Home › Vertrouwen › Bewijsdossier informatiebeveiliging
VertrouwenscentrumBewijsdossier informatiebeveiliging
Geen ISO-certificaat, wel de bewijslast: per eis de invulling, het bewijs en hoe je het als klant verifieert. De zes domeinen van de veiligheidspagina, uitgewerkt.
Dit is het document dat mansotti.com/veiligheid/ belooft: "Vraag het bewijsdossier op: per eis de invulling en het bewijs." Het is deelbaar met (potentiële) klanten die mailen naar [email protected] met onderwerp "Bewijsdossier informatiebeveiliging".
Eerlijke positionering (altijd zo brengen): Mansotti is niet ISO 27001-gecertificeerd. We hebben de werkwijze ingericht langs de eisen van die norm en maken per eis aantoonbaar hoe we eraan voldoen. Certificering zegt iets over het auditproces; dit dossier gaat over de praktijk — en die is verifieerbaar. Formele certificering staat op de agenda zodra de omvang dat rechtvaardigt.
De zes domeinen hieronder zijn exact de zes tegels op /veiligheid/ en dekken de kern van ISO 27001 bijlage A voor een dienstverlener van onze omvang.
1. Beleid en risico's (A.5)
Invulling: per klant vastgelegde werkafspraken: wat de medewerker mag, welke data nodig is en waarom, wie goedkeurt, hoe geëscaleerd wordt. Geen livegang zonder getekende werkafspraken. Risico-afweging zit in de bronnenlijst: elke bron heeft een reden, elke beperking staat erbij. Bewijs: werkafspraken template (leeg) + het ingevulde exemplaar van de klant zelf. Verificatie door klant: je hebt je eigen exemplaar; leg het naast de praktijk.
2. Toegangsbeheer (A.5.15-5.18, A.8)
Invulling: eigen accounts per klantomgeving, toegang per rol, niets gedeeld tussen klanten. De klantomgeving draait op een dedicated Mac mini die eigendom is van de klant. Mansotti-toegang is beperkt tot beheer en wordt vastgelegd. Bewijs: accountenlijst per klantomgeving (in het klantdossier). Verificatie door klant: schermdeling-demo — we laten live zien welke accounts toegang hebben en welke niet. Demo-script: (1) accountoverzicht van de omgeving, (2) rolrechten per bron, (3) een geweigerde toegang buiten de bronnenlijst.
3. Dataminimalisatie en versleuteling (A.5.12-5.14, A.8.24)
Invulling: alleen bronnen uit de bronnenlijst zijn toegankelijk; per bron staat vastgelegd waarom. Opslag versleuteld (FileVault op de Mac mini), verkeer versleuteld (TLS naar alle diensten). AI-verwerking via de zakelijke voorwaarden van Anthropic; klantdata wordt door ons nooit gebruikt voor modeltraining of andere klanten. Bewijs: bronnenlijst in de werkafspraken; FileVault-status (aantoonbaar in de schermdeling); subverwerkers met waarborgen. Verificatie door klant: de bronnenlijst is opvraagbaar en de FileVault-status tonen we in dezelfde schermdeling.
4. Logging en controle (A.8.15-8.16)
Invulling: elke run logt wat er is gelezen, wat er is klaargezet en dat er niets zonder mens is verstuurd (veld verstuurd_zonder_mens, altijd 0). Dagrapport als samenvatting, JSONL als bron van waarheid, 12 maanden bewaard in de klantomgeving. Wekelijkse systeemcontrole op gaten in het log. Bewijs: logging protocol + de logs van de klantomgeving zelf. Verificatie door klant: periode-export van de eigen logs, op verzoek, binnen 5 werkdagen.
5. Leveranciers en subverwerkers (A.5.19-5.23)
Invulling: vaste, korte lijst subverwerkers (Anthropic, Apple, Google, Cloudflare) met per partij rol, locatie en waarborgen. Wijzigingen minimaal 14 dagen vooraf voorgelegd aan elke actieve klant. Bewijs: subverwerkers inclusief wijzigingslog; de lijst zit als bijlage 3 bij elke verwerkersovereenkomst. Verificatie door klant: vergelijk de bijlage bij jouw contract met de actuele lijst; wijzigingen moet je vooraf hebben ontvangen.
6. Incidenten en continuïteit (A.5.24-5.30)
Invulling: meldproces met harde termijnen (datalek: melding binnen 24 uur; informatie voor de 72-uurs AP-melding van de klant; afsluitrapport binnen 10 werkdagen). Incidentregister, ook voor bijna-incidenten. Herstelbare inrichting: klantbrein en werkwijze staan los van de hardware en worden gebackupt (2x daags, lokaal + offsite). Bewijs: incident meldproces (bijlage 4 bij de VWO), incidentregister, backuplog. Verificatie door klant: de termijnen staan in jouw getekende overeenkomst; het incidentregister voor jouw omgeving is opvraagbaar.
Onderhoud van dit dossier
- Bij elke wijziging in werkwijze, leverancier of techniek: versie ophogen, datum bijwerken, wijziging benoemen.
- Dit dossier moet altijd sporen met de zes tegels op mansotti.com/veiligheid/ — wijzigt het één, wijzig dan ook het ander.
| Versie | Datum | Wijziging |
|---|---|---|
| 1.0 | 2026-07-18 | Eerste versie, gelijk met de ISO-sectie op /veiligheid/ |
Vragen over dit document?
Mail ons of stel ze in de demo. Ondertekende exemplaren en klantspecifieke versies gaan per mail.