Hosting en regio-eisen
Nederlandse hosting of anders EER-hosting moet expliciet bespreekbaar zijn zodra een kantoor daar eisen aan stelt voor dataregie, geheimhouding of leveranciersbeleid.
Veiligheid
Veilig werken moet druk verlagen, niet extra druk toevoegen.
In een druk kantoor wilt u niet alleen veilige techniek, maar ook heldere antwoorden op vragen over toegang, logging, leveranciers, dataopslag en de grens tussen ondersteuning en notarieel oordeel. Sigillum is bedoeld om juist die voorspelbaarheid terug te brengen.
Veiligheidsbasis
De veiligheidsbasis begint met scheiding, roltoegang, logging en expliciete dataregie.
Niet met losse certificeringskreten, maar met concrete ontwerpkeuzes die passen bij gereguleerd werk: een aparte public site, een aparte apphost, expliciete toegangsrollen, rate limiting op gevoelige flows, controleerbare logging en beveiligde verbindingen buiten development.
Publieke site en apphost gescheiden
sigillum.nl en app.sigillum.nl vervullen een andere rol en worden daar technisch ook naar
ingericht.
Dataregie inclusief hosting en subverwerkers
Opslaglocatie, toegangsrechten, leveranciersketen en exit worden niet weggestopt maar horen bij
een serieus eerste gesprek.
Mens in de lus bij geheimhouding en oordeel
Niet alleen toegang, maar ook art. 22 Wna geheimhouding, WWFT-verantwoordelijkheid en menselijk
oordeel blijven expliciet begrensd.
AVG/GDPR, verwerkersovereenkomst en DPIA
Privacy-afspraken horen niet in een voetnoot. Verwerkingsdoelen, verwerkersketen, subverwerkers en de vraag of een DPIA nodig is moeten vroeg helder zijn.
Rollen, logging en rate limiting
Een gereguleerde werkomgeving vraagt minimale toegang, duidelijke rolverdeling, toetsbare logging en begrenzing op gevoelige toegangsacties zoals login en herstelstromen.
Art. 22 Wna, WWFT en menselijke beoordeling
Ondersteuning mag helpen structureren, samenvatten en signaleren, maar poortwachterstaken, geheimhouding en notarieel oordeel blijven menselijk en kantoorverantwoordelijk werk.
Wat kantoren terecht vragen
Vertrouwen ontstaat door concrete antwoorden, niet door algemene veiligheidstaal.
In de praktijk gaan de eerste vragen niet alleen over techniek, maar ook over documenten, normenkaders en de grens van digitale ondersteuning.
Welke kaders raken dit?
AVG/GDPR, WWFT, art. 22 Wna, BIO en NIS2 kunnen allemaal meespelen. Waar relevant raken gesprekken ook aan leverancierskaders zoals ISO 27001 of NEN 7510, zonder daar publieke claims van te maken.
Welke documenten moeten op tafel kunnen?
Denk aan verwerkersovereenkomst, subverwerkersinformatie, DPIA-afwegingen, incidentproces, logging-afspraken en antwoorden over export of exit.
Hoe blijft continuiteit beheersbaar?
Ook de vraag wat er gebeurt bij migratie, export of beëindiging hoort vroeg op tafel, juist omdat dossiers en kantoorprocessen bedrijfskritisch zijn.
Wat mag digitale ondersteuning wel en niet doen?
Ondersteuning mag helpen bij structureren, samenvatten of signaleren, maar beoordeling, uitleg, poortwachtersoordeel en besluitvorming blijven bij het kantoor en de notaris.
Ontwerpprincipes
De veiligheidslaag moet passen bij vertrouwelijkheid, poortwachterschap en dagelijkse werkdruk.
Mens in de lus
Ondersteuning helpt voorbereiden en signaleren, maar neemt geen notarieel oordeel of rechtsgevolg over.
Dataregie per kantoorcontext
Nederlandse hosting of anders EER-hosting, subverwerkers en locatie-eisen moeten onderdeel zijn van de scope zodra een kantoor dat verlangt.
Uitlegbaarheid
Teams moeten kunnen begrijpen waarom een signaal, suggestie of vervolgstap in beeld komt.
Controleerbare logging
Belangrijke handelingen en toegangspatronen moeten toetsbaar blijven waar het werk of toezicht daarom vraagt.
Scheiding van context
Publieke oriëntatie, applicatietoegang en kantoorwerk horen niet door elkaar te lopen als ze andere risico’s dragen.
Aparte loginflow voor de app
De productsite verkoopt en oriënteert. De applicatiehost is bedoeld voor aanmelding, herstel en dagelijks gebruik binnen de werkcontext van het kantoor.
Beveiligde cookies en rate limiting
De applicatielaag gebruikt beveiligde authenticatiecookies, Data Protection en begrenzing op gevoelige toegangsacties zoals login.
Praktische afstemming per kantoor
Hostingkeuze, privacy-afspraken, verwerkersovereenkomst, toegangsrechten, logging en de concrete inrichting van demo of uitrol bespreken we altijd in de context van uw kantoorpraktijk.
Wilt u de publieke samenvatting van onze veiligheids- en compliance-lijn lezen?
Voor eerste oriëntatie hebben we ook een aparte pagina waarin dataregie, menselijke verantwoordelijkheid, logging, leveranciersketen en exit in één lijn worden samengebracht.
Voor kritische eerste vragen
Vragen over veiligheid