Trust Centre · laatst herzien 30 mei 2026

Compliance op tafel, niet in een PDF achter een NDA.

Inkoop, FG, CISO en bestuur kunnen Coheza beoordelen vóór er een gesprek nodig is. Elk item hieronder heeft een eerlijke status — groen, geel of grijs — met onderbouwing.

Naar Procurement Centre Vraag security-pack + DPA Live status →

aantoonbaar nu in afronding (met datum) op roadmap

Informatiebeveiliging

NEN 7510-werkdocument is leidend. Pen-tests jaarlijks via NL-CERT-aangesloten partij.

NEN 7510:2024 In afronding

Control-suite geïmplementeerd met baseline-assessments, externe audit Q4 2026
Onderbouwing →
NEN 7512 (uitwisseling) In afronding

Toegepast op FHIR-/LSP-koppelingen
Onderbouwing →
NEN 7513 (logging) Aantoonbaar

Onveranderbare auditlog, 7 jaar bewaartermijn
Onderbouwing →
ISO 27001 Op roadmap

Audit gepland 2027
Onderbouwing →
Pentest jaarlijks Aantoonbaar

Grey-box, NL-CERT-aangesloten partij — managementsamenvatting publiek, volledig rapport onder NDA
Onderbouwing →
Encryptie at-rest Aantoonbaar

AES-256-GCM per tenant-sleutel
Onderbouwing →

Privacy & gegevensbescherming

AVG-conform met expliciete verwerkers-rolverdeling. PII (BSN, AGB) altijd encrypted.

AVG / GDPR Aantoonbaar

Standaard-DPA volgens AP-model, NL/EN beschikbaar
Onderbouwing →
Verwerkersovereenkomst Aantoonbaar

Standaard-DPA op aanvraag (~1 werkdag), geen NDA nodig
Onderbouwing →
Subverwerkers-overzicht Aantoonbaar

Volledig overzicht beschikbaar, alle in EER
Onderbouwing →
DPIA-template Aantoonbaar

Voor zorgaanbieder eigen DPIA — op aanvraag
Onderbouwing →
BSN-encryptie Aantoonbaar

AES-256-GCM met HKDF envelope per tenant, kwartaal-rotatie van masters (operationeel proces)
Onderbouwing →
Recht op vergetelheid Aantoonbaar

Pseudonimisering + audit-trail
Onderbouwing →

Interoperabiliteit & openheid

Open API's, FHIR-endpoints en publieke koppeldocumentatie. Geen vendor lock-in.

FHIR R4 In afronding

8 Zibs intern actief (Patient, Encounter, Observation, MedicationStatement, Condition, AllergyIntolerance, RelatedPerson, CarePlan); publieke REST API Q4 2026
Onderbouwing →
MedMij In afronding

Interne brug gereed; DVZA-registratie + PKIoverheid-cert in voorbereiding (Q4 2026)
Onderbouwing →
Wegiz / eOverdracht In afronding

BgZ 8/15 Zibs actief; Nuts-aansluiting Q4 2026
Onderbouwing →
LSP In afronding

VZVZ-aansluittraject + UZI-certificaten — gateway ingericht, ketentest in afronding
Onderbouwing →
Open API In afronding

OpenAPI 3.1-spec compleet, publieke sandbox in afronding Q3 2026 — toegang nu op aanvraag
Onderbouwing →
Data-export Aantoonbaar

Volledige export in JSON/CSV op verzoek
Onderbouwing →

Operationele continuïteit

NL-hosting, transparante uptime, publieke status-page en herstelplan getest.

NL-hosting Aantoonbaar

Azure West-Europe + backup NL
Onderbouwing →
Uptime SLA Aantoonbaar

99,9% productie, gemeten extern
Onderbouwing ↗
Statuspagina publiek Aantoonbaar

Incidenten + onderhoudsvensters
Onderbouwing ↗
BCM-test Aantoonbaar

Jaarlijkse restore-oefening
Onderbouwing →
RPO / RTO Aantoonbaar

RPO 1 uur, RTO 4 uur
Onderbouwing →
Exit-procedure Aantoonbaar

Contractueel vastgelegd in MSA
Onderbouwing →

Wettelijke kaders & sectorregels

Wkkgz, Wzd, Wtza, Wtta en de Cyberbeveiligingswet — actief gevolgd, niet afgewacht.

Cbw (NIS2) In afronding

NIS2-incidentmodule (24/72/720u SLA-tracking) ingebouwd in Coheza; ook los beschikbaar als Nis2Care voor non-Coheza-klanten. Klaar voor 1 juli 2026.
Onderbouwing →
Wkkgz-klachtenregeling Aantoonbaar

Module + workflow standaard
Onderbouwing →
Wzd-stappenplan Aantoonbaar

Halfjaarlijkse IGJ-XML
Onderbouwing →
Wtza-jaarverantwoording Aantoonbaar

Wizard voor deadline 31 mei
Onderbouwing →
Wtta-uitlenersregister In afronding

Module beschikbaar 1 sep 2026 — 4 maanden vóór wettelijke deadline
Onderbouwing →
AI Act high-risk In afronding

Classificatie + register beschikbaar 1 sep 2026 — ruim vóór 2 dec 2027
Onderbouwing →

De vraag die inkopers stellen: "Wat als de bouwer wegvalt?"

Coheza wordt gebouwd door één hoofdarchitect met selecte partners. We benoemen dit actief omdat u er toch naar gaat vragen:

Broncode-escrow — overeenkomst met SRK-escrowagent in voorbereiding (Q3 2026). Activeringsdrempel: drie aaneengesloten maanden geen oplevering.
Technische documentatie — volledig, actueel, in de repo. Een gekwalificeerde .NET-ontwikkelaar kan het systeem zelfstandig overnemen en uitbreiden.
Ontwikkelaarspartnerschap — afspraken met twee NL-gebaseerde .NET-zorgpartners in voorbereiding. Continuïteitsplan inclusief SLA beschikbaar na ondertekening MSA.
Data-portabiliteit — volledige export in JSON/CSV/FHIR R4 op elk moment, contractueel vastgelegd. U bent nooit afhankelijk van onze inzet om uw eigen data te krijgen.
Directe lijn als kracht — kleinere leverancier betekent ook: geen supportdesk-bureaucratie, geen tickets die kwartalen reizen. U spreekt rechtstreeks met de bouwers; fixes in dagen, niet in releases per jaar.

Founding partners ontvangen aanvullende garanties en zijn mede-eigenaar van de roadmap. Vraag de aanvullende continuïteitsverklaring op via trust@coheza.nl.

Iets niet duidelijk?

Stuur een vraag rechtstreeks naar onze FG of security-lead. Reactie binnen 1 werkdag. Voor due-diligence-vragen accepteren we standaard vragenlijsten (CAIQ, SIG, BSI C5).

trust@coheza.nl Stuur vragenlijst