De exacte mapping. Kies een standaard, vind het control, kopieer het bewijs in je audit. Wij hebben het kruisverwijzingswerk al gedaan.
Gedekte standaarden
Laatst herzien: 1 mei 2026
De internationale standaard voor informatiebeveiligingsmanagementsystemen. Dekt organisatorische, persoonlijke, fysieke en technologische controls. Door vrijwel elke gereguleerde EU-koper gezien als de basis van “deze leverancier neemt beveiliging serieus.”
De Nederlandse standaard voor informatiebeveiliging in de zorg. Gebouwd op dezelfde ISO 27002-controlcatalogus als ISO 27001, met zorg-specifieke aanvullingen voor patiëntdata, BSN-verwerking en toestemming. De facto-standaard voor elk systeem dat Nederlandse medische dossiers verwerkt.
Een getekende verwerkersovereenkomst is onderdeel van de standaard onboarding. Uw verwerkingsgrondslag onder de AVG is daarmee formeel geborgd vanaf dag één.
Uw data staat in Amsterdam, bij Europese provider Scaleway. Buiten bereik van de Amerikaanse Cloud Act, volledig binnen Europese jurisdictie.
Databeamer biedt inhoudelijke conformiteit op de meeste pijlers van NTA7516. Dankzij onze hybride post-quantum encryptie bieden wij een beschermingsniveau dat verder gaat dan de huidige standaardvereisten van de NTA 7516. Wij volgen de ontwikkelingen van de nieuwe NEN7531/32 actief.
Persoonsgegevens verwerken conform de wet, en dat ook aantonen. Databeamer legt elke stap automatisch vast, dwingt bewaartermijnen af en regelt de doelbinding per dossier.
Strengere cyberbeveiligingseisen voor essentiële en belangrijke entiteiten. Databeamer ondersteunt uw verplichtingen op het gebied van toegangscontrole, incidentlogging en veilige ketenuitwisseling.
Digitale weerbaarheid voor financiële instellingen. Databeamer helpt u bij third-party risicobeheer, auditlogging en volledig traceerbare gegevensuitwisseling conform DORA.
Voor verschillende toepassingen wordt Databeamer ingezet om voorgeschreven processen te volgen. Denk aan meldkanaal in het kader van de Wet bescherming klokkenluiders of besloten communicatiekanaal volgens de Wet op de Ondernemingsraden.
Eenmaal opgeslagen, altijd bewaard. Databeamer dwingt het WORM-principe (Write Once, Read Many) af op dossierniveau: bestanden en berichten kunnen niet worden aangepast of verwijderd zolang de bewaartermijn loopt. Zo kunt u bij een audit of inzageverzoek altijd de originele, ongewijzigde versie overleggen.
6 van 6 controls
De organisatie moet de eisen voor het behoud van privacy en bescherming van persoonsgegevens identificeren en hieraan voldoen, conform geldende wet- en regelgeving en contractuele verplichtingen.
Alle persoonsgegevens worden op het apparaat van de gebruiker versleuteld met ChaCha20-Poly1305 vóórdat ze de Databeamer-infrastructuur bereiken. Sleutels worden via 2-uit-3 secret sharing verdeeld tussen het apparaat, het herstelaandeel van de gebruiker en het serveraandeel, Databeamer heeft nooit een complete sleutel. Server-zijde wordt alleen ciphertext opgeslagen. Zie /technology voor het volledige sleutelbeheermodel.
Processen voor aanschaf, gebruik, beheer en exit van clouddiensten moeten zijn vastgesteld conform de informatiebeveiligingseisen van de organisatie.
Databeamer draait uitsluitend op Europese infrastructuur (Scaleway, Nederland). Geen data, metadata of backups verlaten de EU. Identiteit en authenticatie draaien op Zitadel (EU-gehost). Bij exit kunnen klanten alle versleutelde blobs exporteren en aan hun kant opnieuw versleutelen; omdat Databeamer de sleutels nooit had, is er geen kopie om achter te houden na opzegging.
Regels voor effectief gebruik van cryptografie, inclusief sleutelbeheer, moeten worden gedefinieerd en geïmplementeerd.
Symmetrische encryptie gebruikt ChaCha20-Poly1305 AEAD met per-block deterministische nonces en AAD gebonden aan bestand-id en blokpositie. Sleutelinkapseling is hybride X25519 + ML-KEM-768 (post-quantum). Handtekeningen zijn hybride Ed25519 + ML-DSA-65. Sleutels worden afgeleid via HKDF-SHA512 + Argon2id uit een hoofdgeheim dat via 2-uit-3 Pedersen VSS is gesplitst. Volledige primitieve verwijzingen op de technologiepagina.
Veilige authenticatietechnologieën en -procedures moeten worden geïmplementeerd op basis van beperkingen op informatietoegang en het beleid voor toegangscontrole.
Authenticatie wordt gedelegeerd aan Zitadel (OIDC), met ondersteuning voor MFA, social login en enterprise SSO (SAML, OIDC). Magic-link-flows voor externe samenwerking gebruiken scoped opaque tokens met beperkte TTL. Alle toegang loopt via een Cerbos PDP die per request fijnmazig, rol-bewust beleid afdwingt.
Informatie opgeslagen in informatiesystemen, apparaten of andere opslagmedia moet worden vernietigd wanneer deze niet meer nodig is.
Databeamer dwingt WORM-conforme bewaartermijnen af, configureerbaar per werkplek, dossier of categorie. Wanneer een termijn afloopt, wordt de versleutelde blob vernietigd en sleutelmateriaal geroteerd, waardoor herstel cryptografisch onmogelijk wordt. De klant blijft verantwoordelijk voor het instellen van bewaartermijnen die passen bij hun wettelijke verplichtingen (bijv. NEN 7510 §15 jaar voor medische dossiers).
De klant moet bewaartermijnen instellen volgens de eisen van zijn sector; Databeamer levert de technische handhaving.
Maatregelen ter voorkoming van datalekken moeten worden toegepast op systemen, netwerken en andere apparaten die gevoelige informatie verwerken, opslaan of versturen.
De zero-knowledge architectuur elimineert de meest voorkomende lekvector: een server-side inbraak levert alleen ciphertext op, onleesbaar zonder sleutels die Databeamer niet bezit. Versleutelde blobs bevatten AAD-gebonden metadata, wat blok-substitutie-aanvallen voorkomt. Client-ondertekende auditrecords detecteren elke wijziging. Er is geen shadow-database, geen AI-trainingspipeline en geen telemetrie die platte tekst exfiltreert.