BeID
DashboardOntwikkelaarsportaal

Compliance & wetgeving

Identiteit raakt direct aan privacy- en beveiligingswetgeving. Deze pagina beschrijft eerlijk waar BeID op aansluit, en waar de verantwoordelijkheid van de klant ligt.

Eerlijk over certificering

BeID is ontworpen volgens erkende standaarden, maar het bezit van een certificaat is iets anders dan ernaar werken. Waar BeID nog niet gecertificeerd is, staat dat hieronder expliciet. Claim richting je eigen klanten of toezichthouder nooit een certificering die er niet is — vraag bij twijfel de actuele status op via servicedesk@becyber.nl.

Rolverdeling (AVG)

Onder de AVG/GDPR is jouw organisatie doorgaans de verwerkingsverantwoordelijke en is BeCyber de verwerker voor de persoonsgegevens die BeID namens jou verwerkt. Hiervoor sluit je een verwerkersovereenkomst (DPA) met BeCyber. Je blijft zelf verantwoordelijk voor de rechtmatige grondslag van de verwerking in jouw applicaties.

AVG / GDPR

  • Hosting in Nederland — alle gegevens worden uitsluitend in Nederland verwerkt, op de eigen infrastructuur van BeCyber (geen externe sub-verwerkers).
  • Dataminimalisatie — BeID slaat alleen op wat nodig is voor identiteit en verificatie.
  • Beveiliging (art. 32) — versleuteling in rust en transport; zie Beveiliging.
  • Rechten van betrokkenen — inzage, correctie en verwijdering worden ondersteund (let op wettelijke bewaarplichten).
  • Datalekken — BeCyber werkt met een meldprocedure die past bij de 72-uurstermijn van de AVG.
  • Cookies — BeID gebruikt alleen functionele cookies (sessie); geen tracking.

Identiteitsverificatie (KYC), Wwft & AMLD

BeID levert gereedschap voor identiteitsverificatie. De wettelijke plicht tot cliëntenonderzoek (Wwft / EU-AMLD) ligt bij de instelling die daartoe verplicht is — meestal de klant, niet BeCyber.

  • Bijzondere persoonsgegevens — identiteitsdocumenten kunnen onder art. 9 AVG vallen. BeID versleutelt documenten met AES-256-GCM en bewaart alleen een referentie, nooit onversleutelde bytes.
  • Bewaartermijnen — Wwft kent bewaarplichten (doorgaans 5 jaar na einde relatie). Stem je bewaarbeleid hierop af; BeID ondersteunt deactiveren en verwijderen.
  • Doelbinding — gebruik verificatiegegevens alleen voor het doel waarvoor ze zijn verzameld.
  • BSN — verwerk een BSN alleen met wettelijke grondslag. BeID vraagt of bewaart standaard geen BSN.

eIDAS & assurance levels

BeID kent inlogniveaus die conceptueel aansluiten op eIDAS LoA en NIST AAL (zie inlogniveaus). BeID is geen onder eIDAS genotificeerd eID-middel; de niveaus zijn een hulpmiddel voor risicogebaseerde toegang, geen formele eIDAS-kwalificatie.

ISO 27001 & NEN 7510

BeID is gebouwd met technische maatregelen die aansluiten op de controls van ISO/IEC 27001 (Annex A) en — voor de zorg — NEN 7510: toegangsbeheer, sterke authenticatie (MFA/passkeys), versleuteling, sleutelbeheer en een auditlog van beveiligingsrelevante gebeurtenissen (logins, rolwijzigingen, KYC-beslissingen, activeringen) die per organisatie inzichtelijk is. Een formeel ISO 27001- of NEN 7510-certificaat is iets dat de organisatie BeCyber behaalt; vraag de actuele certificeringsstatus op voordat je hierop steunt.

Nederlandse wetgeving

  • UAVG — de Nederlandse uitvoeringswet bij de AVG.
  • Wwft — voor verplichte instellingen die cliëntenonderzoek doen (KYC).
  • Telecommunicatiewet — cookiebepalingen; BeID gebruikt alleen functionele cookies.

Documenten opvragen

Verwerkersovereenkomst (DPA), sub-verwerkerslijst, beveiligingsmaatregelen en de actuele certificeringsstatus zijn opvraagbaar via servicedesk@becyber.nl.
BeveiligingVergelijking
Compliance & wetgeving — BeID Documentatie · BeID