trust center · stand per 2026-04-20

Trust Center

Onze volledige stand van zaken op het gebied van security, privacy en governance. Niet als marketing — als verantwoording.

sectie b

Kernbelofte

Voor overheden is soevereiniteit geen voorkeur maar verplichting. EU AI Act, AVG, NIS2, BIO — elke regel stelt eisen aan hoe je met data, modellen en besluitvorming omgaat. Wij hebben die eisen niet vertaald naar een checklist-pagina. We hebben ze gebouwd in de architectuur.

sectie c

Data-klasse-gedreven architectuur

Vier klassen. Per klasse: wie mag het zien, welk AI-model mag het aanraken, waar mag het draaien.

L2Geheim

PII, klacht- en meldingsdata

Persoonsgegevens, klachtdossiers, medische info. Draait op een zelf-gehost open model (Llama, Qwen, Mistral) via Ollama, binnen klant-infrastructuur of een MurmurWorks OnPremise-omgeving. Data verlaat de klantomgeving fysiek niet — ook niet voor embeddings of indexering. Strikt need-to-know toegang, altijd gelogd.

AI-provider
Zelf-gehost open model (Ollama)
Hosting
Klant-infrastructuur of MurmurWorks OnPremise

Eén platform. Vier veiligheidsklassen. De classificatie bepaalt automatisch welk AI-model de data mag raken. Geen instelling — architectuur.

sectie d

Vier pijlers

Security Model Selection, EU AI Act, AVG, menselijke regie — klik door voor de volledige uitwerking.

Security Model Selection

Murmur | Works kiest het AI-model per taak én per datagevoeligheid. Een openbaar nieuwsartikel mag een frontier-model raken voor maximale kwaliteit; een klachtdossier met bijzondere persoonsgegevens raakt fysiek onmogelijk een commerciële cloud. De keuze is geen instelling, maar architectuur.

Hoe dat werkt

EU AI Act ready

Menselijke regie, risico-management, technische documentatie, audit-log — de verplichtingen van de Act zijn ingebouwd, niet achteraf geplakt. Werken we voor een high-risk toepassing? Dan activeren we de zwaardere set (conformiteitsbeoordeling, registratie in EU-database).

Onze Act-positionering

AVG ingebouwd, niet achteraf

Jouw data blijft op Nederlandse of EU-bodem. Wij zijn verwerker, jij verantwoordelijke — met standaard verwerkersovereenkomst volgens art. 28. Extra gevoelige gegevens staan strikt gescheiden opgeslagen, met eigen beveiliging. Alle data is versleuteld — in opslag én onderweg. Wanneer een burger verwijdering vraagt, verwijderen we écht alles: ruwe data, afgeleide analyses, kopieën.

DPIA-template opvragen

Altijd mens-beslist, altijd navolgbaar

Elke uitgaande actie vereist menselijke goedkeuring. Elke AI-aanroep wordt gelogd — welk document, welk model, welke prompt, welk antwoord, welke classificatie. Onveranderbaar opgeslagen, per kwartaal geanonimiseerd gerapporteerd.

Voorbeeld-transparantierapport

sectie e

Certificeringen & roadmap

Norm / framework Status Doel
AVG-conformiteitGeborgd in architectuur + VWOLopend
EU AI Act (GPAI)ConformerendVan kracht aug 2026
ISO 27001In voorbereidingQ4 2026
NEN 7510 (zorg-variant)OverwegenAfhankelijk van marktvraag
BIO (Baseline Overheid)Gap-analyse geplandQ3 2026
NIS2Afhankelijk van klant-categorisatieOnderzoek 2026
Pen-test (extern)Jaarlijks vanaf 2026 Q3Lopend
SOC 2 Type IINiet geplandEU-markt, ISO 27001 prevaleert

sectie f

Eerlijke gap-analyse

Wat we (nog) niet hebben:

  • Geen SOC 2 (prioriteit: Europese normen)
  • Nog geen formeel 24/7 SOC (wel on-call + monitoring)
  • Pen-test is jaarlijks, niet continu (wel interne Dependabot + Snyk)
  • Red-team exercises: gepland Q4 2026, nog niet uitgevoerd
  • Model-card documentatie voor 3rd-party modellen: afhankelijk van provider-openbaarheid

sectie g

Meetbare beloftes

Ook in contracten opneembaar.

  • 100%

    van data boven L1 wordt nooit doorgezet naar commerciële cloud-providers

  • < 30 dagen

    verwerking AVG-inzage- of verwijderingsverzoek

  • 100%

    van uitgaande acties vereist menselijke goedkeuring

  • 1 werkdag

    inzage in volledig audit-spoor voor klant

  • 0%

    trainingsdata van klanten verlaat hun omgeving voor model-training

sectie h

Vraag het security-dossier op

Specifieke security- of privacyvragen van jouw jurist, DPO of CISO? Vraag ons security-dossier op — dan plannen we een inhoudelijk gesprek, geen sales-call.

Vraag het security-dossier op