Executive Summary

EasyData verwerkt persoonsgegevens uitsluitend in opdracht van klanten via OCR en documentverwerking. Het onderscheidende principe: wij slaan geen klantdata op. Alle verwerking gebeurt real-time zonder persistente opslag van persoonsgegevens, waardoor onze dienstverlening inherent privacyvriendelijk is en risico’s aanzienlijk worden geminimaliseerd. Deze aanpak sluit aan bij onze inzet om data veilig te houden in Europa.

Beschrijving van de verwerking

Doel van de verwerking

EasyData B.V. biedt OCR en documentverwerkingsdiensten aan zakelijke klanten en overheidsorganisaties. Het doel is het real-time digitaliseren, herkennen, extracteren en terugleveren van gestructureerde data uit documenten. Onze datacapture-technologie verwerkt alles van factuurverwerking tot complexe documentclassificatie.

Specifieke verwerkingsdoelen:

  • Real-time omzetten van documenten naar doorzoekbare tekst
  • Automatische extractie van gegevens (factuurdata, contractdata, etc.)
  • Classificatie en indexering van documenten
  • Validatie en verrijking van geextraheerde data via validatieprocessen
  • Direct terugleveren aan opdrachtgever via API’s

Kernprincipe

Alle verwerking gebeurt in het RAM-geheugen. Documenten worden ontvangen, verwerkt, geretourneerd en direct uit het geheugen verwijderd. Er vindt geen persistente opslag plaats van klantdocumenten of geextraheerde persoonsgegevens. Lees meer over hoe wij data veilig houden in Europa.

Categorieen van persoonsgegevens

Gewone persoonsgegevens

  • NAW-gegevens (naam, adres, woonplaats)
  • Contactgegevens (telefoon, e-mail)
  • Geboortedatum en -plaats
  • BSN (alleen bij overheidsklanten)
  • Identificatienummers
  • Financiele gegevens
  • Arbeidsgegevens
Gewone persoonsgegevens worden uitsluitend in RAM verwerkt, zonder persistente opslag. Meer over onze anonimiseringsmogelijkheden →

Bijzondere persoonsgegevens

(Beperkt, alleen indien expliciet afgesproken)

  • Medische gegevens (bij verwerking van zorgdocumenten)
  • Strafrechtelijke gegevens (alleen bij overheidsklanten met wettelijke grondslag)
Bijzondere categorieen vereisen een aanvullende verwerkersovereenkomst en DPO-akkoord. Onze verantwoorde AI-aanpak →

Hoe wij documenten verwerken

🔒 1

Beveiligde ontvangst

Document arriveert via versleutelde TLS 1.3 verbinding

Certificaatpinning + geen zwakke ciphers
2

RAM verwerking

Document komt in geisoleerd RAM-geheugen, raakt nooit de schijf

Swap/pagefile uitgeschakeld op alle servers
🔍 3

OCR analyse

OCR-engine extraheert data volledig in RAM

AI-gestuurde herkenning + validatie
🚀 4

Data retournering

Geextraheerde data direct terug via API

JSON/XML, real-time levering
5

Veilig wissen

RAM overschreven en container direct vernietigd

Nul restdata, nul risico

Risico-identificatie en -analyse

Door het ontbreken van persistente dataopslag zijn alle risico’s beperkt tot de korte verwerkingstijd (seconden tot minuten). Dit maakt onze dienstverlening inherent veel veiliger dan traditionele verwerkingsdiensten met dataopslag. Ons ISO 27001 compliance framework vormt de basis voor continu risicobeheer.

🔐

Ongeautoriseerde toegang tijdens verwerking

Tijdens de korte verwerkingstijd zou iemand ongeautoriseerd toegang kunnen krijgen tot documenten in RAM.

Waarschijnlijkheid
Impact
LAAG
Gemitigeerd door sterke toegangscontroles en geisoleerde containeromgevingen
📡

Datalek bij transport

Onderschepping van documenten tijdens transport naar/van EasyData servers.

Waarschijnlijkheid
Impact
LAAG
Gemitigeerd door TLS 1.3 encryptie en certificaatpinning
📄

Verkeerde extractie of classificatie

OCR-fouten leiden tot verkeerde data-extractie, wat impact kan hebben op besluitvorming.

Waarschijnlijkheid
Impact
LAAG
Gemitigeerd door hoogwaardige OCR, validatie en human-in-the-loop controle

Niet-volledige verwijdering uit RAM

Theoretisch risico dat datafragmenten in RAM achterblijven na afronding van de verwerking.

Waarschijnlijkheid
Impact
ZEER LAAG
Gemitigeerd door secure memory wiping en automatische containervernietiging

Maatregelen ter beperking van risico’s

Technische maatregelen

Transport & Encryptie

  • TLS 1.3 verplicht voor alle communicatie
  • Certificate pinning voor API-verbindingen
  • Geen ondersteuning voor zwakke cipher suites
  • End-to-end encryptie optie beschikbaar
We scoren hoog op onafhankelijke securitybenchmarks. Bekijk onze veiligheidsscore →

In-Memory verwerking

  • Alle verwerking in RAM (geen disk writes)
  • Swap/pagefile uitgeschakeld
  • Secure memory wiping na elke transactie
  • Container-gebaseerde isolatie
  • Automatische containervernietiging
Containerisolatie betekent dat elke job in een eigen beveiligde sandbox draait zonder datalekkage tussen transacties.

Toegangscontrole

  • Multi-factor authenticatie (MFA) verplicht
  • Role-based access control (RBAC)
  • Principe van least privilege
  • Gescheiden ontwikkel-, test- en productieomgevingen
Onze toegangscontroles volgen de CIS hardening benchmarks voor infrastructuurbeveiliging.

Monitoring & Logging

  • Real-time monitoring van alle systemen
  • Gedetailleerde audit logs (geen documentinhoud)
  • Alerting bij afwijkend gedrag
  • SIEM-integratie voor security events
We gebruiken Grafana-dashboards voor real-time inzicht in alle verwerkingssystemen.

Infrastructuur

  • Europese datacenterlocaties
  • ISO 27001-compliant hostingpartners
  • Redundante systemen
  • Geautomatiseerde security patching
  • Regelmatige penetratietesten
Alle data blijft binnen de EU. Wij opereren vanuit Europese datacenters met volledige datasoevereiniteit.

Personeel & Organisatie

  • Pre-employment screening
  • Verplichte privacy & security training
  • Jaarlijkse awareness trainingen
  • Gedragscode voor medewerkers
  • Data Protection Officer (DPO) aangesteld
Onze teams in Apeldoorn en Yerevan volgen dezelfde strikte securityprotocollen. Meer over onze teams →

Residuele risico’s

Conclusie residuele risico’s

Na implementatie van alle bovenstaande maatregelen blijven alleen minimale restrisico’s over die inherent zijn aan iedere vorm van IT-dienstverlening. Alle restrisico’s zijn zeer laag tot laag en worden geaccepteerd.

Voorafgaande raadpleging Autoriteit Persoonsgegevens: NIET NOODZAKELIJK

Restrisico’s in detail

  • Zero-day kwetsbaarheden: Continue monitoring en snelle patching minimaliseren de blootstellingstijd
  • Geavanceerde persistente dreigingen (APT): Ons no-storage principe beperkt potentiele schade significant
  • Natuurrampen/calamiteiten: Redundante infrastructuur waarborgt continuiteit, geen data verloren

Rechten van betrokkenen

Omdat EasyData geen persoonsgegevens opslaat, zijn veel rechten van betrokkenen praktisch niet uitvoerbaar bij EasyData. De verantwoordelijkheid ligt bij de opdrachtgever (verwerkingsverantwoordelijke). Lees meer over onze AVG quickscan voor organisaties.

Recht van inzage (art. 15 AVG)

EasyData heeft geen opgeslagen gegevens om in te zien. Betrokkene moet zich richten tot de opdrachtgever.

Omdat we uitsluitend in RAM verwerken, is er geen dataset om te bevragen. De verwerkingsverantwoordelijke beheert alle inzageverzoeken.

Recht op gegevenswissing (art. 17 AVG)

Automatisch geimplementeerd door design: data wordt direct gewist. Geen actie nodig bij EasyData.

Ons no-storage principe betekent dat het recht op vergetelheid standaard wordt vervuld, zonder handmatige interventie.

Recht op rectificatie (art. 16 AVG)

Niet van toepassing bij EasyData. Opdrachtgever kan gecorrigeerde documenten opnieuw laten verwerken.

Documenten kunnen eenvoudig opnieuw worden aangeboden met correcties. Geen historische data hoeft te worden aangepast.

Recht op beperking (art. 18 AVG)

Opdrachtgever kan verwerking stoppen door geen documenten meer aan te bieden. EasyData stopt onmiddellijk.

Verwerking gebeurt uitsluitend on-demand. Geen achtergronddataopslag betekent dat stoppen direct en volledig is.

Specifieke overwegingen

Bijzondere persoonsgegevens (art. 9 AVG)

EasyData verwerkt alleen bijzondere persoonsgegevens indien:

  • Opdrachtgever heeft geldige rechtsgrondslag
  • Aanvullende verwerkersovereenkomst is gesloten
  • Extra beveiligingsmaatregelen zijn geimplementeerd
  • DPO heeft akkoord gegeven
Zorgorganisaties kunnen vertrouwen op onze ervaring met gevoelige documenten. Bekijk hoe wij data veilig houden →

Doorgifte buiten EU

EasyData waarborgt:

  • Alle verwerking binnen de EU
  • Geen doorgifte naar derde landen
  • Sub-verwerkers zijn EU-gebaseerd
  • Geen remote access van buiten EU
Volledige digitale soevereiniteit met uitsluitend Europese datacenters. Geen afhankelijkheid van niet-EU cloudproviders.

Geautomatiseerde besluitvorming

OCR en data-extractie is geautomatiseerd, maar:

  • EasyData neemt geen besluiten over betrokkenen
  • Output wordt gebruikt voor menselijke beoordeling
  • Geen profiling of geautomatiseerde individuele besluitvorming
  • Verantwoordelijkheid bij opdrachtgever
Onze human-in-the-loop aanpak zorgt ervoor dat geautomatiseerde extractie altijd gevoed wordt door menselijke besluitvorming.

Conclusie en aanbevelingen

Algemene conclusie

EasyData’s OCR- en documentverwerkingsdiensten vormen geen hoog risico voor de rechten en vrijheden van betrokkenen, mits alle beschreven maatregelen worden gehandhaafd.

Het onderscheidende no-storage principe is de belangrijkste risicomitigatie:

  • Geen persistente opslag = geen datalek van historische gegevens mogelijk
  • Beperkte blootstellingstijd (seconden/minuten) = minimaal risicovenster
  • Transient processing = privacy by design
  • Volledige AVG-compliance = vertrouwen van klanten en betrokkenen

Aanbevelingen

  1. Behoud het no-storage principe als kernwaarde van EasyData
  2. Communiceer dit onderscheidende kenmerk actief naar (potentiele) klanten
  3. Blijf investeren in security awareness bij medewerkers
  4. Vernieuw deze DPIA jaarlijks of bij significante wijzigingen
  5. Vervolg het ISO 27001 certificeringstraject en overweeg NIS2-compliance voor zorg