Maatwerk-ontwikkeling conform BIO 2.0 met OpenZaak/Djuma-integraties, IAMA/DPIA-documentatie en AVG-by-design code-patterns
Den Haag is geen doorsnee IT-markt. In een radius van vijf kilometer staan de departementen, de Tweede Kamer, de Raad van State, honderden internationale organisaties, en een dichtbevolkt ecosysteem van juridische kantoren die dagelijks met gevoelige dossiers werken. Voor deze organisaties is maatwerk AI-software geen "quick win met ChatGPT" — het is een ontwikkeltraject waarin de Baseline Informatiebeveiliging Overheid 2 (BIO 2.0, gepubliceerd in het Staatsblad op 5 maart 2026), de AVG, de Wet open overheid en het Algoritmekader van BZK van meet af aan in de architectuur zitten. Wij bouwen die software, niet als bolt-on achteraf maar als fundament onder elke component.
De kern van onze aanpak: drie regulatoire kaders worden parallel meegenomen vanaf sprint 1 in plaats van aan het einde getest. BIO 2.0 dicteert de technische controls — cryptografie, segmentatie, logging, patching, supply chain security. De AVG met privacy-by-design dicteert hoe de applicatie data verwerkt — dataminimalisatie, doelbinding, pseudonimisering, retentie. Het Algoritmekader + IAMA dicteert hoe AI-beslissingen uitlegbaar, controleerbaar en herstelbaar zijn — transparantie, menselijke tussenkomst, register-vermelding. Bij CleverTech zijn deze drie niet drie losse checklists aan het einde van het project. Ze zitten in de user stories, in de code reviews, in de CI/CD pipeline en in de acceptatiecriteria van elke sprint.
Met de inwerkingtreding van de Cyberbeveiligingswet is BIO 2.0 juridisch verplicht geworden voor overheidsorganisaties. Het officiële PDF-document van BIO2 v1.2 verwijst rechtstreeks naar NEN-EN-ISO/IEC 27001 en 27002 als onderbouwende normen. Voor een software-leverancier betekent dit dat "we doen ons best" niet volstaat — er moet traceerbaarheid zijn van elke control naar het daadwerkelijke artefact dat die control implementeert. Onze werkwijze per control-cluster:
Het verschil tussen "we claimen BIO-compliance" en "we kunnen het per control aantonen" is het verschil tussen een accepted audit en een bevinding die een heel security-assessment blokkeert. Onze documentatie per sprint bevat een BIO-mapping die door jouw eigen CISO of extern auditor direct toetsbaar is.
Haagse overheidsorganisaties werken zelden in één systeem. Een gemeente, ministerie of uitvoeringsorganisatie heeft vrijwel altijd een gelaagd landschap: een DMS (vaak Corsa, Decos, Alfresco of Contezza), een zaaksysteem conform de Common Ground-visie (OpenZaak, Djuma, xxllnc Zaken of Zaaksysteem.nl), een archiveringslaag (e-Depot / e-Hermes), en meerdere kanaal-applicaties (MijnOverheid, chatbot, formulierenplatform). AI-waarde ontstaat juist op de raakvlakken tussen deze systemen — niet in één silo.
Wij bouwen AI-software die via de ZGW-API-standaarden (zaakgericht werken) koppelt. Concreet betekent dat: onze applicatie praat native met het zaaksysteem via de standaard API's (Zaken API, Documenten API, Catalogi API, Besluiten API), zonder dat we een eigen silo-database bouwen die parallel aan de bronregistratie gaat leven. Documenten blijven fysiek in het DMS, zaken blijven in het zaaksysteem, en onze AI-laag verrijkt alleen — classificatie, samenvatting, anonimisering, zoekfunctie — zonder de bronnen te vervuilen. Dat is de kern van de Common Ground gedachte: losse laag voor data, losse laag voor services, losse laag voor interactie.
Voor Haagse juridische kantoren werken we daarnaast met iManage, NetDocuments, Kleos en Legal Tracker. De AI-koppeling daar richt zich typisch op dossieroverzicht (één dashboard over DMS, zaakbeheer, urenregistratie en facturatie), op contractanalyse (clausule-extractie, risicoflag), op jurisprudentie-zoektocht in natuurlijke taal, en op automatische tijdsregistratie op basis van documentactiviteit. Voor NGO's en internationale organisaties met hoofdkantoor in Den Haag focussen we op meertalige documentverwerking (NL/EN/FR/DE), multi-currency rapportages en donor-CRM-integraties waarbij GDPR-eisen buiten de EU-grenzen niet onder tafel mogen.
De Autoriteit Persoonsgegevens is expliciet: bij algoritmische systemen zijn privacy-by-design en privacy-by-default géén adviezen maar verplichtingen. Dat betekent in de praktijk dat privacy-keuzes in de architectuur zichtbaar moeten zijn, niet alleen in een AVG-register. De AI Act brengt daarbij een extra laag verantwoordingsplicht voor systemen met impact op individuen. Wij hanteren acht design-patterns die standaard in onze code-review checklist zitten:
SELECT * op persoonsgegevens-tabellen. Elke query declareert expliciet welke velden nodig zijn voor welk doel, en dat doel is in de code gedocumenteerd.expires_at + cascading delete-jobs met dry-run en audit log).explanation-veld met de factoren die tot de uitkomst leidden, en een link naar de model-versie in het algoritme-register./gdpr/subject-access-route geeft een datasubject zijn volledige verwerking-footprint terug, inclusief logs van AI-beslissingen die hem betreffen.Voor Haagse overheidsklanten combineren we deze AVG-patterns met het IAMA (Impact Assessment Mensenrechten en Algoritmes) — door de Tweede Kamer per motie verplicht gesteld voor overheidsorganisaties die algoritmes gebruiken voor beoordelingen of besluiten over personen. Het CIP heeft een handreiking uitgebracht voor gezamenlijk gebruik van IAMA en Model-DPIA, en in 2025 geldt de afspraak dat tenminste de hoog-risico algoritmes zijn opgenomen in het landelijke Algoritmeregister. Wij leveren bij iedere AI-component standaard de IAMA-mapping, DPIA-input en register-inzending als deel van de acceptatie — niet als losse consultancy-opdracht achteraf.
Eén van de hoogst-impact use-cases in Den Haag is WOO-afhandeling. Sinds de inwerkingtreding op 1 mei 2022 kost elk verzoek onder de Wet open overheid gemiddeld honderden uren: relevante documenten vinden, bladzijde voor bladzijde beoordelen op uitzonderingsgronden, persoonsgegevens anonimiseren, een conceptbesluit opstellen. De minister van BZK heeft in februari 2026 aan de Kamer gemeld dat meer dan 30 AI-initiatieven voor WOO-afhandeling in ontwikkeling zijn bij overheidsorganisaties.
Onze WOO-software classificeert documenten op relevantie, identificeert en maskeert persoonsgegevens automatisch, stelt een concept-besluit op met bronverwijzingen en versnelt timelinereconstructie — maar altijd met een menselijke beslisser in de flow. Het systeem bereidt voor; de ambtenaar besluit. Elke AI-beslissing is traceerbaar naar de onderliggende bron, logbaar in de audit-trail en herroepbaar. Dat is niet alleen goed voor de AVG en het Algoritmekader; het is ook goed voor de relatie tussen burger en overheid.
Geen magische-AI-demo die het aanbestedingstraject wint en in productie stuklopt, maar een werkende integratie in zes tot acht weken, opgebouwd in sprints van twee weken met demo aan het einde van elke sprint. Een BIO-mapping en DPIA-input per sprint, niet als eindrapport maar als living document. Een verwerkersovereenkomst die de AP als template zou accepteren, niet een juridisch minimum-malum. En een afspraak over air-gapped installaties waar de rubricering dat vraagt — wij hebben ervaring met hybride setups waarbij het zaaksysteem on-premise staat en de AI-laag in Azure Europe West draait via een strikt gedefinieerde API-koppeling met request-whitelisting.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.
Departementen en uitvoeringsorganisaties in Den Haag werken vaak met legacy-DMS, Rijkswerkplek-componenten en sector-specifieke zaaksystemen die niet communiceren. Wij bouwen AI-laagjes bovenop die bestaande stack — geen rip-and-replace, wel intelligente extractie, classificatie en workflow-automatisering conform NORA-principes.
Elke user story gekoppeld aan ISO 27001/27002-controls via het BIO 2.0-kader. SBOM per build, HSM-gebaseerde sleutelopslag, tamper-evident audit logging, dependency-scanning in CI. Directe mapping voor jouw CISO of externe auditor — geen check achteraf.
Onze AI-laag koppelt via de Common Ground-standaarden (Zaken API, Documenten API, Catalogi API). Documenten blijven in het DMS, zaken in het zaaksysteem — wij verrijken alleen met classificatie, samenvatting en anonimisering zonder bronvervuiling.
Dataminimalisatie-queries, pseudonimisering vóór inferentie, retentie als schema-veld, purpose-binding per endpoint, uitlegbaarheid in elke AI-response, GDPR-subject-access-route, DPIA-gate in CI/CD. Geen AVG-beleidsplan op papier maar privacy zichtbaar in de architectuur.
Bij elke AI-component leveren we een IAMA-mapping, DPIA-input volgens het CIP-model en register-inzending voor het landelijke Algoritmeregister. Conform de Kamer-motie die IAMA verplicht stelt voor overheidsalgoritmes met impact op personen.
Voor internationale organisaties, rubricering op hoog niveau of verwerkingen met buitenland-risico bouwen we geisoleerde installaties zonder publieke internetroute. Hybride: zaaksysteem on-premise, AI-laag in Azure Europe West (Amsterdam), private endpoint met request-whitelisting en out-of-band update-kanaal.
Maatwerk WOO-software die documenten classificeert op relevantie, persoonsgegevens automatisch maskeert met review-loop, uitzonderingsgronden uit artikel 5.1/5.2 Woo als concept voorbereidt en een timelinereconstructie genereert. Elke AI-beslissing traceerbaar naar bronbladzijde en herroepbaar — de ambtenaar besluit, het systeem bereidt voor.
Antwoorden voor bedrijven in Den Haag
Ja. BIO 2.0 is sinds 5 maart 2026 in het Staatsblad gepubliceerd en met de Cyberbeveiligingswet juridisch verplicht voor overheidsorganisaties. Wij mappen elke sprint-levering tegen de ISO 27001/27002-clausules waarnaar BIO 2.0 verwijst — toegangsbeveiliging (5.15-5.18), cryptografie (8.24), logging (8.15-8.17), supply chain (5.19-5.23). Per control leveren we het artefact: een IaC-template, een policy-configuratie, een CI-pipeline-stap of een procesbeschrijving. Dat maakt de oplevering direct toetsbaar voor jouw CISO of een externe auditor, zonder dat we een aparte compliance-fase na de bouw nodig hebben.
Ja. Wij bouwen native op de ZGW-API-standaarden (Zaken API, Documenten API, Catalogi API, Besluiten API) zoals geformaliseerd door VNG Realisatie. Daarnaast koppelen we met Djuma (inclusief Djumalytics voor document-classificatie), Corsa, Decos, Alfresco en Contezza voor DMS-kant, en met Zaaksysteem.nl, xxllnc Zaken en OpenZaak voor zaaksysteem-kant. Het Common Ground-principe — data in de bron, losse service-laag, losse interactie-laag — is leidend: wij bouwen geen parallel-silo maar verrijken bestaande registraties via standaard-API`s. Voor oudere ZDS-gebaseerde koppelingen zetten we OpenZaakBrug in als vertaler richting ZGW.
Wij hanteren acht design-patterns die standaard in code-review zitten: (1) dataminimalisatie-queries met expliciete veldselectie, (2) pseudonimisering vóór inferentie of analytics, (3) retentie als schema-veld met geautomatiseerde verwijder-jobs, (4) purpose-binding per API-endpoint, (5) uitlegbaarheid-veld in elke AI-response, (6) menselijke tussenkomst als flow-default bij impact-besluiten, (7) een GDPR-subject-access-route die een datasubject zijn volledige footprint teruggeeft, (8) DPIA-artefact-check in CI/CD die een release blokkeert zonder geaccepteerde DPIA. Dit komt direct uit de AP-guidance op AI en algoritmes en uit de AI Act-verplichtingen.
De Tweede Kamer heeft per motie IAMA (Impact Assessment Mensenrechten en Algoritmes) verplicht gesteld voor overheidsorganisaties die algoritmes inzetten voor evaluaties of besluiten over personen. Het CIP heeft een handreiking gepubliceerd voor gezamenlijk gebruik van IAMA en het Model-DPIA Rijksdienst. Wij leveren bij elke AI-component standaard: een IAMA-mapping (welke grondrechten raakt dit algoritme, welke mitigaties), de DPIA-input volgens het CIP-model, en een conceptinzending voor het landelijke Algoritmeregister zodat jouw privacy officer of FG direct kan toetsen. In 2025 geldt de afspraak dat tenminste hoog-risico algoritmes in het register staan — wij zorgen dat jullie bijdrage publicatie-klaar is bij oplevering.
Ja. Voor internationale organisaties met hoofdkantoor in Den Haag, rijks-uitvoeringsorganisaties met rubricering, of NGO`s die buiten de EU-grens werken maar onder EU-AVG blijven, bouwen we geïsoleerde installaties zonder publieke internetroute. Dit kan volledig on-premise op dedicated hardware zijn, of hybride waarbij het zaaksysteem on-premise blijft en onze AI-laag in Azure Europe West (Amsterdam-regio) draait via een private endpoint met request-whitelisting en service-tag-beperking. Updates leveren we via een beveiligd out-of-band kanaal. Voor Rijksoverheid-projecten houden we rekening met de SG-goedkeuring voor publieke cloud en het advies van het Nationaal Bureau voor Verbindingsbeveiliging (NBV).
Ja. De minister van BZK heeft in februari 2026 aan de Kamer gemeld dat meer dan 30 AI-initiatieven voor WOO-afhandeling lopen bij overheidsorganisaties. Wij bouwen maatwerk-WOO-software die: relevante documenten identificeert op basis van een verzoek-intake, automatisch persoonsgegevens maskeert met een explicit-review-loop, uitzonderingsgronden (artikel 5.1 en 5.2 Woo) classificeert als concept met bronverwijzing, en een timelinereconstructie genereert van besluitvorming. Kritisch: de ambtenaar besluit, het systeem bereidt voor. Elke AI-beslissing is traceerbaar naar bronbladzijde, logbaar en herroepbaar. Dat sluit aan bij de Algoritmekader-eis van menselijke tussenkomst en uitlegbaarheid.
Een eerste werkende integratie leveren we doorgaans in zes tot acht weken, in sprints van twee weken met demo aan het einde. Wij rekenen vooraf met jouw interne goedkeuringsprocedures: IB-advies, privacy-review door de FG, security-assessment door jouw CISO, eventueel penetratietest door een derde partij. Onze sprint-oplevering bevat standaard de BIO-mapping, DPIA-input en SBOM, zodat assessments parallel aan de bouw kunnen lopen in plaats van achteraf de deploy vertragen. Voor complexere trajecten met meerdere systemen — bijvoorbeeld een WOO-tool die aan DMS, zaaksysteem én archieflaag koppelt — reken op twaalf tot zestien weken naar eerste productie.
Maatwerk AI-integraties voor juridische en overheidsorganisaties starten vanaf 4.000 euro per maand (inclusief ontwikkeling, hosting op beveiligde infrastructuur en support). Complexere trajecten met meerdere zaaksysteem- of DMS-koppelingen, IAMA-documentatie en air-gapped componenten bewegen tussen 7.000 en 15.000 euro per maand. De intake waarin we het systeemlandschap, de regulatoire eisen en de IAMA-scope doornemen is gratis. Wij tekenen standaard een verwerkersovereenkomst conform het VNG-model of een gelijkwaardig template, en leveren op verzoek een conceptinzending voor het Algoritmeregister mee. Voor langdurige ontwikkeltrajecten werken we met een vaste dedicated team-constructie waarbij jullie product owner de backlog prioriteert; voor kleinere scopes (bijvoorbeeld één WOO-module of één DMS-integratie) werken we met een vaste prijs per milestone zodat de interne budgetcyclus voorspelbaar blijft.
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaGeen verplichtingen. Een kort gesprek of AI-scan is vaak het snelste begin.
