Laatst bijgewerkt: 16 april 2026
Boldon James Classifier Fortra is een enterprise discovery- en classificatie-engine die bestaande data op file servers, SharePoint, OneDrive, Exchange en endpoints scant, labelt en synchroniseert met Microsoft Purview en Digital Guardian. Primair voor CISO's en informatiebeveiligingsadviseurs bij Nederlandse organisaties met 1.000 tot 10.000 FTE onder NIS2, ISO 27001, BIO of DORA die een historische backlog aan ongelabelde data moeten wegwerken. Discovery-driven, niet creator-driven.
Wat: discovery-engine die ongelabelde bestanden op file servers, SharePoint, OneDrive en Exchange scant, classificeert op basis van 300+ datatypes en automatisch of voorgesteld labelt via een regel-engine met regex, lexicon, proximity en ML.
Voor wie: organisaties met een historische databacklog onder NIS2 artikel 21, ISO 27001 Annex A 8.2, BIO-rubricering of DORA artikel 6.
Waar: op file servers, SharePoint Online en on-premises, OneDrive, Exchange-mailboxen en endpoints. Labels synchroniseren met Microsoft Purview, Digital Guardian en Clearswift via metadata in OOXML en X-headers in SMTP.
Wanneer: na een datalek, in aanloop naar een NIS2- of ISO-audit, bij migratie naar Microsoft 365, of wanneer de Titus-uitrol de backlog aan ongelabelde legacy-data niet afdekt.
Kostenindicatie: per gebruiker per jaar, aangevuld met capaciteitsmodules voor SharePoint, Exchange en endpoints. Concrete cijfers via Korper ICT.
Doorlooptijd: 30-dagen POC op een afgebakende scope, daarna 4 tot 6 maanden volledige uitrol inclusief delta-scanning en Purview-synchronisatie.
Boldon James Classifier is een server- en endpoint-product dat bestaande data doorzoekt, inhoud inspecteert en automatisch een classificatielabel aanbrengt op elk bestand dat aan een regel voldoet. De categorie heet discovery-driven of data-centric classification. Een centrale scan-engine crawlt file servers, SharePoint-sites, OneDrive-accounts en Exchange-mailboxen. Per bestand draait een regelset die combineert: reguliere expressies voor gestructureerde patronen zoals IBAN of BSN, lexicons voor trefwoordenlijsten, proximity-condities die verband tussen termen wegen, en een optioneel ML-model dat documentcategorieën herkent.
De productlijn is oorspronkelijk ontwikkeld door Boldon James in Farnham, Verenigd Koninkrijk, in 2020 overgenomen door HelpSystems en inmiddels onderdeel van Fortra. Het volledige productportfolio heet Boldon James Classifier en bevat File Classifier, SharePoint Classifier, Exchange Classifier, OneDrive Classifier en Classifier Administration Server. In Nederland wordt het product geleverd en ondersteund als onderdeel van de Fortra-portfolio; de implementatie verloopt via Neo Security, de licentiecontractering via Korper ICT.
Boldon James levert drie dingen die een losse script-scan of een standaard Purview discovery-run niet levert. Ten eerste een bibliotheek van meer dan 300 vooraf gedefinieerde datatypes, waaronder Nederlandse patronen zoals BSN, BIC, IBAN, kentekens, kamerstuknummers, zorgcodes en AGB-codes, en internationale equivalenten zoals PESEL voor Poolse persoonsgegevens en NINO voor Britse medewerkersdata. Ten tweede een regel-engine die regex, lexicon, proximity en ML combineert in samengestelde voorwaarden, waardoor false positives beheersbaar blijven. Ten derde een auditlog van elke scan, elke match en elke labelhandeling, leesbaar door Splunk, Microsoft Sentinel en elke andere SIEM.
Boldon James is geen DLP en geen rights management. Het genereert het label waar een DLP, CASB of MFT verderop in de keten op acteert. Daarmee vormt Boldon James de complementaire schakel bij Titus aan de creatie-kant: Titus dekt wat vandaag ontstaat, Boldon James werkt af wat er al was. De twee producten delen hetzelfde schema en dezelfde metadata-velden in OOXML, waardoor beheerders één taxonomie onderhouden in plaats van twee parallelle werelden.
Primaire doelgroep: CISO's, informatiebeveiligingsadviseurs en enterprise architecten bij Nederlandse organisaties met 1.000 tot 10.000 FTE die al jaren ongelabelde documenten op file shares, SharePoint en in persoonlijke mailboxen verzamelen. Die organisaties kennen hun eigen data niet meer in detail. Zij weten dat er persoonsgegevens, contractdata, financiële stukken en gevoelige projectdossiers tussen zitten, maar kunnen op een vraag van de Autoriteit Persoonsgegevens over een specifieke verwerking geen gerichte query draaien. Zij voldoen formeel aan AVG artikel 30 (register van verwerkingsactiviteiten) maar pas na weken forensisch uitzoekwerk per incident.
Secundaire doelgroep: functionarissen voor gegevensbescherming, compliance officers en audit leads bij semi-publieke instellingen (zorg, gemeente, ZBO, uitvoeringsorganisaties) die onder de BIO een rubriceringsplicht hebben op elk document dat zij produceren of ontvangen. Voor hen is Boldon James de technische laag onder een beleidsregel die tot nu toe papier is gebleven. Departementaal vertrouwelijk, staatsgeheim en huishoudelijk zijn geen kwalificaties op een memo; zij worden machineleesbare waarden op elk bestand.
Tertiaire doelgroep: financiële entiteiten onder DORA artikel 6, dat sinds 17 januari 2025 classificatie van ICT-assets en data expliciet verplicht. Die verplichting geldt voor alle historische data, niet alleen voor wat vanaf een bepaalde datum ontstaat. Boldon James is de enige schaalbare manier om die verplichting op een tien- of honderdterabyte-archief in te lopen zonder per mapstructuur een projectplan op te tuigen.
Boldon James past minder goed bij drie typen organisaties. Bij kleine MKB-omgevingen onder 100 FTE overschrijdt de beheerlast van een centrale scan-infrastructuur het baatgevoel. Bij organisaties waar de dataset volledig in een gestructureerde database leeft en niet in bestanden, is een DAM- of DAG-tool met native database-inspectie effectiever. Bij organisaties zonder schema en zonder classificatiebeleid eerst: een scanner die geen labels om uit te delen heeft, produceert alleen een lijst met matches. De volgorde is schema eerst, discovery daarna.
Sectoren waarin Boldon James in Nederland het vaakst voorkomt: centrale overheid en uitvoeringsorganisaties onder de Baseline Informatiebeveiliging Overheid, financiële dienstverlening onder DORA, ziekenhuizen en zorgverzekeraars met NEN 7510 en AVG-dossiers, industriële organisaties met intellectueel eigendom in decennialange engineering-archieven, en advocatuur met notariële en juridische dossiers.
Boldon James draait op drie topologische lagen: een centrale administratie-server, een of meer scan-nodes, en optionele endpoint-agents. De administratie-server is Windows Server met SQL Server als backend en host het classificatieschema, de regel-engine, de audit-console en de connector-configuraties. Scan-nodes zijn aparte Windows Server-machines die het eigenlijke crawlen en inspecteren uitvoeren; een enterprise-setup heeft doorgaans twee tot vier scan-nodes achter een coördinator die werkpakketten verdeelt.
File Classifier scant op klassieke file servers via SMB. De scanner loopt onder een service-account met leesrechten op de doeldirectories en respecteert ACL's zonder ze te wijzigen. SharePoint Classifier werkt via de SharePoint-API voor zowel on-premises farms als SharePoint Online; de connector gebruikt Application Permissions of een Azure AD app-registration met Sites.Read.All voor volledige tenant-coverage. OneDrive-scanning loopt via dezelfde Graph API met gedelegeerde permissies en een app-registratie. Exchange Classifier scant mailboxen via EWS of de Microsoft Graph mail-endpoint, inclusief attachments, calendar items en contacten.
Integratiepunten die Neo Security in Nederlandse omgevingen het vaakst configureert: Microsoft Purview voor bidirectionele labelsynchronisatie, zodat labels die Boldon James uitdeelt als Purview sensitivity labels verschijnen en omgekeerd handmatig gezette Purview-labels door Boldon James worden gerespecteerd. Digital Guardian policy-integratie, waarbij Boldon James-labels als policy trigger dienen voor endpoint-DLP-regels. Clearswift MIMEsweeper op de e-mailgateway voor outbound-inspectie op basis van labels en content. Splunk of Microsoft Sentinel voor auditlog-ingest. Active Directory voor identity-context en groepslidmaatschappen in de regel-engine. GoAnywhere MFT voor label-gedreven routering van externe bestandsuitwisseling.
Het platform leest en schrijft standaard metadata-velden: custom properties in OOXML voor Word, Excel en PowerPoint, XMP-metadata voor PDF, X-Classification-headers in SMTP, en een eigen attribute store voor bestanden zonder native metadata-slot. Visuele markeringen (watermark, header, footer) zijn optioneel maar vaak verplicht onder ISO 27001 Annex A 8.3, dat expliciet leesbare classificatie voor de ontvanger voorschrijft. Voor archiefformaten (ZIP, 7z, TAR) opent de scanner de container, inspecteert elke entry en schrijft een container-metadata-bestand terug zonder de originele inhoud te wijzigen.
Concrete trigger events. Na een datalek waar de Autoriteit Persoonsgegevens een volledig overzicht opvraagt van welke persoonsgegevens in welke systemen verwerkt worden: zonder een gelabeld archief valt die vraag niet binnen redelijke termijn te beantwoorden. In aanloop naar een NIS2-audit waar u onder artikel 21 van richtlijn 2022/2555 moet aantonen dat u risicobeheersmaatregelen op data-niveau heeft ingericht, inclusief classificatie van historische data.
Tijdens een ISO 27001-certificering of herhaalaudit, waar Annex A 8.2 (information classification) en A 8.3 (labeling of information) niet alleen voor nieuwe documenten gelden maar voor de gehele datavoorraad. Bij een migratie naar Microsoft 365 waar legacy file shares naar SharePoint Online moeten, en waar u niet wilt migreren wat u niet kent. Bij een fusie of overname waar u de datavoorraad van een nieuwe entiteit moet integreren en er zekerheid over moet hebben dat gevoelige data correct afgeschermd blijft. Bij een BIO-toetsing door ENSIA voor medeoverheden, waar een inventaris van geclassificeerde documenten onderdeel is van het verantwoordingsrapport.
Organische triggers buiten directe regelgeving: uw Titus-uitrol loopt op nieuwe productie maar de oude file server blijft donkere materie. U krijgt vragen uit legal over welke contracten vertrouwelijkheidsclausules bevatten en u kunt die alleen beantwoorden via een handmatige grep. Uw DLP triggert op patronen maar niet op labels, waardoor u niet kunt differentiëren tussen een intern proefdocument met een test-BSN en een echte personeelsadministratie. U constateert dat het AVG-register onder artikel 30 niet overeenkomt met waar data feitelijk staat.
Adviezen van nationale en Europese autoriteiten versterken de noodzaak. Het Nationaal Cyber Security Centrum benoemt inventarisatie van data-assets als basishygiëne in zijn NIS2-guidance. ENISA beschrijft discovery en classificatie van bestaande data als onderdeel van het cybersecurity-raamwerk dat aan NIS2 ten grondslag ligt. Beide adviesbronnen leggen de bal bij de verantwoordelijke: u kunt niet beschermen wat u niet kent.
Eerlijk antwoord vooraf: beide alternatieven overlappen deels met wat Boldon James doet, en in sommige omgevingen is een combinatie of zelfs een alternatief de juiste keuze. Wij leggen de verschillen uit zonder toe te schrijven naar een voorkeursuitkomst.
Boldon James versus Titus. De twee producten beantwoorden een andere vraag. Titus labelt bij creatie: de gebruiker kiest een gevoeligheidslabel op het moment dat een e-mail verstuurd of een document opgeslagen wordt. Boldon James labelt achteraf: een scanner doorzoekt de bestaande datavoorraad en past een label toe op basis van regels, zonder gebruikersinteractie. De twee sluiten niet uit, ze vullen elkaar aan. Als u alleen Titus uitrolt, blijft de historische backlog ongelabeld en is uw DLP blind voor wat er al was. Als u alleen Boldon James uitrolt, blijft nieuwe productie afhankelijk van hoe goed de scanner inhoud inspecteert, wat minder accuraat is dan een gebruiker die weet wat hij schrijft. Geen gokwerk op metadata, wel een gecombineerde aanpak waarin Titus nieuwe data afvangt en Boldon James de voorraad inhaalt. Veel Nederlandse klanten draaien beide parallel op hetzelfde schema.
Boldon James versus Microsoft Purview Discovery. Microsoft Purview biedt een native discovery-functie via content explorer en de auto-labeling policies in de Purview compliance portal. Voor organisaties die volledig op E5-licenties en binnen de Microsoft-perimeter draaien, is dat een reële optie. Drie verschillen spelen in Nederlandse enterprise-omgevingen.
Ten eerste dekking buiten Microsoft 365. Purview Discovery scant SharePoint Online, OneDrive, Exchange Online en Teams goed, maar legacy file servers, on-premises SharePoint-farms, Exchange on-prem en endpoints niet of pas via aanvullende licenties en connectoren. Boldon James dekt alle vijf met native connectoren en één beheerinterface.
Ten tweede regel-complexiteit. Purview biedt trainable classifiers en sensitive info types, maar complexe samengestelde regels met proximity-condities en lexicon-weging vergen workarounds via KQL-queries of custom regex-sets per label. Boldon James heeft een grafische regel-editor die samengestelde voorwaarden als first-class concept ondersteunt, wat onderhoud op een schema met tientallen categorieën overzichtelijker maakt.
Ten derde data-soevereiniteit. Purview classificeert in de Microsoft-cloud; inhoud passeert de Purview-backend voor inspectie. Voor centrale overheid, zorg en sommige financiële instellingen is dat contractueel of juridisch een obstakel. Boldon James draait volledig on-premises of in een door de klant gecontroleerde tenant, zonder dat documenten buiten de eigen perimeter worden geïnspecteerd.
Hybride is vaker de uitkomst dan of-of. Veel klanten die wij begeleiden, gebruiken Boldon James voor legacy file shares, on-premises SharePoint en Exchange, en laten Purview Discovery de pure Microsoft 365-omgeving afhandelen, met de synchronisatie-connector als brug tussen beide. Dat haalt de sterke kanten van beide systemen en vermijdt een keuze die later terugkeert.
Alternatieven buiten deze twee hoofdopties: Varonis DatAdvantage voor permission-analysis-driven discovery, Spirion Sensitive Data Manager voor pure pattern-matching op persoonsgegevens, en BigID voor data-intelligence in regulated industries. Elk heeft een eigen zwaartepunt. In Nederland heeft Boldon James de breedste combinatie van native Nederlandse patronen (BSN, zorgcodes, AGB, kamerstuknummers), BIO-mapping en een servicebare leveranciersstructuur met Nederlandstalige engineers.
De architectuur in prose. Een Nederlandse klant in de zorgsector met 4.500 FTE en 80 TB ongestructureerde data draait Boldon James op een administratie-server Windows Server 2022 met SQL Server 2019, gespiegeld naar een tweede datacenter als warm standby. Drie scan-nodes draaien parallel: één voor de file servers (ongeveer 60 TB), één voor SharePoint Online en OneDrive via Graph API, en één voor Exchange Online via EWS. Een vierde endpoint-agent wordt via Microsoft Endpoint Manager uitgerold op 4.500 werkplekken in waves van 300.
Agent deployment op file servers verloopt via een service-account met leesrechten op de te scannen UNC-paden en schrijfrechten op een aparte metadata-staging-share. De scanner raakt de inhoud van de bestanden niet aan; alleen de classificatie-metadata wordt in een alternate data stream of in een custom property weggeschreven, afhankelijk van het bestandsformaat. Voor ongeschreven formaten (legacy tekstbestanden zonder metadata-slot) houdt de administratie-server een externe index bij, gekoppeld aan een hash van het bestand.
De SharePoint- en OneDrive-connector gebruikt een Azure AD app-registration met Sites.Read.All, Files.Read.All en User.Read.All. De connector werkt deltagewijs via de Graph Delta-API: na de eerste volledige sweep worden alleen nieuwe of gewijzigde items geïnspecteerd, doorgaans tientallen tot honderden items per minuut op een organisatie van deze omvang. De Exchange-mailbox-scanner draait elke nacht een delta op actieve mailboxen en tijdens weekends een volledige sweep op gedelegeerde shared mailboxen en archief-mailboxen.
De datatype-bibliotheek die wij voor deze klant activeren bevat onder meer BSN (met 11-proef), IBAN (met mod-97-validatie), BIC, PESEL voor Poolse medewerkerdata, zorgcodes op AGB- en UZI-niveau, kamerstuknummers voor correspondentie met het ministerie van VWS, en kentekens. Bovenop de 300+ voorgedefinieerde datatypes schrijft de compliance-beheerder een twaalftal eigen patronen voor organisatiespecifieke identifiers zoals cliëntnummers en dossierreferenties.
De regel-engine combineert vier bouwstenen. Regex herkent gestructureerde patronen met een vaste vorm. Lexicons bevatten trefwoordenlijsten zoals medicatienamen, diagnostische codes of juridische termen. Proximity-regels eisen dat twee termen binnen een bepaalde karakter-afstand voorkomen, bijvoorbeeld de combinatie van een naam en een medisch attribuut binnen 200 tekens. Het optionele ML-model classificeert documenttypes (contract, rapport, notitie, e-mail) op basis van structurele kenmerken en woordfrequenties. Een samengestelde regel combineert die bouwstenen met logische operatoren, zodat de match pas valideert wanneer meerdere signalen samenvallen.
Delta-scanning is de kritieke mode voor een productie-omgeving. De eerste volledige scan van 80 TB duurt bij deze klant circa vijf tot acht dagen op drie parallelle scan-nodes, afhankelijk van de verdeling tussen kleine en grote bestanden. Daarna draait het systeem in delta-mode: alleen bestanden met een gewijzigde modification-timestamp of een gewijzigde hash komen opnieuw langs, doorgaans 50 tot 500 GB per dag, afgewerkt in een nachtvenster. De deltakalender staat in de administratie-server; herstel na een downtime pakt zonder verlies op bij het laatst bevestigde checkpoint.
De Purview-labelsynchronisatie loopt via een connector die elke vijf minuten labelwijzigingen aan beide kanten opmerkt en propageert. De Digital Guardian policy-integratie exporteert labels via een XML-feed naar de DG Management Console, waar endpoint-DLP-regels op gewijzigde labels reageren binnen een kwartier. Clearswift MIMEsweeper op de e-mailgateway leest dezelfde labels via X-Classification-headers in uitgaande mail.
Failure modes die wij in de praktijk zien. ACL-drift: een scan die onder een service-account draait met verouderde groepslidmaatschappen mist een deel van de directories, waardoor de scan onvolledig is zonder dat dat zichtbaar wordt. Remedie: maandelijkse reconciliatie tussen het service-account en het AD-groepsmodel, met een auditregel die ontoegankelijke directories rapporteert. Scan-storm IO-impact: een parallelle scan op vier nodes tegen een overvol SAN veroorzaakt productie-incidenten, zeker bij zorg- en financiële workloads. Remedie: scan-throttling op IOPS-niveau, venster-scanning buiten kantooruren en een exclusie-lijst voor latency-gevoelige shares.
False positives in legacy formats: oude Word 97-documenten, gescande PDF's zonder OCR en propriëtaire CAD-formaten produceren tekstfragmenten die regex-regels doen afgaan op schijnpatronen. Remedie: OCR-preprocessor voor PDF's, formaat-specifieke exclusies voor CAD, en een reviewloop waarin een compliance-beheerder per patroon steekproeven bevestigt. Unicode en encoding in archieven: een ZIP-entry met ISO-8859-15-encoded bestandsnamen breekt de scanner die UTF-8 verwacht, waardoor het archief gemarkeerd wordt als unscannable zonder dat iemand dat opmerkt. Remedie: een fallback-encoding-detector en een periodiek rapport op unscannable-items dat naar de compliance-console gaat.
De doorlooptijd van een typische uitrol. Week 1 tot 4: schema-definitie, POC op een afgebakende scope (doorgaans 2 tot 5 TB, één directoriestructuur, één mailbox-groep), eerste regelset-validatie. Maand 2 tot 3: uitrol van scan-infrastructuur, eerste volledige sweep, Purview-connector configuratie, auditlog-connector naar SIEM. Maand 4 tot 6: delta-mode in productie, Digital Guardian policy-integratie, endpoint-agent roll-out in waves, false-positive-tuning op basis van productie-data. Volgende in de keten na Boldon James is vrijwel altijd Clearswift, omdat u voor elk gelabeld bestand een uitgaand kanaal heeft waar deep content inspection op basis van het label inbound en outbound moet draaien.
Voor de onderliggende vraag waarom classificatie überhaupt ertoe doet, verwijzen wij naar de volledige regulatoire deep-dive. Voor een breder portfolio-overzicht met Titus, Clearswift en Vera verwijzen wij naar de oplossingenpagina. Voor een technische intake of POC-aanvraag is de contactpagina het startpunt.
Titus is creator-driven: de gebruiker labelt bij creatie in Outlook, Office en SAP GUI. Boldon James is discovery-driven: een scanner crawlt bestaande file servers, SharePoint, OneDrive en Exchange en labelt automatisch op basis van 300+ datatypes. Veel Nederlandse organisaties zetten beide in. Titus dekt nieuwe productie, Boldon James werkt de backlog weg en labelt data die de organisatie nooit handmatig aanraakt.
Alleen indirect. Het product leest metadata en naamgeving van versleutelde containers, maar kan de inhoud niet inspecteren zonder decryptiesleutel. In de praktijk configureren wij een integratie met het key management van de klant of met Microsoft Purview rights management, zodat Boldon James onder een service-account met leesrechten de inhoud tijdelijk kan ontsluiten. Voor BitLocker-volumes op endpoints scant de endpoint-agent na ontsleuteling tijdens user-context.
Indicatief 36 tot 72 uur voor 10 TB gemengde file-server-data op een gezonde storage-backend met een Gigabit-netwerkverbinding. Factoren: bestandsgrootte-distributie, aantal kleine bestanden, aantal regel-matches per document en CPU-belasting op de scan-appliance. Na de eerste volledige scan draait delta-scanning: alleen gewijzigde en nieuwe bestanden, doorgaans in minuten per dag. Plan de initiële scan op weekenden of daluren om IO-contention met productieprocessen te vermijden.
Elke regel-match wordt gelogd met context en bron-snippet. Een compliance-beheerder reviewt steekproefsgewijs in de ingebouwde audit-console en markeert false positives per patroon. Het systeem hertraint de proximity- en lexicon-weging op die feedback. Voor hardnekkige gevallen schrijft u een uitzonderingsregel op basis van bestandspad, eigenaar of applicatiemetadata. Escalatie naar handhaving gebeurt pas wanneer de false-positive-ratio onder een met de organisatie afgesproken drempel zakt. De exacte drempel hangt af van de datatypes en de risicobereidheid van uw security-governance.
Ja. Boldon James Classifier heeft een native connector die labels synchroniseert met Microsoft Purview sensitivity labels. De twee systemen delen dezelfde metadata-velden in OOXML en dezelfde label-taxonomie, mits u het schema aan beide kanten spiegelt. Veel klanten gebruiken Boldon James voor discovery en initiële labeling en Purview voor rights management en encryptie. Een POC valideert dat de synchronisatie in uw tenant zonder dubbele labels draait.
Deels. De regel-engine herkent patronen zoals BSN, zorgcodes, kentekens en kamerstuknummers en mapt die op BIO-rubriceringen tot en met departementaal vertrouwelijk. Boldon James labelt automatisch de data die eenduidig onder een regel valt. Voor grensgevallen en staatsgeheim-niveaus blijft een menselijke review-stap verplicht, omdat de BIO een expliciete afgesproken classificatie vereist en geen geautomatiseerde aanname toestaat.
Ja. De Classifier-endpoint-agent draait op Windows 10 en 11 en scant lokale schijven, USB-volumes en netwerkshares die de gebruiker koppelt. De agent werkt ook offline en synchroniseert bevindingen zodra de werkplek weer online is. Op macOS is een beperktere scanner beschikbaar. Voor Linux-servers is er een command-line-agent voor gereguleerde workloads. Endpoint-scanning loopt op user-context en respecteert de ACL's van de gebruiker om privacy-randvoorwaarden te bewaken.
Per-user-subscription per jaar voor de core Classifier-suite, aangevuld met capaciteitsmodules voor SharePoint, Exchange en endpoint-agents op basis van geschaalde gebruikerstellingen. Support-tier en scan-volume bepalen de eindprijs. Concrete cijfers krijgt u van Korper ICT na een sizing-gesprek. Voor rijksoverheid en zorg is een multi-year-overeenkomst gebruikelijk met een aflopende staffel op seats en een vaste support-annex voor BIO- en NEN 7510-audits.
Regulatoire bronnen: AVG 2016/679, NIS2 2022/2555, ISO/IEC 27001:2022.