelden de waarborgen uit onze Verwerkersovereenkomst, waaronder de EU-standaardcontractbepalingen.

Vragen over compliance

Voor specifieke vragen over onze compliance-positie of voor het opvragen van bewijsstukken die niet publiek beschikbaar zijn, dient de Klant een verzoek in via onze contactpagina. Verzoeken worden geregistreerd en door het juiste team behandeld.

Gerelateerde documenten

Einde Trust Center TriFact365

TriFact365 B.V.
Arnhemseweg 10, 3817 CH Amersfoort, Nederland | KVK 30262227 | BTW NL820778540B01