Naar de inhoud

Factsheet Security

Versie 1.8 - 3 februari 2026
[Click here for the English version]

Lefebvre Sdu Algemeen


Algemene uitgangspunten van het beveiligingsbeleid Lefebvre Sdu:

  • Informatiebeveiliging vormt een essentieel aandachtspunt binnen Lefebvre Sdu;
  • De dagelijkse verantwoordelijkheid ligt bij de Chief Information Security Officer (CISO);
  • Lefebvre Sdu heeft een algemeen beveiligingsbeleid, dat is uitgewerkt naar diverse gebieden, waaronder Disaster Recovery;
  • Er is een procedure over het omgaan met en vastleggen van security incidenten. Incidenten worden geëvalueerd en onderzocht op de Root Cause.
  • Lefebvre Sdu is gecertificeerd volgens het NIS2 Quality Mark op niveau QM30 (High). Daarnaast werkt Lefebvre Sdu volgens de principes van ISO 27001; formele certificering is voorzien medio 2026.

De medewerkers van Lefebvre Sdu:

  • Werken op een beveiligde omgeving;
  • Onze medewerkers zijn zich bewust van hun verantwoordelijkheden op het gebied van informatiebeveiliging. Hiervoor is een bewustwordingsprogramma;
  • Zijn deskundig, op hun eigen gebied en waar nodig op het gebied van informatiebeveiliging;
  • Zowel interne als externe medewerkers zijn gebonden aan een geheimhoudingsbeding, zoals vastgelegd in hunarbeidsovereenkomsten. Tevens is een dergelijke clausule opgenomen in de contracten met derde partijen die toegang hebben tot onze systemen.

Het fysieke & logisch toegangsbeleid van Lefebvre Sdu kent onder andere:

  • Elektronische toegangscontrole op het pand en de etages, en alle bezoekers worden vastgelegd;
  • Een autorisatiematrix waarin alle medewerkers zijn opgenomen;
  • Een op rollen gebaseerde toegang tot gegevens, dat is ingedeeld op basis van de uitgangspunten “need-to-know” en “least privilege”;
  • Eisen ten aanzien van wachtwoordgebruik;
  • Alle medewerkers maken gebruik van MFA.

Verdere algemene securitymaatregelen binnen Lefebvre Sdu zijn:

  • Alle Lefebvre Sdu applicaties zijn opgenomen in een Asset Management Database;
  • Alle laptops en medewerkers staan in de Microsoft Active Directory;
  • Voor End-point security wordt er gebruik gemaakt van een XDR-applicatie geïnstalleerd op alle apparaten. Deze applicatie biedt een uitgebreide detectie en respons, een cyberbeveiligingstechnologie die cyberbeveiligingsbedreigingen bewaakt en vermindert;
  • Lefebvre Sdu maakt gebruik van een SOC vanuit onze Franse moedermaatschappij Lefebvre Sarrut;
  • Alle applicaties en websites worden gemonitord ten aanzien van beschikbaarheid.

De DevOps systeemontwikkeling binnen Lefebvre Sdu heeft de volgende kenmerken:

  • ij hanteren een Agile en DevOps werkwijze, waarbij ontwikkeling en beheer nauw samenwerken en software in korte cycli wordt getest, uitgerold en gemonitord;
  • Ons platform draait op Amazon AWS, met dataopslag uitsluitend binnen de Europese Unie;
  • Er zijn gescheiden omgevingen voor ontwikkeling, test en acceptatie (OTA) en productie (P);
  • In deze omgevingen is alle data versleuteld opgeslagen;
  • Er zijn standaard (ontwikkel)richtlijnen waarin de OWASP-richtlijnen één van de uitgangspunten vormt;
  • Een aantal van deze richtlijnen worden centraal afgedwongen, zoals de configuratie van AWS, gebruik van hulpmiddelen, inrichting van de logging en audittrail van alle applicaties;
  • Er wordt gebruik gemaakt van vulnerability scans en monitoring om up-to-date te blijven met software updates. Hierover wordt door de DevOps teams gerapporteerd;
  • Voor het testen wordt geen klantdata gebruikt.

GenIA-L | Rechtsorde is een web gebaseerde applicatie die verbinding maakt met meerdere API's. Het platform van Lefebvre Sdu, waarvan de dienstverlening wordt aangeboden, beschikt over de volgende kenmerken:

  • Wordt in de Europese Unie gehost;
  • Geïmplementeerd als containerimages in Kubernetes;
  • Infrastructuur als code beheerd via GitOps;
  • Source code gehost op GitHub;
  • Geautomatiseerde builds en deployments met behulp van GitHub Actions;
  • Autorisatie maakt gebruik van OIDC (OpenID Connect);
  • API's krijgen een JWT-bearertoken aangeboden.


GenIA-L | Rechtsorde is onderdeel van Rechtsorde en voegt generatieve AI-functionaliteit toe. Kenmerken:

  • GenIA-L | Rechtsorde valt als AI-systeem onder de reikwijdte van de AI Act, maar kwalificeert niet als een AI-systeem met onaanvaardbaar risico of als hoogrisico-AI; wel zullen transparantieverplichtingen gaan gelden in 2026 voor de chatfunctionaliteit die gebruikmaakt van generatieve AI, waar we nu zoveel mogelijk al aan voldoen;
  • Lefebvre Sdu biedt geen general-purpose AI (GPAI) aan in de zin van de AI Act;
  • GenIA-L | Rechtsorde is bedoeld voor het doen van juridisch-fiscaal onderzoek;
  • Er wordt gebruik gemaakt van OpenAI Large Language Modellen (LLM’s);
  • LLM's worden gehost op Microsoft Azure OpenAI binnen de Europese Unie;
  • Microsoft Azure deelt de data niet met OpenAI;
  • Microsoft Azure traint niet op ontvangen of gegenereerde data en gebruikt het ook niet om Microsoft-producten te verbeteren;
  • Microsoft Azure slaat geen gegevens op rond het gebruik van Azure OpenAI door Lefebvre Sdu
  • De door Microsoft Azure verwerkte klant-data betreft enkel de ingevoerde zoekvraag, die niet te herleiden is tot de vraagsteller, in combinatie met relevante Lefebvre Sdu content en in het geval van Rechtsorde content van derden.