Developer aan het werk met live productie-data

Even eerlijk over je data

Jouw bedrijfsdata, bij ons in veilige handen.

Wij zijn ISO 27001 gecertificeerd. Onze AI leert nooit van jouw data en de modelkeuze ligt vast in de verwerkersovereenkomst. Bij maatwerk-projecten werken we alleen met lees-rechten. Geen kletspraat over veiligheid, wel concrete afspraken die elke ICT-manager kan natrekken.

Stel je vraag Privacy-statement

Geen kletspraat over veiligheid

Wat ISO 27001 écht verandert.

Geen certificaat dat je aan je muur hangt, maar vier dingen die veranderen aan hoe een organisatie zich gedraagt. Concreet:

Beleid op papier én in de praktijk

Geen PDF in een la. Elke medewerker tekent het, training jaarlijks, audit halfjaarlijks. Wij krijgen jaarlijks bezoek van een externe auditor die het stempelt.

Toegang is rolgebaseerd

Niemand bij skrepr ziet jouw data zomaar. Devs krijgen alleen toegang als ze aan jouw project werken. Elke aanmelding via SSO en 2FA, elke actie gelogd, herleidbaar.

Incident-response binnen 24 uur

Datalek of vermoeden daarvan? Wij melden binnen 24 uur bij jou plus de wettelijke meldpunten. Procedure ligt klaar en is getest in oefenscenario's, niet pas dán uitgevonden.

Externe audit, niet zelf-ingevuld

Onafhankelijke auditor controleert ons elk jaar. Geen "we doen ons best", maar een stempel van iemand die jou niets verschuldigd is. Audit-rapport delen we op verzoek.

Onze AI, geen olifant in de kamer

Wat we wel en niet doen met AI op jouw data.

ICT-managers vragen vaak: gaat onze database straks een ChatGPT trainen? Korte versie: nee. Hier is de lange versie.

Wat wij wel doen

  • Claude (Anthropic) als werkpaard, met privacy-instellingen aan

    In bijna alle projecten gebruiken we Claude. Training-feedback uit, Zero Data Retention waar mogelijk, datatransfer onder de standaard EU-modelclausules (SCC's). Voor data die de EU absoluut niet uit mag: self-hosted Llama op jouw infra.

  • Per use-case bepalen welke velden de prompt in mogen

    Gevoelige kolommen blijven achter. Het model krijgt nooit een volledige tabel-dump van jouw database.

  • Elke AI-aanroep gelogd en herleidbaar

    Welke dev, welk project, welke prompt, welke output. Audit-trail op verzoek deelbaar met jouw security-team.

  • Modelkeuze vastgelegd in de verwerkersovereenkomst

    Welke modellen, voor welk doel, met welke retention, op welk juridisch kader. Geen verrassingen halverwege het project.

Wat wij nooit doen

  • Geen training-feedback aan welk model dan ook

    Bij alle modellen waar we mee werken staat de training-feedback uit. Jouw data leert geen Claude en geen Mistral.

  • Geen onbenoemde modellen achter de schermen

    We gebruiken nooit een AI-dienst die niet in de verwerkersovereenkomst staat, ook niet voor "snel even iets checken".

  • Geen volledige database in een prompt

    Geen "voor de zekerheid alles meegeven". Alleen de regels en velden die voor de specifieke vraag nodig zijn.

  • Geen modellen zonder DPA en SCC's

    Voordat we een AI-leverancier toevoegen aan een project, ligt vast: waar zit de data, hoe lang, wat is het juridisch kader, wie kan erbij. Geen "lijkt me wel veilig".

Eerst de sleutel, dan het werk

Zo regelen we toegang bij maatwerk-projecten.

Voorbeeld: jij hebt een database vol klant-data, wij hebben analyse nodig. Hier zijn de drie stappen die we altijd doorlopen, in deze volgorde. Geen uitzonderingen.

Database-toegang configureren met read-only user

Stap 1, de sleutel

Read-only en gescheiden

We vragen een aparte read-only-user op een staging-replica, of als dat niet kan: direct op productie met read-only. Nooit schrijfrechten zonder expliciet verzoek per opdracht.

VPN-verbinding tussen Skrepr en klant-netwerk

Stap 2, het pad

VPN of IP-whitelist

Geen open poorten naar internet. We verbinden via jouw VPN, of jouw firewall whitelist't ons vaste kantoor-IP (87.195.121.25). Verbinding gelogd aan jouw kant én onze kant.

Toegang ingetrokken na project, met logboek

Stap 3, opruimen

Toegang dicht na oplevering

Project klaar betekent: wachtwoord ingetrokken, VPN-account verwijderd, IP-whitelist opgeschoond. Wij houden een logboek bij dat aantoont wanneer toegang is afgesloten.

Papieren? Ook geregeld

Documenten die we op verzoek aanleveren.

Voor een discovery-call hoef je niets te tekenen. Voor langere trajecten waar wij continu bij data komen, leveren we deze documenten standaard. Mail info@skrepr.com, je hebt 'm dezelfde dag.

DPA

Verwerkersovereenkomst

Standaard-template gebaseerd op de EU-modelclausules, in NL of EN. Onderdeel van elke maatwerk-opdracht waar wij continu bij klantdata komen.

Vraag DPA op →

Certificaat

ISO 27001-certificaat

Recent certificaat plus laatste audit-rapport van onze externe auditor. Voor jouw eigen leveranciers-dossier of compliance-check.

Vraag certificaat op →

Per project

AI-gebruiks-overzicht

Per opdracht een overzicht: welke modellen, welke data-velden, met welke retention. Standaard onderdeel van langere AI-trajecten, los aan te vragen voor één-malig.

Vraag overzicht op →

Veelgestelde, kort beantwoord

Vragen die we al vaak hebben gehoord, met antwoord.

Heeft jouw ICT-collega ook een vraag? Stuur 'm gerust deze pagina door, of laat hem rechtstreeks bellen of mailen.

Welke AI-modellen gebruiken jullie?
In bijna alle projecten Claude (Anthropic). Anthropic is een Amerikaans bedrijf, dus de data-verwerking valt onder de standaard EU-modelclausules (SCC's). Belangrijk: training-feedback staat overal uit en we gebruiken Zero Data Retention waar mogelijk, vastgelegd in de DPA. Voor data die de EU absoluut niet uit mag schakelen we over op self-hosted Llama in jouw eigen cloud of VPC. Modelkeuze ligt per project vast, geen onbenoemde tools achter de schermen.
Wordt onze data gebruikt voor training?
Nee. Bij alle modellen waar we mee werken staat training-feedback uit. Voor cloud-modellen via de API-instellingen, voor self-hosted is dat sowieso niet aan de orde.
Hoe lang houden jullie onze data?
Project-data tijdens project plus 30 dagen voor handover-vragen, daarna geanonimiseerd of weg. Concrete retention per opdracht vastgelegd in de DPA.
Welke medewerkers krijgen toegang?
Alleen het projectteam dat aan jouw opdracht werkt. Toegang via SSO plus 2FA, gelogd per actie, herleidbaar naar de medewerker. Lijst op verzoek deelbaar.
Wat gebeurt er bij een datalek?
Binnen 24 uur melding aan jou plus de wettelijke meldpunten (Autoriteit Persoonsgegevens als nodig). Procedure ligt klaar, getest in oefenscenario's, niet pas dán uitgevonden.
Mogen jullie onze data zien tijdens onderzoek?
Alleen als jij dat goedkeurt. Bij discovery-calls werken we vaak met geanonimiseerde voorbeelden of dummy-data. Productie-data alleen bij maatwerk-opdrachten waar het functioneel nodig is, en altijd via read-only.
Hoe weten we zeker dat jullie zich aan ISO houden?
Externe auditor doet jaarlijks de audit en het rapport delen we op verzoek. Daarnaast vul ik graag jouw eigen security-questionnaire in, ben gewend aan de standaardlijstjes (NIS2, SOC 2, AVG-gap).

Vraag aanwezig?

Trek aan de bel.

ICT-managers met data-vragen bellen we het liefst gewoon terug. Of mail info@skrepr.com voor de schriftelijke versie, dan reageer ik dezelfde dag.

Bel 0527 70 10 15 Mail info@skrepr.com

of stuur deze pagina door aan je ICT-collega