Diensten

Wat DVAD Consultancy voor u kan betekenen

DVAD Consultancy ondersteunt organisaties met consultancy in informatiebeveiliging, met een duidelijke specialisatie in ISO-27001 en NEN-7510 implementaties en in het veilig en verantwoord implementeren van AI. Wij begeleiden trajecten van analyse en documentatie tot invoering, audit en borging, zodat beleid niet alleen op papier klopt, maar ook in de praktijk werkt.

ISO 27001 & NEN 7510

Van analyse en documentatie tot uitvoering, audit en borging

Informatiebeveiliging is geen losstaand vinkje, maar het fundament onder hoe een moderne organisatie omgaat met data, processen en technologie. DVAD Consultancy is gespecialiseerd in het begeleiden van organisaties bij implementatietrajecten rondom ISO-27001 (generieke informatiebeveiliging) en NEN-7510 (informatiebeveiliging voor de zorg). Wij ondersteunen bij:

  • Het uitvoeren van een nulmeting (waar staat u nu), een gap-analyse (welke eisen voldoet u nog niet aan) en een risicoanalyse (welke informatiebeveiligingsrisico's loopt u, en wat is hun impact).
  • Het inrichten van een ISMS (Information Security Management System): het geheel van beleid, processen en beheersmaatregelen waarmee uw organisatie informatiebeveiliging structureel borgt. Daarbij horen ook de beheersmaatregelen uit Bijlage A van de norm, een Statement of Applicability (SoA), een Business Impact Analyse (BIA) en een beheerplanning waarmee het ISMS levend blijft.
  • Het opstellen van beleidsstukken, procedures en procesbeschrijvingen die aansluiten op de identiteit van uw organisatie.
  • De koppeling met NIS2-verplichtingen (de Europese cyberbeveiligingsrichtlijn), zodat u in één traject ook aan deze wetgeving voldoet.
  • De begeleiding tot en met de externe audit (de onafhankelijke beoordeling door een certificerende instelling) en het duurzaam borgen van het beleid daarna in de praktijk.

Verantwoord & veilig

AI verantwoord en veilig inzetten in uw organisatie

Veel organisaties willen AI inzetten, maar lopen vast op vragen als: welke tool past bij ons, welke data mag ik daarmee verwerken, hoe regel ik menselijk toezicht, en welke wetgeving is van toepassing? Het veilig inzetten van AI is voor ons een logische uitbreiding van wat wij al doen op het gebied van informatiebeveiliging. Dezelfde principes rondom dataclassificatie, vertrouwelijkheid, integriteit en beschikbaarheid gelden onverkort, alleen wordt het speelveld groter en de wetgeving complexer.

Adviezen op maat

Afgestemd op uw context

DVAD Consultancy adviseert over AI-keuze en -implementatie afgestemd op de organisatiecontext: uw sector, dataclassificatie, gebruikersgroepen, doelen en risicobereidheid. Voor verschillende specifieke organisaties hebben wij al concrete adviezen geschreven over welk AI-platform past, welke data wel en niet mag worden ingevoerd en hoe het gebruik op een verantwoorde manier kan worden ingericht.

Aandachtsgebieden in onze adviezen

  • Dataclassificatie en gegevensstromenWelke soorten data (openbaar, intern, vertrouwelijk of bijzondere persoonsgegevens) gaan de AI in, wat komt eruit en waar wordt het opgeslagen?
  • Dataminimalisatie & AVG-grondslagNiet meer gegevens verwerken dan strikt nodig, en de grondslag waarop u zich kunt baseren bij het verwerken van persoonsgegevens via AI.
  • ModelkeuzeEen AI-model in een publieke cloud, op uw eigen servers (on-premise) of een variant die binnen de EU wordt gehost. Elke keuze heeft eigen afwegingen tussen functionaliteit, kosten en risico.
  • Human-in-the-loopBij beslissingen met impact controleert en beoordeelt een mens altijd de uitkomst van de AI voordat die effect heeft.
  • Logging, audittrail en monitoringEen herleidbaar spoor van wie wanneer welke handeling heeft gedaan, plus monitoring van het AI-gebruik.
  • AI-geletterdheid binnen het personeelOpleiding, beleid en bewustzijn, zoals artikel 4 van de EU AI-verordening voorschrijft.

Wetgevingskader rondom AI

Een gefaseerd verplichtingenkader voor organisaties die AI inzetten

Sinds de inwerkingtreding van de EU AI-verordening (Verordening (EU) 2024/1689) op 1 augustus 2024 geldt voor organisaties die AI inzetten een gefaseerd verplichtingenkader:

Sinds 2 februari 2025

Verboden AI-toepassingen & AI-geletterdheidsplicht

Een aantal AI-toepassingen is in de hele EU verboden, zoals social scoring, het ongericht verzamelen van gezichten van internet voor herkenningsdatabases, en het in real-time monitoren van emoties op de werkvloer. Daarnaast geldt vanaf deze datum een AI-geletterdheidsplicht (artikel 4): medewerkers die met AI werken moeten begrijpen wat de techniek doet, wat de risico's zijn en hoe zij die kunnen beperken.

Sinds 2 augustus 2025

Verplichtingen voor aanbieders van GPAI

Verplichtingen voor aanbieders van general-purpose AI-modellen (GPAI), zoals de modellen achter ChatGPT, Claude en Copilot. Aanbieders moeten transparant zijn over de werking, technische documentatie aanleveren, een samenvatting van de trainingsdata publiceren en zich aan het auteursrecht houden. Voor zwaardere modellen komen daar verplichtingen bij rondom modelbeoordeling, incidentmelding en cyberbeveiliging.

Vanaf 2 augustus 2026

Volledig kader voor hoog-risico AI-systemen

Het volledige nalevingskader voor hoog-risico AI-systemen wordt actief. Denk aan AI bij werving en selectie, kredietbeoordeling, toelating tot onderwijs, biometrische identificatie en AI binnen rechtshandhaving. Voor uw organisatie als gebruiker ("deployer") komen daar onder andere een grondrechteneffectbeoordeling (FRIA) en passend menselijk toezicht bij.

Daarnaast onverkort van toepassing

AVG/GDPR (regels voor het verwerken van persoonsgegevens, ook in trainingsdata en prompts van een AI-systeem), NIS2 (Europese richtlijn voor cyberbeveiliging) en sectorale kaders zoals NEN-7510 (zorg) en de BIO (Baseline Informatiebeveiliging Overheid) blijven onverkort van toepassing op AI-toepassingen.

  • Autoriteit Persoonsgegevens (AP)
  • Rijksinspectie Digitale Infrastructuur (RDI)
  • Autoriteit Financiële Markten (AFM)
  • De Nederlandsche Bank (DNB)
  • Inspectie Gezondheidszorg en Jeugd (IGJ)

Let op — boetes onder de AI-verordening kunnen oplopen tot € 35 mln of 7% van de wereldwijde jaaromzet. Wij helpen u dit kader te vertalen naar concrete keuzes en beleid, zodat u AI verantwoord kunt inzetten zonder uw informatiebeveiliging of compliance op het spel te zetten.

Onze diensten

Zes vaste vertrekpunten voor uw traject

Onze diensten hangen onderling samen. Analyse en risicobeeld leveren de basis; beleid en procesinrichting geven structuur; implementatie, audit en borging zorgen dat het in de praktijk werkt. Hetzelfde geldt voor onze AI-trajecten.

Dienst 01Analyse

Nulmeting & gap-analyse

Wij brengen in kaart waar uw organisatie nu staat en welke onderdelen nog nodig zijn binnen uw ISO-27001- of NEN-7510-traject. U krijgt een helder beeld van het verschil tussen uw huidige situatie en wat de norm vereist, met een concrete planning om dat verschil te overbruggen.

Dienst 02Risico

Risicoanalyse

Wij helpen risico’s inzichtelijk te maken en vertalen deze naar passende beheersmaatregelen voor uw organisatie. De uitkomst is geen abstracte lijst, maar een gewogen set keuzes die aansluit op uw processen, sector en risicobereidheid.

Dienst 03Beleid & ISMS

Beleid, ISMS-documentatie en procesinrichting

Wij stellen beleidsstukken, procedures en ISMS-documentatie op die aansluiten op uw situatie en zorgen dat de bijbehorende processen ook daadwerkelijk in uw organisatie landen. Beleid pakt pas als de onderliggende processen kloppen. Daarom gaat onze begeleiding altijd verder dan documentatie.

Dienst 04Audit & borging

Implementatie, audit en borging

Wij begeleiden bij de uitvoering van beleid, het aantoonbaar maken voor de auditor en het structureel borgen van afspraken en processen in de praktijk. Onze lead-auditor-blik helpt u documentatie en bewijsvoering al vroeg op het juiste niveau te brengen.

Dienst 05AI op maat

AI-adviezen op maat

Keuze en implementatie van AI-oplossingen afgestemd op uw organisatie, met expliciete aandacht voor wetgeving (AI Act, AVG, NIS2), dataclassificatie, gebruikersgroepen en risico’s. Geen generiek advies, maar een onderbouwde keuze voor uw context.

Dienst 06AI-beleid

AI-geletterdheid en AI-beleid

Het opstellen van AI-beleid, dataclassificatieschema’s (welke data mag wel en niet met welke AI) en bewustwordingsprogramma’s voor uw personeel. Hiermee voldoet u aan artikel 4 van de EU AI-verordening, dat sinds februari 2025 verplicht dat medewerkers die met AI werken voldoende kennis hebben om dat veilig en verantwoord te doen.

Specialismen

Gericht op consultancy in informatiebeveiliging, ISO-27001 en NEN-7510 implementaties en veilige AI-inzet

Bespreek uw vraagstuk
  • Nulmeting en gap-analyse: waar staat u, wat ontbreekt nog?
  • Risicoanalyse en het kiezen van passende beheersmaatregelen
  • Beleidsstukken en ISMS-documentatie
  • ISO-27001 en NEN-7510 implementatie
  • Procesinrichting: van beleid naar werkbare processen
  • Begeleiding bij uitvoering, externe audit en duurzame borging
  • Veilig en verantwoord implementeren van AI
  • AI-compliance: EU AI Act, AVG en NIS2
  • Lead-auditor-perspectief (accreditatietraject ISO 27001 Lead Auditor)

Een vraag of een traject in voorbereiding?

Wij denken graag met u mee.

Een eerste kennismaking, een nulmeting, of een second opinion op uw AI-strategie — neem gerust contact op. Wij bespreken samen wat uw organisatie nodig heeft.

Vrijblijvend kennismaken