Compliance

We stemmen overeen met internationale beveiligings- en AI-governancestandaarden om ervoor te zorgen dat ons platform voldoet aan de eisen van gereguleerde industrieën en zakelijke klanten.

Beveiligings- & privacy-standaarden

Onze interne controles zijn ontworpen volgens de ISO 27001-principes voor informatiebeveiligingsbeheer en NIS2-vereisten voor netwerk- en informatiebeveiliging. We streven naar formele ISO 27001- en NIS2-certificering met voltooiing gepland voor Q4 2025.

Op basis van deze basis zullen we tegen het einde van Q2 2026 certificeringen behalen voor ISO 27017 (beveiliging van clouddiensten), ISO 27018 (bescherming van persoonlijk identificeerbare informatie in openbare clouds), ISO 42001 (AI-managementsystemen) en NEN 7510 (informatiebeveiliging in zorgomgevingen).

Onze nalevings- en assurantierapportage volgt de ISAE 3402- en SOC 2 Type II-standaarden, die onafhankelijke verificatie van onze controleomgeving bieden. We streven naar beide certificeringen met afronding gepland voor Q4 2026, zodat klanten toegang hebben tot uitgebreide onafhankelijke auditrapporten over de doeltreffendheid van onze controles.

Europese regelgevingsconformiteit

Als een Europees AI-platformbedrijf ontwerpen we onze operaties om vanaf de basis te voldoen aan de EU-regelgevingseisen. Onze infrastructuur en gegevensverwerkingspraktijken zorgen voor volledige naleving van de Algemene Verordening Gegevensbescherming (AVG), zoals beschreven in onze sectie Gegevensprivacy. We stemmen onze beveiligingscontroles af op de vereisten van de Richtlijn Netwerk- en Informatiebeveiliging (NIS2) voor essentiële en belangrijke entiteiten, waarbij we veerkracht en incidentresponsmogelijkheden waarborgen die voldoen aan de EU-cybersecuritynormen.

We houden actief toezicht en bereiden ons voor op de vereisten van de EU AI Act, waarbij we klaar zijn voor verplichtingen zodra ze van kracht worden. Onder het classificatiekader van de AI Act fungeert GLBNXT als een aanbieder van algemene AI-infrastructuur (GPAI). De uiteindelijke risicoclassificatie van AI-systemen die op ons platform zijn gebouwd, hangt af van specifieke klantgebruikscasussen en implementatiecontexten. We bieden klanten documentatie en hulpmiddelen om hun eigen verplichtingen inzake AI Act-naleving te ondersteunen bij het implementeren van AI-systemen via ons platform.

AI Governance Framework

Ons AI-governancemodel is gebaseerd op zes fundamentele pijlers afkomstig van ons eigen AI Maturity Framework. Deze pijlers begeleiden hoe we AI-mogelijkheden op ons platform ontwerpen, implementeren en monitoren.

We beginnen met systematische risico-identificatie, waarbij we potentiële schade en ongewenste gevolgen van AI-systemen vóór implementatie beoordelen. Onze gegevenskwaliteits- en biascontrolprocessen zorgen ervoor dat trainingsgegevens representatief zijn, regelmatig gevalideerd worden en worden gecontroleerd op potentiële vooroordelen die kunnen leiden tot oneerlijke of discriminerende uitkomsten.

Menselijk toezicht blijft centraal staan in onze aanpak. We ontwerpen systemen die ervoor zorgen dat mensen de controle houden over kritieke beslissingen, met duidelijke escalatiepaden en de mogelijkheid om geautomatiseerde aanbevelingen te negeren. Onze betrokkenheid bij verklaarbaarheid en transparantie betekent dat we duidelijke informatie geven over hoe AI-modellen beslissingen nemen, welke gegevens ze gebruiken en de beperkingen van hun mogelijkheden.

Verantwoordelijkheid en controleerbaarheid zijn ingebed in onze platformarchitectuur. We houden uitgebreide logs bij van AI-systeemgedrag, beslissingen en interventies, wat zowel intern toezicht als klantenaudits mogelijk maakt. Dit ondersteunt onze laatste pijler van continue verbetering, waarbij we systematisch AI-systeemprestaties evalueren, leren van incidenten en onze benaderingen verfijnen op basis van uitkomsten in de echte wereld.

Auditrechten & assurantierapportage

Zakelijke klanten hebben het recht om bewijs te verzoeken van onze beveiligings- en nalevingscontroles. We bieden ons document Beveiliging & Governance Overzicht, dat de organisatorische verantwoordelijkheden, technische en administratieve controles, gegevensverwerkingsprocessen en onze certificeringsroutekaart samenvat. Na voltooiing van onze SOC 2-audit zullen we Type II-rapporten onder NDA beschikbaar stellen aan klanten.

Klanten met specifieke auditvereisten kunnen aanvullende documentatie aanvragen of, in het geval van zakelijke overeenkomsten, auditrechten onderhandelen die onafhankelijke beoordeling van onze controles mogelijk maken die relevant zijn voor hun gebruik van het platform.

Onderaannemer-naleving

We houden onze onderaannemers en subprocessors aan dezelfde hoge normen die we toepassen op onze eigen operaties. Voordat we een derde partij inschakelen die klantgegevens zal verwerken of kritieke platformfuncties zal ondersteunen, voeren we due diligence uit om hun beveiligingscertificeringen, nalevingspositie en naleving van relevante regelgevingsvereisten te verifiëren. Onze onderaannemingsovereenkomsten bevatten specifieke beveiligings- en nalevingsverplichtingen, met voortdurende monitoring om aanhoudende naleving te waarborgen.

Een volledige lijst van onderaannemers en hun nalevingsreferenties wordt op ons platform onderhouden en is beschikbaar voor klanten.

Regelgevingsmonitoring & aanpassing

Het regelgevingslandschap voor AI en gegevensbescherming blijft zich snel ontwikkelen. We houden actief toezicht op regelgevingsontwikkelingen op EU- en lidstaatniveaus en onderhouden relaties met juridische adviseurs die gespecialiseerd zijn in technologieregelgeving. Dit zorgt ervoor dat we nieuwe vereisten kunnen anticiperen en ons platform en onze praktijken proactief kunnen aanpassen in plaats van reactief.

We communiceren aanzienlijke regelgevingsveranderingen die onze klanten kunnen beïnvloeden via ons klantportaal en directe communicatie, waarbij we richtlijnen geven over eventuele acties die klanten moeten ondernemen om hun eigen conformiteit te handhaven.