Assurance · 2026

Hoe wij werken aan aantoonbaar vertrouwen.

Comply24 is een jong IT-platform. Wij zijn open over waar we staan, wat we al geborgd hebben en wat er nog op de agenda staat. Op deze pagina lichten we onze assurance-roadmap toe.

Onze positie

Wij zijn eerlijk over onze leeftijd.

Comply24 lanceert op 1 juli 2026. Dat betekent dat we op dit moment nog geen jarenlange productiehistorie kunnen laten zien. We kunnen vandaag dan ook nog geen formele assurance over de werking van onze controls afgeven — dat vereist productiedata en onafhankelijke toetsing die we in de loop van 2026 opbouwen.

Wat we wél kunnen doen, is laten zien hoe ons platform technisch is opgebouwd, welke assurance-stappen we plannen en wanneer klanten welk bewijs van ons kunnen verwachten.

Geen assurance zonder bewijs

Wij geven geen verklaringen af die we nog niet kunnen onderbouwen. Onze assurance-aanpak is gefaseerd en gebaseerd op objectieve, onafhankelijk verifieerbare bewijsstukken.

Direct contact

Heeft u specifieke vragen over onze assurance-status? Stuur een mail naar info@comply24.nl — wij antwoorden binnen één werkdag.

Assurance-roadmap · 2026

Wat u van ons kunt verwachten, en wanneer.

We leggen drie concrete mijlpalen vast. Per kwartaal weten onze klanten precies welk bewijs we kunnen overleggen.

Nu · 2026

Transparantie over architectuur en ontwerp

Vanaf vandaag delen we openlijk hoe onze infrastructuur, AI-systemen en interne processen zijn opgezet. Klanten krijgen inzage in onze technische keuzes — niet na ondertekening van een NDA, maar als standaard onderdeel van ons partnerschap.

🏗️

Publieke architectuurpagina

Onze infrastructuuropzet, DTAP-aanpak, Kubernetes-isolatie en GitOps-werkwijze zijn gedocumenteerd en beschikbaar voor klanten.

🤖

AI Governance-aanpak gedocumenteerd

Elk AI-systeem doorloopt een gedocumenteerd lifecycle-proces met functiescheiding, validatie en een onwijzigbaar audit trail — vóór livegang.

🔒

Tenant-isolatie by design

Klantdata is technisch geïsoleerd per tenant via dedicated vclusters en eigen databases. Uw klantdata is volledig afgeschermd voor Comply24-medewerkers.

Q3 2026

ISO 27001-certificering en penetratietest

In Q3 2026 starten we twee trajecten die samen de basis vormen voor formele security-assurance. Beide resultaten worden actief met klanten gedeeld.

📋

ISO 27001-certificaat Gepland Q3

ISO 27001 is de internationale standaard voor informatiebeveiliging. Een onafhankelijke certificerende instantie beoordeelt of ons informatiebeveiligingsmanagementsysteem aantoonbaar werkt. Het certificaat is na afgifte direct beschikbaar voor klanten.

🔍

Penetratietest Gepland Q3

Een externe security-specialist test onze infrastructuur en applicatie op kwetsbaarheden. De samenvatting van de bevindingen en de afdoening ervan delen we met klanten — inclusief bevestiging van de tenant-isolatie.

Q3 2026 – 2027

SOC 2-traject voor IT-infrastructuur

In Q3 2026 starten we het formele SOC 2-traject. Een SOC 2-rapport is een onafhankelijke accountantsverklaring over de werking van onze beveiligings- en beschikbaarheidscontrols — het goudstandaard bewijs dat financiële instellingen van hun leveranciers vragen.

⏱️

Observatieperiode Start Q3 2026

Een SOC 2 Type II-rapport vereist minimaal zes maanden aantoonbaar werkende controls in productie. We starten de observatieperiode direct na lancering op 1 juli 2026.

📄

SOC 2 Type II-rapport Verwacht medio 2027

Na de observatieperiode beoordeelt een onafhankelijke accountant de werking van onze controls. Het rapport wordt beschikbaar gesteld aan klanten onder NDA.

Infrastructuur

Zo hebben wij onze infra gebouwd.

Beveiliging begint bij de architectuur, niet bij de audit. Onze infrastructuur is van de grond af opgezet met isolatie, aantoonbaarheid en betrouwbaarheid als basisprincipes.

🏔️

Immutable OS — geen handmatige serverinteractie

Alle servers draaien op Talos Linux, een onveranderlijk besturingssysteem zonder SSH-toegang of shell-login. Elke configuratiewijziging verloopt via versiebeheerde code — nooit handmatig.

🔐

Secrets in HashiCorp Vault — nooit in code

Wachtwoorden, API-sleutels en TLS-certificaten zijn opgeslagen in Vault en worden pas op het moment van gebruik tijdelijk beschikbaar gesteld. Er staan geen secrets in onze Git-repositories.

🗂️

GitOps — elke wijziging is traceerbaar

Alle infrastructuurwijzigingen verlopen via Git-commits en worden automatisch doorgevoerd door ArgoCD. Geen handmatige stappen, geen gaten in het audit trail.

Tenant-isolatie

Uw data is technisch afgeschermd.

Eigen vcluster per klant

Kubernetes-isolatie

Elke klant heeft een eigen virtual Kubernetes cluster met een eigen API-server. Technische doorbraak tussen klantomgevingen is niet mogelijk.

Eigen database per klant

Dedicated PostgreSQL-database

Klantdata staat nooit in een gedeelde database. Elke tenant heeft een eigen PostgreSQL-cluster met eigen credentials en eigen backups.

Break-glass procedure

Geen permanente medewerkers-toegang

Comply24-medewerkers hebben standaard geen toegang tot klantdata. Alleen via een formele noodprocedure — met tijdslimiet, logging en directe notificatie aan de klant — is tijdelijke toegang mogelijk.

Bevestigd in pentest · Q3 2026

Onafhankelijke validatie tenant-isolatie

De penetratietest van Q3 2026 bevestigt aantoonbaar dat de tenant-isolatie intact is. Resultaten worden met klanten gedeeld.

AI-systemen

Hoe wij onze AI in de hand houden.

Comply24 gebruikt AI om compliance- en riskprofessionals te helpen. Die systemen zijn nuttig — maar ze vereisen ook toezicht. Wij hebben een gestructureerd governance-proces ingebouwd voordat een AI-systeem live gaat.

📁

Lifecycle-dossier per AI-systeem

Elk AI-systeem doorloopt zeven vaste stappen — van idee tot buitengebruikstelling. Geen enkel systeem gaat live zonder goedkeuring door een onafhankelijke AI Governance Officer.

👥

Functiescheiding afgedwongen

De developer die een AI-systeem bouwt, kan het nooit zelf goedkeuren. Validatie, ethische beoordeling en productiegoedkeuring zijn drie afzonderlijke stappen door drie afzonderlijke rollen — technisch afgedwongen.

🔗

Onwijzigbaar audit trail

Elke beslissing, goedkeuring en testuitslag wordt vastgelegd in een logboek dat technisch niet meer aanpasbaar is — via cryptografische hash-chaining, vergelijkbaar met een blockchain.

🛡️

Data van onze klanten traint onze AI niet

Documenten en compliance-data van onze klanten worden nooit gebruikt om onze AI-modellen te trainen. De inhoud van onze klanten blijft binnen hun eigen afgeschermde omgeving op ons platform.

📊

Continue bewaking in productie

Productieve AI-systemen worden dagelijks automatisch gecontroleerd op gedragsafwijkingen. Bij overschrijding van drempelwaarden gaat automatisch een melding naar de beheerders.

🇪🇺

EU AI Act-conformiteit

Onze AI-systemen vallen onder de categorie Limited Risk conform de EU AI Act. Per systeem leggen wij een transparantieverklaring en bias-assessment vast als onderdeel van het lifecycle-dossier.

📅

ISAE 3000-verklaring op AI-systemen — verwacht medio 2027

Comply24 streeft ernaar als eerste GRC SaaS-aanbieder in Nederland een ISAE 3000-accountantsverklaring op zijn AI-systemen te behalen. Dit is een onafhankelijke verklaring die bevestigt dat onze AI aantoonbaar en controleerbaar werkt. De verklaring wordt aangevraagd na zes maanden productiedata — naar verwachting medio 2027.

Overzicht

Alles op één rij.

Assurance-instrument	Scope	Status	Timing
Architectuurdocumentatie	Infrastructuur, AI, ITSM	Beschikbaar	Nu
ISO 27001-certificaat	Informatiebeveiliging	Gepland	Q3 2026
Penetratietest (samenvatting)	Infrastructuur + tenant-isolatie	Gepland	Q3 2026
SOC 2 Type II-rapport	IT-infrastructuur en controls	In voorbereiding	Medio 2027
ISAE 3000 op AI-systemen	AI Governance	In voorbereiding	Medio 2027

Over dit overzicht. De planning hierboven geeft onze huidige verwachting weer. Wij communiceren wijzigingen actief naar onze pilotpartners. Vragen over een specifiek instrument? Mail info@comply24.nl.

Risicomitigatie · Voor klanten

Drie opties om risico's te beheersen.

We begrijpen dat klanten in gereguleerde sectoren niet kunnen wachten tot onze assurance-roadmap volledig is afgerond. Daarom bieden wij drie concrete opties waarmee je het risico van ontbrekende assurance direct kunt mitigeren — passend bij jouw eigen risicobereidheid en interne beleid.

Functionaliteit uitzetten via beheersinstellingen Beschikbaar bij lancering

Elke klant heeft een eigen beheerdersaccount waarmee specifieke platformfuncties per organisatie kunnen worden in- of uitgeschakeld. Wil je bijvoorbeeld voorkomen dat medewerkers eigen beleidsdocumenten uploaden zolang jij nog geen intern akkoord hebt op het gebruik van externe SaaS voor gevoelige documenten? Dan zet je die functie simpelweg uit — zonder dat dit de rest van het platform beïnvloedt.

⚙️

Granulaire controle per functie

Denk aan het uploaden van eigen policies, het toevoegen van interne documenten of het gebruik van specifieke AI-functies — alles is afzonderlijk te beheren.

👤

Beheer door eigen platformbeheerder

Instellingen worden beheerd door de door jou aangewezen platformbeheerder — geen afhankelijkheid van Comply24 voor dagelijkse configuratiekeuzes.

Toetsen zonder opslaan — éénmalige versleutelde verwerking Beschikbaar bij lancering

Wil je eigen documenten wel laten toetsen, maar ze niet permanent op het platform opslaan? Dan gebruik je de éénmalige verwerkingsmodus. Je document wordt versleuteld in het platform geladen, het gap assessment wordt uitgevoerd, en daarna wordt het document direct verwijderd. Alleen jij ontvangt het resultaat — als downloadbaar rapport. Niets wordt bewaard.

🔐

Document versleuteld geladen, niet opgeslagen

Het document wordt eenmalig encrypted verwerkt voor het gap assessment en daarna automatisch verwijderd. Er blijft geen kopie op het platform achter.

📥

Resultaat als downloadbaar rapport

De uitkomst van het gap assessment ontvang je als downloadbaar document. Ook dit rapport wordt niet opgeslagen in het platform.

📊

Alleen metadata voor AI-driftbewaking

Het platform registreert uitsluitend metadata over het assessment zelf — geen inhoud, geen document — zodat het gebruikte AI-systeem aantoonbaar kan worden gecontroleerd op drift. Dit is vereist voor onze AI-governance.

On-premises deployment — platform binnen jouw eigen infrastructuur Vanaf 25 gebruikers

Voor organisaties met meer dan 25 gebruikers bieden wij de mogelijkheid het Comply24-platform volledig binnen de eigen infrastructuur te draaien. Data verlaat dan nooit jouw omgeving — je bent zelf verwerkingsverantwoordelijke voor alles wat binnen de deployment valt. Aan deze optie zijn specifieke technische en contractuele voorwaarden verbonden.

🏢

Data blijft binnen jouw infrastructuur

Het platform draait op jouw servers of private cloud. Geen data-overdracht naar Comply24 — maximale controle over verwerkingslocatie en toegang.

📋

Specifieke voorwaarden van toepassing

On-premises deployment vraagt om afstemming over technische vereisten, updatebeheer, licentievoorwaarden en ondersteuning. Neem contact op voor een maatwerkgesprek.

Neem contact op over on-premises

💬

Welke optie past bij jouw situatie?

De drie opties zijn ook combineerbaar. Je kunt bijvoorbeeld functionaliteit beperken via beheersinstellingen én de éénmalige verwerkingsmodus inzetten voor specifieke toetsingen. Plan een kennismaking en we denken graag met je mee over de aanpak die het best bij jouw risicobereidheid en interne beleid past.

Pilotpartners

Bouw mee aan een transparant en betrouwbaar platform.

Als pilotpartner krijg je directe inzage in onze assurance-aanpak, denk je mee over de roadmap en ontvang je als eerste de certificeringsresultaten.

Plan een kennismaking info@comply24.nl