Architectuur
- Ollii draait op gehardende cloud-infrastructuur binnen de EER.
- Multi-tenant met strikte tenant-isolation per arbodienst/werkgever.
- Encryptie at rest (AES-256) en in transit (TLS 1.2+).
- Backups zijn versleuteld en periodiek hersteltest geverifieerd.
Toegangsbeheer
- Role-based access control (RBAC) per rol: werkgever, casemanager, bedrijfsarts, beheerder.
- SSO via SAML / OIDC voor zakelijke klanten.
- Tweefactor-authenticatie (2FA) verplicht voor beheerdersrollen.
- Just-in-time toegang voor support-medewerkers, met volledige audittrail.
Medische data
- Medische gegevens worden in een apart datadomein bewaard, alleen toegankelijk voor bevoegd medisch personeel.
- Werkgevers en niet-medische rollen krijgen via Ollii nooit toegang tot medische inhoud.
- Verwerking volgt WGBO en het medisch beroepsgeheim.
Compliance frameworks
- ISO/IEC 27001 , informatiebeveiliging.
- NEN 7510 , informatiebeveiliging in de zorg.
- AVG / GDPR , privacy-by-design.
- SIVI AFD 2.0 , open standaard voor uitwisseling met verzekeraars en arbodiensten.
Certificaten zijn opvraagbaar via de footer of via contact@ollii.nl.
Continuïteit
- SLA met 99,9% beschikbaarheid (excl. gepland onderhoud).
- Disaster recovery plan met getest hersteltijd-doel (RTO) en herstelpunt-doel (RPO).
- Geografisch verspreide backups binnen de EER.
Monitoring & detectie
- 24/7 logging en anomaliedetectie.
- Periodieke pentest door onafhankelijke partij.
- Vulnerability scanning op de CI/CD-pipeline.
- Responsible-disclosure programma.
Governance & AI
- AI-governance volgens onze AI-transparantie.
- Privacy Impact Assessments (DPIA) per nieuwe AI-functie.
- FG (Functionaris Gegevensbescherming) toezicht op verwerking.
Audit en transparantie
Klanten kunnen jaarlijks een auditverzoek indienen conform de Algemene Voorwaarden. Op verzoek delen wij security-rapportages, pentest-samenvattingen en compliance-evidence onder NDA.