logo

Securityoverzicht
NENote

Versie: 1.0
Datum van inwerkingtreding: 11 juni 2026
Laatst bijgewerkt: 11 juni 2026

Dit Securityoverzicht beschrijft de belangrijkste technische en organisatorische beveiligingsmaatregelen van NENote. NENote is een AI-ondersteund platform voor klinische verslaglegging dat zorgorganisaties ondersteunt bij audio-opnames, transcriptie, conceptverslagen, rapportage, audit logging, organisatiebeheer, rolgebaseerde toegang en facturatie.

Deze pagina is bedoeld voor procurement-, privacy-, compliance- en securityteams. Zij beschrijft de huidige beveiligingsaanpak en benoemt roadmap- of bewijsafhankelijke onderdelen expliciet. NENote claimt op dit moment geen NEN 7510-, ISO 27001- of andere formele certificering.

Artikel 1 — Beveiligingsfilosofie

NENote is ontworpen rond gecontroleerde verwerking van gevoelige zorginformatie. Security is geen losse functie, maar een voorwaarde voor productgebruik, klantonboarding, livegangbeslissingen en leveranciersselectie.

De security-aanpak beperkt toegang tot de juiste gebruiker, rol en organisatiecontext, gebruikt audit trails om relevante acties herleidbaar te maken, versleutelt gevoelige applicatievelden waar de productcontext dat vereist en staat live patiëntdata pas toe na DPA-, onboarding- en go-live goedkeuring. AI-output wordt behandeld als concept voor menselijke beoordeling, niet als autonome besluitvorming. Controles worden beschreven als concrete safeguards en niet als certificeringsclaims.

Artikel 2 — Platformarchitectuur

NENote is een organisatiebewuste multi-tenant SaaS-applicatie. Gebruikers werken binnen een organisatiecontext, waarbij toegang tot opnames, transcripties, rapportages, teaminstellingen en facturatie wordt gekoppeld aan de actieve organisatie en rol.

De architectuur ondersteunt audio-opnames, transcriptieverwerking, AI-ondersteunde generatie van klinische conceptverslagen, rapportage- en exportflows voor menselijke controle, audit events, organisatiebeheer, rollen en permissies, billing- en abonnementsbeheer, achtergrondworkers en runtime-gates voor demo-only, geblokkeerde en goedgekeurde livegangstatussen.

Artikel 3 — Toegangscontrole

NENote gebruikt authenticatie, sessiebeheer en organisatiegebonden autorisatie om toegang tot gegevens te beperken. Toegang wordt beoordeeld op basis van gebruiker, actieve organisatie, rol, lidmaatschap, abonnement, quota en toepasselijke feature-entitlements.

Geïmplementeerde controles omvatten gebruikersauthenticatie via een gespecialiseerde identity provider, organisatie-isolatie per workspace, rolgebaseerde rechten voor beheerders en leden, route- en app-toegangscontrole, abonnements-, usage- en entitlementchecks en verificatie van relevante webhooks en interne callbacks.

Roadmap- en operationaliseringsitems kunnen verdere verfijning van supporttoegang, just-in-time beheerhandelingen en klantgerichte rolrapportages omvatten.

Artikel 4 — Versleuteling en gegevensbescherming

NENote past dataminimalisatie en versleuteling toe om gevoelige gegevens tijdens transport en opslag te beschermen. Transport naar de applicatie en leveranciers verloopt via beveiligde verbindingen. Gevoelige recording- en rapportvelden worden op applicatieniveau versleuteld voordat zij worden opgeslagen.

De controles richten zich op field-level encryption voor gevoelige recording- en rapportvelden, scheiding tussen organisatie- en gebruikerscontexten, runtime-validatie van productieconfiguratie en secrets, bescherming van provider-callbacks en webhookroutes en beperking van logoutput om inhoudelijke consultgegevens waar mogelijk te vermijden.

Productie-KMS, sleutelbeheerbewijs en operationele rotatieprocedures worden per productieomgeving vastgelegd voordat live patiëntdata wordt vrijgegeven.

Artikel 5 — Auditlogging

Audit logging ondersteunt herleidbaarheid, foutonderzoek, securitymonitoring en compliancevragen. NENote registreert relevante gebeurtenissen rond sessies, opnames, transcriptie, rapportages, gebruik, facturatie en beheerdershandelingen.

Logs zijn bedoeld om noodzakelijke technische en organisatorische signalen vast te leggen. Waar mogelijk worden logs beperkt tot metadata en operationele context, niet tot inhoudelijke consultgegevens.

Audit immutability op databaseniveau en aanvullende productie-evidence blijven expliciete bewijs- en hardeningsitems. NENote claimt daarom geen formele auditstandaard of certificering op basis van deze logging.

Artikel 6 — Infrastructuurbeveiliging

NENote gebruikt managed cloudinfrastructuur en gespecialiseerde leveranciers voor hosting, authenticatie, betalingen, transcriptie, AI-verwerking en observability. Productie, preview/staging en development moeten gescheiden credentials, databases, providers en toegangsrechten gebruiken.

Infrastructuurcontroles omvatten environment validation voor kritieke productie-instellingen, health checks, observability hooks, webhook signing-secret checks, guardrails tegen onveilige productieconfiguratie, testkeys en zwakke secrets, en regionale of providergerichte evidence-gates voor live patiëntdata.

Cloudflare wordt voor nenote.nl momenteel als DNS-infrastructuur gebruikt, waarbij de proxy/CDN/WAF/TLS-edge niet is ingeschakeld. Als deze diensten later worden geactiveerd, wordt de relevante security- en subprocessorinformatie vooraf bijgewerkt.

Artikel 7 — Controles voor AI-verwerking

NENote gebruikt AI-verwerking voor transcriptverwerking, klinische conceptverslagen, rapportstructurering en ondersteunende documentbegripflows. AI-output is bedoeld als concept en moet door een bevoegde zorgprofessional worden gecontroleerd voordat deze wordt gekopieerd, geëxporteerd of in een dossier wordt gebruikt.

AI-controles omvatten go-live gating voordat live patiëntdata naar transcriptie- of AI-providers mag, beperking van providerinput tot de context die nodig is voor de gevraagde functie, geen gebruik van klantdata door NENote om eigen AI-modellen te trainen, tijdelijke verwerking voor documentbegrip waar die functie actief is en audit- en usage-events rond relevante AI-flows.

Nieuwe AI-functies worden beoordeeld op datatypes, provider, regio, bewaartermijn, logging, menselijke controle en klantcommunicatie voordat zij voor live gebruik worden vrijgegeven.

Artikel 8 — Gegevensretentie en verwijdering

NENote ondersteunt retentie- en verwijderingscontroles om gegevens niet langer te bewaren dan nodig is voor het doel van de verwerking, contractuele afspraken en toepasselijke wettelijke verplichtingen.

Geïmplementeerde of operationeel ondersteunde onderdelen omvatten retentie- en erasure-logica voor relevante applicatiegegevens, procedures voor access-, export- en deletionverzoeken, scheiding tussen klantinhoud, auditdata, billingdata en security-only metadata, governance voor langere bewaring van audit- of facturatiegegevens en operationele beoordeling voordat live patiëntdata wordt toegestaan.

DSAR- en deletionprocessen worden behandeld als gecontroleerde workflows. Waar aanvullende automatisering of productie-evidence nodig is, wordt dit als operationeel bewijsitem beheerd voordat brede livegang plaatsvindt.

Artikel 9 — Incidentrespons

NENote hanteert een intern incidentproces voor vermoedelijke of bevestigde security- en privacyincidenten. Het proces is gericht op classificatie, containment, onderzoek, herstel, klantcommunicatie en documentatie.

Bij een vermoedelijk incident beoordeelt The North Solution welke systemen, organisaties, gebruikers of datatypes geraakt kunnen zijn, of toegang, beschikbaarheid, integriteit of vertrouwelijkheid is beïnvloed, welke technische maatregelen verdere impact beperken, of klant-, contractuele of wettelijke meldplichten van toepassing zijn en welke follow-up nodig is om herhaling te voorkomen.

NENote publiceert op deze pagina geen generieke responsetijdgaranties. Eventuele SLA’s, meldtermijnen of klant-specifieke verplichtingen worden contractueel vastgelegd.

Artikel 10 — Leveranciers- en subverwerkersbeheer

NENote gebruikt gespecialiseerde leveranciers voor onderdelen zoals hosting, authenticatie, betalingen, transcriptie, AI-functionaliteit, database-infrastructuur, logging en monitoring. Leveranciers die persoonsgegevens namens NENote verwerken worden beoordeeld op doel, datatypes, regio, beveiligingsmaatregelen en contractuele waarborgen.

Leveranciersgovernance omvat een klantgerichte subprocessorpagina, processor- en dataresidency-evidence voordat live patiëntdata wordt vrijgegeven, verwerkersafspraken of passende contractuele waarborgen waar nodig, beoordeling van wijzigingen in leveranciers, regio’s of verwerkingsdoeleinden en herbeoordeling wanneer een leverancier nieuwe functies of dataroutes introduceert.

Artikel 11 — Compliance en governance

NENote is security-first en compliance-focused, maar presenteert controles als huidige safeguards en operationele gates. NENote claimt op dit moment geen NEN 7510-certificering, ISO 27001-certificering, NEN 7513-certificering of algemene “volledige compliance”.

Governancecontroles omvatten een demo-only standaardstatus voor nieuwe organisaties, DPA-acceptatie en go-live goedkeuring voordat live patiëntdata wordt toegestaan, processor-, residency-, encryption- en audit-evidence als livegangvoorwaarden, claim review voor publieke procurement- en marketingdocumentatie en interne SOP’s voor incidenten, supportverzoeken, accessverzoeken en verwijdering.

Roadmapitems kunnen aanvullende formele assurance, externe audits, verdere audit immutability, uitgebreidere klantportalen en periodieke leverancierreviews omvatten. Zulke items worden pas als geïmplementeerd beschreven nadat zij aantoonbaar beschikbaar zijn.

Artikel 12 — Contact met het securityteam

Voor securityvragen, procurementreviews, responsible disclosure of aanvullende documentatie kunt u contact opnemen met:

NENote
The North Solution
E-mail: nenote@thenorthsolution.com
Website: https://www.nenote.nl

Securityoverzicht | NENote | The North Solution | Versie 1.0 | 11 juni 2026

Blijf voorop in de zorg

Blijf op de hoogte van onze veranderingen en nieuwste inzichten

Securityoverzicht NENote | NENote