Spring naar hoofdinhoud
📄 Dossiers   AI Consultancy Bureau · KlantPortal

Verwerkingsreglement

Versie 1.1 — 18 juni 2026. Dit reglement beschrijft hoe 3n.nl Consultancy persoonsgegevens verwerkt binnen de Klant­Portal (a.3n.nl en p.3n.nl) en hoe het bureau voldoet aan de Algemene verordening gegevensbescherming (AVG) en de Verordening AI (Verordening (EU) 2024/1689, hierna: AI Act).

1. Verwerkings­verantwoordelijke

Verwerkings­verantwoordelijke in de zin van artikel 4 lid 7 AVG is 3n.nl Consultancy (eenmanszaak, hierna: het bureau), handelend onder het domein 3n.nl. Contactpersoon: Rick Hamelink, bereikbaar via rick@3n.nl. Het bureau heeft geen functionaris voor gegevensbescherming aangesteld omdat de schaal van de verwerking dit niet vereist (art. 37 AVG).

2. Welke persoonsgegevens worden verwerkt

Binnen de Klant­Portal worden de volgende categorieën verwerkt:

  • Identificatiegegevens consultants en opdrachtgever­medewerkers — voor- en achternaam, e-mailadres, functietitel, organisatie­naam, rol binnen het bureau (consultant, manager, klant, admin).
  • Authenticatie­gegevens — gehashte magic-link-tokens, sessie-cookies (HttpOnly, SameSite=Lax, path = /portal). Er worden geen wachtwoorden verwerkt.
  • Verkeers- en sessiegegevens — IP-adres bij login en gevoelige acties, user-agent, tijdstempel. Bewaard in de audit-trail voor beveiligings­onderzoek.
  • Inhoud van adviezen, issues, feedback en bijlagen — door consultants en opdrachtgevers ingevoerde teksten. Persoons­gegevens van derden in deze inhoud (bijvoorbeeld namen in casuïstiek) worden zo veel mogelijk gepseudonimiseerd op verzoek van de opdrachtgever.
  • Aanvraag tot toegang — naam, e-mailadres, organisatie, motivatie en IP, conform de wettelijke grondslag van uitvoering van een (potentiële) overeenkomst.

Bijzondere categorieën van persoonsgegevens (art. 9 AVG) worden niet bewust verwerkt. Indien deze in advies­inhoud worden ingevoerd, geldt de verantwoordelijkheid van de invoerende opdrachtgever; het bureau treedt voor dat deel op als verwerker.

3. Doeleinden en grondslagen

De verwerking vindt plaats voor de volgende doelen, telkens met de bijbehorende grondslag (art. 6 AVG):

  • Levering van de consultancy-dienst en toegang tot de portal — uitvoering van de overeenkomst (art. 6 lid 1 sub b).
  • Beveiliging, fraudepreventie en logging — gerechtvaardigd belang van het bureau bij de integriteit van de dienst (art. 6 lid 1 sub f).
  • Wettelijke verplichtingen — fiscale bewaarplicht voor facturen, voldoen aan handhavings­verzoeken van toezichthouders (art. 6 lid 1 sub c).
  • AI-ondersteuning bij advies­productie — uitvoering van de overeenkomst voor zover de opdrachtgever instemt met inzet van het AI-team; gerechtvaardigd belang voor interne kwaliteits­controle (Critic, verify-run-checker).

4. Bewaartermijnen

  • Account- en authenticatie­gegevens: tot 30 dagen na laatste login of een verwijder­verzoek; magic-link-tokens vervallen na 30 minuten.
  • Advies­inhoud, issues, bijlagen en rapport­versies: voor de duur van het traject + zeven jaar fiscale bewaartermijn voor zover aan een factuur gekoppeld. Op verzoek vóór die termijn anonimiseren of verwijderen, voor zover de bewaarplicht zich daartegen niet verzet.
  • Audit-log (statusovergangen, akkoorden, hash-keten): voor de duur van het traject + tien jaar, omdat deze de cryptografische integriteit van vrijgegeven adviezen onderbouwt.
  • Toegangs­tokens voor live-bijlagen: 24 uur, of korter bij intrekking.

5. Beveiliging (art. 32 AVG)

Het bureau treft passende technische en organisatorische maatregelen, waaronder: versleuteling van verkeer (TLS 1.3 met automatisch hernieuwde certificaten), rij-niveau­beveiliging in de database (Row-Level Security per tenant), gescheiden opslag per opdrachtgever, sessie-cookies met HttpOnly- en SameSite-attributen, een Content-Security-Policy op interactieve bijlagen (sandboxed iframe), append-only audit-log met hash-keten, en een onafhankelijke checker (verify-run) die het AI-werk vóór vrijgave toetst. Toegang tot de productie­omgeving is beperkt tot één technische rol (SSH-sleutel, geen wachtwoord) en uitgevoerd vanaf systemen onder beheer van het bureau.

6. Sub­verwerkers

Voor de levering van de dienst zet het bureau de volgende sub­verwerkers in. Met elke sub­verwerker is, of wordt op verzoek, een verwerkers­overeenkomst (art. 28 AVG) gesloten.

Sub­verwerker Vestiging Verwerking Grondslag overdracht
Contabo GmbH (contabo.de) Duitsland (EU) Hosting van de virtuele servers waarop a.3n.nl en p.3n.nl draaien (data-at-rest in Duits datacenter). Binnen EER; geen aanvullende waarborgen voor doorgifte vereist.
Anthropic PBC Verenigde Staten Levert de Claude AI-modellen die door het AI-team van het bureau worden aangeroepen voor advies­productie en kwaliteits­toetsen. Prompt-inhoud wordt door Anthropic verwerkt voor de duur van de inferentie; conform Anthropic's voorwaarden niet gebruikt voor model-training. EU-US Data Privacy Framework en/of Standard Contractual Clauses (art. 46 AVG).
EasyHosting (DNS) Nederland (EU) DNS-beheer voor het domein 3n.nl. Geen toegang tot inhoud. Binnen EER.

Een actueel overzicht is op verzoek beschikbaar via rick@3n.nl. Wijziging van een sub­verwerker wordt minimaal vier weken voor ingang aan opdracht­gevers gemeld.

7. Cookies

De Klant­Portal gebruikt uitsluitend strikt noodzakelijke cookies voor authenticatie en CSRF-bescherming. Er worden geen analytische of tracking-cookies geplaatst. Een cookie-banner is daarom niet vereist; de cookie­informatie staat in dit reglement.

8. Transparantie bij AI-inzet (AI Act art. 50)

Het AI-team van het bureau gebruikt grote taalmodellen (Anthropic Claude) voor de productie en kwaliteits­toetsing van adviezen. Conform artikel 50 lid 4 van de AI Act wordt door AI gegenereerde of substantieel door AI bewerkte inhoud als zodanig herkenbaar gemarkeerd in het advies, in bijlagen en in de audit-trail. De inhoud blijft onderworpen aan menselijke beoordeling door de consultant en — waar van toepassing — een manager; release vindt nooit plaats zonder die akkoord-stappen.

Het bureau classificeert de inzet van het AI-team niet als een hoog-risico AI-systeem in de zin van de AI Act, omdat de uitkomst altijd onder menselijke verantwoordelijkheid wordt vrijgegeven en niet autonoom rechtsgevolgen voor betrokkenen produceert. Mocht dat oordeel voor een specifieke opdracht anders liggen, dan wordt dat vooraf met de opdracht­gever afgestemd en wordt aanvullend voldaan aan de voor hoog-risico systemen geldende vereisten.

8a. AI-geletterdheid (AI Act art. 4)

Het bureau zorgt dat iedereen die binnen het bureau met AI-systemen werkt een passend kennisniveau heeft over de werking, risico's en beperkingen van die systemen.

  • Rick Hamelink, eigenaar van 3n.nl Consultancy, is gecertificeerd Certified AI Compliance Officer (CAICO) en daarmee verantwoordelijk voor de toetsing van AI-inzet op de AI Act.
  • Voor opdrachtgevers en interne reviewers die met de Klant­Portal werken raden wij minimaal een laagdrempelige AI-basistraining aan, zoals het gratis Elements of AI (Universiteit van Helsinki, Nederlandstalig), of voor diepgang het EU AI Act Essentials-programma van de Europese Academy. Voor de Nederlandse overheidscontext is het Algoritmekader van het ministerie van Binnenlandse Zaken een goede aanvulling.
  • Bij elke nieuwe opdracht wordt in de intake afgestemd welke reviewers van de opdrachtgever met AI-output gaan werken en of er bij hen een vergelijkbaar geletterdheidsniveau aanwezig is. Indien dat ontbreekt, biedt het bureau een korte ge­richte uitleg vooraf aan.

8b. Interactie-transparantie (AI Act art. 50 lid 1)

Wanneer een gebruiker van de Klant­Portal rechtstreeks met een AI-systeem interacteert — bijvoorbeeld via de "stel een vraag aan AI"-functie tijdens rapport­review, de Q&A-route voor bijlage­aanvragen, de Swipe-feed met signalen, of de Companion-feed — wordt dat in beeld duidelijk gemaakt met een melding bij het invoerveld. De melding verwijst voor de details naar dit reglement. De gebruiker kan zo elk moment beoordelen of doorgaan met de AI-interactie passend is.

Door AI gegenereerde of substantieel door AI bewerkte teksten in adviezen, bijlagen en notities zijn als zodanig gemarkeerd (AI Act art. 50 lid 4). Wanneer een advies een onderwerp van algemeen belang raakt (bijvoorbeeld overheids- of vitale-sector-context), wordt die markering in de definitieve versie expliciet herhaald (art. 50 lid 5).

9. Rechten van betrokkenen

Betrokkenen kunnen op grond van de artikelen 15–22 AVG de volgende rechten uitoefenen:

  • Inzage in de over hen verwerkte persoonsgegevens.
  • Rectificatie of aanvulling van onjuiste of onvolledige gegevens.
  • Wissing van gegevens, voor zover geen wettelijke bewaarplicht in de weg staat.
  • Beperking van de verwerking.
  • Dataportabiliteit voor gegevens die op grond van toestemming of overeenkomst zijn verwerkt.
  • Bezwaar tegen verwerking op grond van een gerechtvaardigd belang.
  • Intrekking van eerder verleende toestemming, zonder dat dit terugwerkende kracht heeft.

Een verzoek kan worden gericht aan rick@3n.nl. Het bureau reageert binnen één maand, mogelijk verlengd met twee maanden bij complexiteit. Voor identificatie kan om aanvullende gegevens worden gevraagd.

10. Klachtrecht

Betrokkenen hebben het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (Postbus 93374, 2509 AJ Den Haag). Het bureau ontvangt graag eerst een melding via rick@3n.nl om de zaak met voorrang te kunnen oplossen, maar dat is geen vereiste.

11. Datalekken

Bij een inbreuk in verband met persoonsgegevens informeert het bureau de betrokken opdracht­gevers zonder onredelijke vertraging en meldt het lek binnen 72 uur aan de Autoriteit Persoonsgegevens wanneer een meldingsplicht geldt (art. 33 en 34 AVG).

12. Wijzigingen

Het bureau kan dit reglement aanpassen. Materiële wijzigingen worden vóór ingang aan ingelogde gebruikers gemeld via een bericht in de portal en, voor zover beschikbaar, per e-mail. De versie- en datumregel bovenaan dit document wordt bij elke wijziging bijgewerkt.

3n.nl Consultancy · rick@3n.nl · Versie 1.1 · 18 juni 2026 · Inloggen