02Governance

Governance, security en compliance-posture van Arkeon Group.

Arkeon Group bouwt met discipline. Wij claimen geen certificaten die wij nog niet bezitten, maar wij voeren de discipline alvast op het niveau dat partners, opdrachtgevers en publieke opdrachtgevers verwachten. Dit document beschrijft hoe.

01Governance Model

Beleid en kader voor de werkmaatschappijen.

Arkeon Group zet de discipline waarmee de operating companies bouwen en opereren. Onderstaande uitgangspunten gelden over de groep heen, vanaf eerste klantproces.

  1. Traceerbaarheid

    Belangrijke beslissingen, configuraties en uitvoer zijn herleidbaar tot bron, rol en moment.

  2. Audit-trails

    Logging is onderdeel van het ontwerp, met heldere bewaartermijnen en toegangsregels.

  3. Beslissingsdiscipline

    Beslissingen krijgen een eigenaar, een datum en een vastgelegde overweging. Geen schaduwbesluiten.

  4. Role-based control

    Toegang en bevoegdheden volgen de rol, niet de gewoonte. Least privilege als standaard.

  5. Human-in-control workflows

    Geautomatiseerde processen kennen expliciete momenten van menselijke bevestiging waar dat ertoe doet.

  6. Evidence-driven development

    Wat we bouwen, kunnen we onderbouwen. Aannames worden opgeschreven, niet weggeklikt.

02Security & Compliance Posture

Hoe wij ontwerpen en opereren.

Wij beschrijven hier de uitgangspunten waarmee de groep ontwerpt. De woorden gericht op, in lijn met en voorbereid op zijn bewust. Dit is een posture-document, geen certificaat.

De groep richt zich op een werkwijze die aansluit bij herkenbare kaders zoals de AVG, BIO-denken (Baseline Informatiebeveiliging Overheid), NIS2-oriëntatie en ISO 27001-discipline, zonder die kaders als certificaat te claimen. Externe validatie volgt op het moment dat de groep daar gegrond aan toe is.

  • Least privilege

    Toegang tot data, omgevingen en geheimen is minimaal en herleidbaar. Standaard wordt niets gedeeld dat niet expliciet nodig is voor een rol.

  • Secure development

    Codepaden worden beoordeeld op risico, dependencies worden bewust gekozen, geheimen worden gescheiden van code en logging.

  • Logging & evidence

    Operationele en beleidsbeslissingen laten een spoor na dat geschikt is voor interne review en, op termijn, externe audit.

  • Privacy

    Verwerkingen worden ontworpen volgens AVG-uitgangspunten: doelbinding, dataminimalisatie en expliciete grondslag. Verwerkersovereenkomsten zijn beschikbaar op aanvraag.

  • Continuïteit

    Backups, herstelpaden en uitwijk-denken zijn vanaf het ontwerp meegenomen, niet pas na een incident.

  • Externe validatie

    Arkeon Group bereidt zich voor op externe toetsing op het moment dat volume, contracten en publieke-sector activiteit dat rechtvaardigen.

  • Verantwoorde AI

    Inzet van geautomatiseerde besluitondersteuning gebeurt met transparantie over werking, beperkingen en menselijke controle.

  • Incident-respons

    Voor responsible disclosure is security@arkeongroup.nl het kanaal, ook tijdens de oprichtingsfase.

03Auditability

Wat herleidbaar is, is bestuurbaar.

Auditability is voor Arkeon geen feature van een product, maar een eigenschap van het werk.

Beslissingen worden vastgelegd zoals ze zijn genomen. Configuraties, koppelingen en verwerkingen zijn beschreven, met versie, eigenaar en grondslag. Deze discipline maakt het mogelijk om op elk moment terug te lopen waarom iets gebeurt zoals het gebeurt, en wie daarvoor verantwoordelijk is.

In de praktijk vraagt dat om iets eenvoudigs en iets fundamenteels: dat documentatie geen bijproduct is van werk, maar onderdeel van werk.

04Framework-orientatie

Kaders die wij respecteren.

Onderstaande kaders gelden als oriëntatie en richtsnoer. Geen claim van certificering, wel een richting waarin de groep zich beweegt.

AVG
Verwerkingen worden ontworpen op grondslag, doelbinding en minimalisatie. Verwerkingsregister-bereidheid en DPIA-denken zijn onderdeel van het ontwerp.
BIO-denken
Ontwerp-uitgangspunten in lijn met de Baseline Informatiebeveiliging Overheid, voor toepassingen die binnen of richting publieke-sector kunnen werken.
ISO 27001-discipline
Asset-, toegangs- en risicodenken in lijn met ISO 27001-praktijk, als interne werkwijze. Externe certificering is geen actuele claim.
NIS2-oriëntatie
Voorbereiding op verhoogde verwachtingen rond incidentmelding, toeleveringsketen- afspraken en bestuurlijke verantwoordelijkheid.
NEN 7510
In oriëntatie voor inzet in zorggerelateerde of zorgaanpalende contexten, indien en wanneer dat aan de orde is.

Lees de volledige disclosure & posture voor een precieze afbakening van wat de groep wel en niet claimt op dit moment.

Behoefte aan een diepere governance-conversatie?

Voor partners en opdrachtgevers met governance-gevoelige processen, of voor publieke opdrachtgevers die de werkwijze willen toetsen, plannen wij graag een gesprek. Documentatie sturen wij vooraf op aanvraag toe.

Naar contact Over Arkeon Group