Twin

VEILIG ENVERANTWOORD

Twin's databeleid

Subsidieprofessionals werken met de gevoeligste data van hun klanten: projectplannen, financiële cijfers, strategische keuzes. AI inzetten op die data vraagt om infrastructuur die past bij de verantwoordelijkheid van het beroep.

Op deze pagina staat hoe Twin daarmee omgaat. Geen marketingbeloftes, wel concrete keuzes en certificeringen.

ISO 27001ISO 27001 gecertificeerd
AIC4NLAIC4NL-deelnemer
GDPR conform
Hoofdstuk 1

Waar staat je data

Alle kerndata van Twin draait op een Hetzner-cluster in Frankfurt, Duitsland. Geen Amerikaanse cloud, geen doorgifte buiten de EU tenzij je daar zelf voor kiest.

EU-hosted bij Hetzner Frankfurt

Applicatie- en API-servers, databases, klantbestanden en het lokaal gehoste LLM (zie hoofdstuk 2) draaien binnen één Europees cluster onder Duits recht.

ISO 27001 gecertificeerd

Twin is ISO 27001 gecertificeerd. Hetzner zelf voldoet aan ISO 27001, ISO 27018 en SOC 2. De combinatie levert een audit-baseline die procurement zonder gedoe accepteert.

Encryptie in transit en at rest

TLS op alle externe verbindingen, encryptie at rest op databases en bestandsopslag, sleutelbeheer onder controle van Twin, en strikte rolgebaseerde toegang.

Hoofdstuk 2

Drie LLM-opties, jouw keuze

We maken een expliciete afweging tussen modelkwaliteit, datasoevereiniteit en zero data retention. Per organisatie configureerbaar.

A

Frontier-model, wereldwijd

Klanten die maximale outputkwaliteit en redeneervermogen nodig hebben.

  • Modellen van OpenAI, Anthropic, Google
  • Verwerking kan buiten EU, onder DPF en SCC's
  • Nooit training op jouw data, contractueel uitgesloten
  • Modelversheid loopt voorop
B

Europees gehost model

Klanten die alle dataverwerking binnen de EU willen houden.

  • Europese aanbieders (bv. Mistral) of EU-deployments
  • Geen doorgifte naar derde landen
  • Nooit training op jouw data
  • Loopt typisch enkele maanden achter op frontier
C

Lokaal gehost in DE

Klanten met de hoogste eisen aan datasoevereiniteit, bv. zorg of overheid.

  • Open-source model op Twin-infrastructuur in Duitsland
  • Zero data retention volledig gegarandeerd
  • Geen prompt of response naar externe partij
  • Modelversheid loopt iets achter op frontier

Combineren mag. Klanten met strikte data-eisen kiezen vaak optie C voor gevoelige fases (verwerken klantdata, conceptteksten) en optie A of B voor algemene taken (samenvatten van openbare regelingen, taalcorrectie).

Hoofdstuk 3

Wat we niet doen met klantdata

Een veelgehoord misverstand is dat Twin "modellen traint" op klantdata. Dat doen we niet. Hier staat wat we wél en niet doen.

Wat we niet doen

Twin past geen fine-tuning toe op klantdata. Modelgewichten worden niet aangepast op basis van wat een organisatie in Twin invoert, en aanvraagteksten van klant A worden in geen enkele vorm gebruikt om generieke modelverbeteringen te maken die ook bij andere organisaties terechtkomen.

Klantdata wordt ook niet ingezet voor marketing, productontwikkeling, of klantspecifieke verfijning bij andere klanten.

Wat we wel doen

Per aanvraag geven we het model context mee: jullie schrijfrichtlijnen, eerdere voorbeelden en projectdocumenten. Die content blijft binnen jullie organisatie, geldt alleen voor die ene aanvraag en wordt niet opgenomen in modelgewichten.

Productverbetering gebeurt op basis van geanonimiseerde gebruiksdata en vrijwillig gedeelde feedback. Multi-tenant isolatie is afgedwongen in elke laag van de applicatie en wordt periodiek getoetst.

Hoofdstuk 4

Hoe je audit-ready blijft

Bij steekproef, interne ISO-audit of klantverantwoording moet je het hele spoor kunnen overleggen. Twin Docs levert dat standaard.

Audit-trail standaard

Elke wijziging, elke AI-call en elke export wordt vastgelegd in ISO 27001-conforme logs. Wie deed wat, wanneer, met welke prompt, op basis van welke bronnen.

Retentiebeleid in fases

Geautomatiseerd opschoningsbeleid in twee fases. Soft delete na 90 dagen voor workflow-runs, hard delete 365 dagen na soft delete. GDPR-verzoek wordt binnen 30 dagen uitgevoerd.

Eigenaarschap blijft bij jou

Aanvraagteksten, expert-instructies, eigen templates en voorbeelden in jullie kennisbank zijn en blijven eigendom van jullie organisatie. Bij beëindiging exporteerbaar.

Hoofdstuk 5

Toegang door Twin-medewerkers

Twin-medewerkers hebben uitsluitend toegang tot klantdata om supportvragen te beantwoorden, en alleen wanneer een vraag niet zonder die inzage beantwoord kan worden.

Alle handelingen worden vastgelegd in user activity logs en zijn op verzoek per medewerker terug te halen. Toegang is rolgebaseerd, niet elke medewerker mag bij alle data, en elke Twin-medewerker is contractueel gebonden aan geheimhouding.

Voor procurement en compliance

Het procurement-pakket

Voor de POC- of contractfase sturen we een geconsolideerde set documenten op verzoek toe. Eén mail, alles in één keer.

Verwerkersovereenkomst (DPA) met sub-verwerkers-bijlage
ISO 27001-certificaat
Recente pentest-samenvatting
SSO en SAML-readiness (Entra ID, Okta)
SLA met uptime, response-tiers en escalatie
RBAC-matrix en audit-trail-export-formaten
Incident response procedure
Data-export en exit-procedure

Binnen één werkdag toegestuurd. DPA, ISO 27001-certificaat en sub-verwerkerslijst direct, pentest-samenvatting na korte NDA-uitwisseling.

Pakketinhoud bijgewerkt mei 2026

Direct beschikbaar

Publieke resources die je nu kunt openen, zonder aanvraag.

Trust Center

Sub-verwerkers, certificeringen en beveiligingsdetails.

Support en FAQ

Kennisbank en veelgestelde vragen op support.twinai.nl.

Privacy en security vragen

security@twinai.nl voor specifieke vragen.

Vragen die hier niet beantwoord zijn?

We bespreken graag jouw specifieke compliance-context in een kort gesprek.