KvA Consultancy
Veiligheid & Modern Werken

Het beleidsfundament waar je IT op draait.

Van algemene voorwaarden tot AI Policy, van back-up plannen tot incident response. Wij hebben de complete bibliotheek aan door juristen gevalideerde templates, vertalen ze naar jouw situatie, en helpen je ze ook echt te implementeren.

Plan een gesprek Bekijk de documenten
Waarom dit bestaat

Beleid moet werken, niet alleen bestaan.

De meeste IT-beleidsdocumenten worden één keer gemaakt, gepubliceerd op een gedeelde drive, en nooit meer gelezen. Niemand weet wat erin staat. Niemand handelt ernaar. Als er een incident is, ligt het document in een vergeten map terwijl het bedrijf in brand staat.

Wij doen het anders. We hebben een complete bibliotheek aan beleidsdocumenten en procedures, ontwikkeld in samenwerking met juristen en doorgewinterd in de praktijk bij MKB en startups. Maar belangrijker dan de documenten zelf: we helpen je ze ook te laten werken. Implementeren in je organisatie. Communiceren naar je team. Periodiek herzien als je bedrijf groeit.

Want goed beleid is geen sticker. Het is een fundament.

Voor wie

Voor wie dit is.

Bedrijven die...
  • Hun beleid op orde willen brengen omdat een grote klant het eist
  • Voldoen aan NIS2, AVG of ISO 27001 en daarvoor documentatie nodig hebben
  • Een AI Policy nodig hebben omdat medewerkers ChatGPT gebruiken zonder kaders
  • Een Disaster Recovery Plan willen voordat het noodlot toeslaat
  • Hun BYOD- of thuiswerkbeleid actueel willen maken
  • Hun documentbeheer en bewaartermijnen willen structureren
Bedrijven die NIET...
  • Op zoek zijn naar juridische bijstand bij een specifiek geschil (verwijzen we naar een advocaat)
  • Alleen een handtekening willen op een document dat ze al hebben (we werken op basis van onze eigen templates)
  • Alles met losse 'gratis' templates van internet willen oplossen (die zijn vaak verouderd of juridisch onhoudbaar)
  • Geen tijd of bereidheid hebben om documenten ook daadwerkelijk te implementeren
De bibliotheek

Vier clusters. Ruim 25 documenttypes.

Je hoeft niet alles te hebben. Wel is het verstandig om te weten wat er bestaat, zodat je bewust kiest wat je nodig hebt.

Cluster 1

Extern. Wat klanten en bezoekers zien.

De juridische documenten die de buitenwereld te zien krijgt. Verplicht onder AVG, telecommunicatiewet en consumentenrecht, en visitekaartje voor je professionaliteit.

  • Algemene Voorwaarden (B2B)
  • Algemene Voorwaarden (B2C)
  • Privacy Policy / Privacyverklaring
  • Cookiebeleid
  • Terms of Service
  • Disclaimer
  • Verwerkersovereenkomst (DPA) als verwerker
  • Verwerkersovereenkomst (DPA) als verantwoordelijke

Voor websites, webshops, SaaS-platforms en B2B-dienstverleners. AVG-conform, in begrijpelijke taal, aangepast op jouw product of dienst.

Cluster 2

Intern. Hoe medewerkers met IT omgaan.

Documenten voor je team. Wat mag, wat moet, wat mag niet. Voorkomt 80% van de 'we wisten niet dat dit niet mocht'-incidenten.

  • BYOD-beleid (Bring Your Own Device)
  • Thuiswerkbeleid
  • Acceptable Use Policy
  • Wachtwoord- en MFA-beleid
  • E-mail- en internetgebruik beleid
  • Social media-richtlijnen
  • Onboarding-procedure (IT-deel)
  • Offboarding-procedure (toegang intrekken, devices innemen)
  • Klokkenluidersregeling (IT-gerelateerd)

Vooral relevant bij groeiende teams en hybride werken. Eén keer goed opgezet, jaarlijks bijwerken, dan ben je af van veel gedoe.

Cluster 3

AI & Data. Waar het in 2026 echt op aankomt.

De cluster die de meeste bedrijven nog niet hebben staan. Met de EU AI Act vanaf augustus 2026 en groeiende shadow AI-risico's niet langer optioneel.

  • AI Use Policy (welke tools, welke data, welke regels)
  • Shadow AI-beleid en governance
  • AI Vendor Assessment template
  • Data Classification Policy
  • Data Retention Policy (bewaartermijnen per data-type)
  • Document Management Policy
  • Records Retention Policy
  • Data Sharing Policy (met externe partijen)

Vooral relevant nu de EU AI Act in werking treedt en steeds meer klanten vragen hoe je met hun data omgaat. Wie dit nu op orde brengt, heeft een streepje voor.

Cluster 4

Continuïteit. Voor als het misgaat.

De documenten die je hoopt nooit nodig te hebben, maar zonder welke een incident een ramp wordt. Verplicht onder NIS2 en ISO 27001, verstandig voor iedereen.

  • Informatiebeveiligingsbeleid (ISO 27001-conform)
  • Back-up & Recovery Plan
  • Disaster Recovery Plan
  • Business Continuity Plan
  • Incident Response Plan (eerste 24-72 uur)
  • Datalek-procedure (AVG meldplicht)
  • Vendor Risk Management
  • Toegangsbeheerbeleid
  • Change Management Procedure

Vooral relevant bij bedrijven die afhankelijk zijn van hun IT-systemen, klantdata verwerken, of NIS2-plichtig zijn (direct of via ketenverantwoordelijkheid).

Hoe het werkt

Hoe we te werk gaan.

  1. 01
    Intake
    45-60 MINUTEN

    We bepalen samen welke documenten je nodig hebt en welke niet. Voor de meeste bedrijven zijn dat er minder dan ze denken. We kijken naar je sector, je grootte, je klanten, je verplichtingen vanuit wetgeving of ketenverantwoordelijkheid. Geen one-size-fits-all, wel een doordachte selectie.

  2. 02
    Offerte op maat
    BINNEN 3-7 DAGEN

    Op basis van de intake maken we een offerte. Geen vaste prijslijst omdat de variatie te groot is. Een AI Policy voor een 5-mans startup is een ander traject dan een Disaster Recovery Plan voor een 40-mans organisatie. Wel altijd: vaste prijzen per document of pakket, geen open uurtarief.

  3. 03
    Op maat maken
    5-15 WERKDAGEN

    We pakken de juiste templates en passen die aan op jouw situatie, sector, doelgroep en specifieke risico's. Geen knip-en-plak werk, wel efficiënt omdat de basis al door juristen is gevalideerd. Je krijgt een eerste versie binnen 5-15 werkdagen, afhankelijk van scope.

  4. 04
    Implementatie
    DOORLOPEND

    Documenten op zich doen niks. We helpen je ze ook daadwerkelijk in te voeren: op je website plaatsen, intern communiceren, in je onboarding verwerken, bespreken met je team. Plus: jaarlijkse review om actueel te blijven.

✦ KLAAR ✦

En daarna? Een jaarlijkse review om actueel te blijven.

Eerlijk over scope

Eerlijk over wat we wel en niet doen.

Wat we wel doen
  • Op maat maken van door juristen gevalideerde templates
  • Adviseren welke documenten je nodig hebt en welke niet
  • Praktische vertaling van AVG, NIS2, EU AI Act en andere wetgeving
  • Begeleiden bij implementatie en interne communicatie
  • AI Policy opstellen specifiek voor jouw tools en data-gebruik
  • Disaster Recovery en Business Continuity Plans met technische diepgang
  • Jaarlijkse review of je documenten nog actueel zijn
Wat we niet doen
  • Juridisch advies bij specifieke geschillen
  • Contracten beoordelen die door anderen zijn opgesteld
  • Optreden in juridische procedures
  • Boekhoudkundige of fiscale adviezen
  • Maatwerk-advocatenwerk voor complexe situaties

Onze templates zijn ontwikkeld in samenwerking met juristen gespecialiseerd in ondernemingsrecht, privacyrecht en cybersecurity-recht. Voor specifieke juridische vragen of geschillen werken we samen met advocatenkantoren waar we klanten naartoe verwijzen. We zijn een praktische partner in governance en beleid, geen juridisch kantoor.

Prijzen

Op offerte, omdat de variatie te groot is.

We werken niet met een vaste prijslijst voor deze dienst. De reden is simpel: een AI Policy voor een eenmanszaak is een ander traject dan een complete governance-laag voor een organisatie van 40 mensen. We rekenen niet op uurbasis, wel altijd met vaste prijzen per document of pakket, vooraf afgesproken, geen verrassingen.

Indicatie 1
Klein traject

Eén tot drie documenten op maat. Bijvoorbeeld een AI Policy of een Disaster Recovery Plan. Doorlooptijd 1-2 weken.

Indicatie 2
Middelgroot

Een cluster (bijvoorbeeld alle externe documenten, of alle AI & Data documenten). Doorlooptijd 2-4 weken.

Indicatie 3
Compleet

Volledige governance-laag voor de organisatie. Alle vier clusters. Inclusief implementatie-sessies en jaarlijkse review. Doorlooptijd 4-8 weken.

Concrete prijzen na intake. In het eerste gesprek (gratis, 45-60 min) kijken we wat je echt nodig hebt en geven we direct een onderbouwde offerte.

Veelgestelde vragen

Antwoorden op wat klanten meestal vragen.

Zijn jullie templates echt door juristen goedgekeurd?+

Ja. Onze basistemplates zijn ontwikkeld in samenwerking met advocaten gespecialiseerd in ondernemingsrecht, privacyrecht en cybersecurity-recht. Ze zijn juridisch correct als ze zorgvuldig worden aangepast, wat wij doen op basis van jouw situatie. Voor specifieke clausules of bijzondere juridische vragen werken we wel samen met een advocaat. Daar zijn we eerlijk over.

Waarom geen vaste prijzen op de website?+

Omdat de variatie te groot is om eerlijke prijzen te tonen. Een AI Policy voor een 3-mans bedrijf is in 2 uur klaar. Een complete governance-laag voor een organisatie van 40 mensen is een traject van weken. We werken liever met vaste prijzen per concreet traject dan met misleidende 'vanaf'-prijzen die in de praktijk altijd hoger uitvallen.

Wat is een AI Policy en hebben wij die nodig?+

Een AI Policy beschrijft welke AI-tools medewerkers mogen gebruiken, met welke data, onder welke voorwaarden. In 2026 is dit niet langer optioneel: de EU AI Act stelt transparantie-eisen vanaf augustus 2026, en shadow AI (medewerkers die ongezien tools gebruiken) is een groeiend risico. Als je medewerkers ChatGPT of vergelijkbare tools gebruiken zonder kaders, heb je dit document nodig.

Wat is het verschil tussen een Disaster Recovery Plan en een Business Continuity Plan?+

Disaster Recovery gaat over je IT-systemen: hoe krijg je servers, data en applicaties weer online na een incident. Business Continuity is breder: hoe blijft je hele bedrijf werken bij grote verstoringen (cyberaanval, gebouw uit, sleutelmedewerker uit). Beide zijn verplicht onder NIS2 en sterk aanbevolen onder ISO 27001. Wij maken ze meestal als gekoppelde set.

Hoe vaak moet ik mijn documenten updaten?+

Jaarlijks reviewen is verstandig. Bij grote veranderingen (nieuwe diensten, fusies, nieuwe sectoren, wetswijzigingen) tussentijds. Wij bieden jaarlijkse review als doorlopende dienst, we bekijken of documenten nog actueel zijn en passen aan waar nodig.

Wat als ik al documenten heb maar ze willen vernieuwen?+

Geen probleem. We beoordelen wat je hebt, geven aan wat actueel is, wat verouderd, en wat ontbreekt. Vervolgens werken we óf jouw bestaande document bij óf maken we een nieuwe versie. Beide kan, afhankelijk van wat efficiënter is en juridisch verstandiger.

Doen jullie ook documenten voor specifieke sectoren?+

Ja. We hebben aangepaste templates voor onder andere: e-commerce, SaaS, advocatuur, architectuur, zorginstellingen, horeca en marketingbureaus. Voor zeer specifieke sectoren (medische apparatuur, financiële dienstverlening, kinderopvang) werken we samen met specialisten.

Kunnen jullie ook documenten in het Engels leveren?+

Voor de meest voorkomende documenten ja: Privacy Policy, Terms of Service, Cookie Policy, AI Use Policy. Voor zeer specifieke juridische documenten in het Engels werken we samen met een vertaler met juridische ervaring.

Hoe past dit bij jullie andere diensten?+

Heel goed. Een AI Policy zonder werkende AI-implementatie is een papieren tijger, wij doen beide. Een Disaster Recovery Plan zonder werkende back-up is theoretisch, wij regelen ook de techniek. Veel klanten beginnen met één document en breiden uit naar bredere IT-ondersteuning. Dat hoeft natuurlijk niet, je kunt prima alleen documenten afnemen.

Gerelateerde dienst
Heb je een breder compliance-traject nodig?

Voor NIS2-readiness, ISO 27001-richting, en jaarlijkse compliance-onderhoud.

Bekijk Wet- en regelgeving
Gerelateerde dienst
Wil je ook de techniek erbij geregeld?

Onze documenten werken het beste als de onderliggende techniek ook klopt. Beveiliging, back-ups, MFA, het hele plaatje.

Bekijk Beveiliging

Even een bakje koffie doen?

Bel ons, mail ons, of kom langs voor een goede koffie. Geen verkoopverhaal, geen verplichtingen. Gewoon kennismaken en kijken of er een klik is.

Bellen
+31 6 51 77 97 35
Mailen
info@kvaconsultancy.com
Langskomen
Plan een bakje koffie

We zitten in Utrecht · Spreken Nederlands, Engels en koffietaal.