Welke regels we volgen.
Met bron-URL, niet met "compliant".
Geen "ISO-stickers"-marketing. We tonen per kader exact waar we staan: live, deels of op aanvraag — met de specifieke artikelen, mappings en effectieve datums. Op basis van wettelijke bron, niet onze interpretatie.
De grote zes.
AVG, NIS2, DORA en aanverwanten. Per kader: scope, status, en welke artikelen we hard implementeren.
AVG/GDPR
LiveAlgemene Verordening Gegevensbescherming
EU-breed (Verordening 2016/679) — alle persoonsgegevens-verwerking
- Art. 5 verwerkingsbeginselen — minimalisatie, doelbinding, opslagbeperking
- Art. 15-22 betrokken-rechten — inzage / rectificatie / verwijdering / portabiliteit / bezwaar
- Art. 28 verwerkersovereenkomst — DPA + sub-processor-registry publiek
- Art. 32 beveiligingsmaatregelen — encryptie at-rest + in-transit, RBAC, audit-log
- Art. 33-34 datalek-meldplicht — 72u toezichthouder, 24u klant-notify
- Art. 35 DPIA — beschikbaar voor klanten met hoge-risico-verwerkingen
- Art. 44-49 doorgifte buiten EU — geen US-cloud in default-stack (geen CLOUD Act-blootstelling)
UAVG
LiveUitvoeringswet AVG (NL)
Nationale uitvoering AVG voor Nederlandse workspaces
- Aanvullende Nederlandse bepalingen op Verordening 2016/679
- Toezichthouder: Autoriteit Persoonsgegevens (AP)
- BSN-verwerking alleen wettelijke grondslag — extra audit-event op elke BSN-mutatie
- Per land geldt nationale uitvoering: BDSG (DE) · LIL (FR) · LOPDGDD (ES) · etc — zie /dpa
NIS2
DeelsNetwork and Information Security Directive 2
EU 2022/2555 — essentiële + belangrijke entiteiten
- NL-implementatie via Cyberbeveiligingswet (Cbw, 2026)
- RighettiOS valt zelf onder "belangrijke entiteit" zodra schaal-drempel gehaald wordt
- Klanten in NIS2-scope (energie, transport, zorg, overheid, finance) krijgen aanvullende SLA + incident-rapportage
- Incident-rapportage: 24u early-warning · 72u incident-notification · 1 maand final-report
- Supply-chain risk-management — sub-processors in /subprocessors gedocumenteerd
DORA
DeelsDigital Operational Resilience Act
EU 2022/2554 — financiële sector + ICT-leveranciers
- Van toepassing voor banken, fintech, verzekeraars, betaaldienstverleners
- RighettiOS als ICT-third-party: contractuele DORA-clausules beschikbaar voor finance-klanten
- ICT-incident classificatie + escalatie-pad — gemapped op onze severity-buckets
- Threat-led penetration-testing (TLPT) op aanvraag voor enterprise-finance-klanten
- Operational-resilience-testing (ORT) — onze maandelijkse restore-oefening + chaos-engineering
ePrivacy
LiveePrivacy Directive 2002/58/EC + nationale uitvoering
EU-breed — cookies, electronic communications, marketing
- Geen tracking-cookies, geen advertising-pixels in de app
- Functionele cookies (sessie, CSRF) zonder consent — wettelijk toegestaan
- Email-marketing: opt-in only, één-klik unsubscribe via Brevo
- Geen "AI-training" op klant-data — contractueel vastgelegd in DPA art. 4
DSA
LiveDigital Services Act (EU 2022/2065)
Tussenpersonen / online platforms — beperkt relevant
- RighettiOS is geen "very large online platform" (VLOP) — DSA-zware lasten n.v.t.
- Notice-and-action mechanisme via legal@righettios.com voor user-generated-content
- Transparantie-rapportage op aanvraag voor enterprise-klanten
Voor zorg, finance en certificering.
NEN-7510 voor zorg, ISO-familie voor management-systems, SOC 2 voor US-georiënteerde enterprise, Peppol voor e-invoicing.
NEN-7510
DeelsInformatiebeveiliging in de zorg
Nederlandse zorgsector — wettelijk verplicht voor BIG-geregistreerde + zorginstellingen
- Mapping van AVG Art. 32 + ISO 27001 Annex A naar zorg-context
- BSN-handling, patiëntdossier-toegang, audit-trail per inzage
- Self-attestatie via /security · onafhankelijke certificering beschikbaar voor enterprise-klanten op aanvraag
- Zorg-pilots vereisen aanvullend Wbsn-z + Wgbo-mapping — beschikbaar op aanvraag
ISO 27001
Op aanvraagInformation Security Management System
Internationaal — bewijs van management-system voor InfoSec
- Hetzner zelf is ISO 27001 + 27017 + 27018 + TÜV gecertificeerd (infrastructuur-laag)
- RighettiOS B.V. eigen certificering: beschikbaar voor enterprise-klanten op aanvraag
- Annex A controls grotendeels al geïmplementeerd — zie compliance-mapping op /security
- SOA (Statement of Applicability) op aanvraag voor enterprise-prospects
ISO 27701
Op aanvraagPrivacy Information Management System
Privacy-extensie op ISO 27001
- PIMS-controls geïntegreerd in ISO 27001-traject
- Beschikbaar voor enterprise-klanten op aanvraag
SOC 2 Type II
Op aanvraagService Organization Control 2
AICPA-kader, US-georiënteerd — relevant voor enterprise-klanten met US-aandeelhouders
- Trust Services Criteria: Security · Availability · Confidentiality · Privacy
- Controls geïmplementeerd via ISO 27001-baseline · 12-maands observatie-window via Type II-traject
- Audit-rapporten beschikbaar voor enterprise-klanten op aanvraag
Peppol
LivePan-European Public Procurement Online
EU + globaal — e-invoicing tussen overheden en bedrijven
- Native UBL 2.1-export voor alle facturen
- Peppol Access-Point partner-gated (Storecove / Unifiedpost) voor verzending
- BIS Billing 3.0 + EN-16931 compliant
- Validation-preview vóór verzenden — geen verworpen facturen door format-fout
30 Europese landen — bewaartermijn × e-invoice × chart-of-accounts.
Workspace.country bepaalt chart-of-accounts + bewaartermijn + BTW-aangifte-frequentie. Client.country bepaalt BTW-tarief + e-invoice-format + factuur-taal. Strengste norm wint bij conflict.
| Land | Bewaartermijn | VAT | E-invoice format | Mandaat | Chart-of-accounts | Aangifte |
|---|---|---|---|---|---|---|
NLNederland | 7 jaar (fiscaal) | 21% | Peppol UBL · NLCIUS | B2G verplicht · B2B vrijwillig | RGS 3.6 | BTW-aangifte 1 mnd / 1 kwartaal |
DEDuitsland | 10 jaar (HGB) | 19% | XRechnung · ZUGFeRD 2.x | B2G verplicht · B2B verplicht 2027 | SKR 03 / SKR 04 | USt-Voranmeldung monthly / quarterly |
ITItalië | 10 jaar (CC) | 22% | FatturaPA via SdI | B2G + B2B + B2C verplicht | OIC | Liquidazione IVA mnd / kw |
FRFrankrijk | 10 jaar (CdC) | 20% | Factur-X · Chorus Pro | B2G verplicht · B2B fasen 2026-2027 | PCG (FR) | CA3 maandelijks |
ESSpanje | 6 jaar (LGT) | 21% | Facturae · FACe | B2G verplicht · B2B fasen 2026-2027 | PGC (ES) | IVA mod. 303 kwartaal |
BEBelgië | 7 jaar | 21% | Peppol UBL · Mercurius | B2G verplicht · B2B verplicht 2026 | PCMN | BTW kw / mnd |
PLPolen | 5 jaar | 23% | KSeF (verplicht) | B2G + B2B verplicht 2026 | KŚT | JPK_VAT maandelijks |
SEZweden | 7 jaar | 25% | Peppol UBL | B2G verplicht · B2B vrijwillig | BAS | Skattedeklaration monthly / quarterly |
ATOostenrijk | 7 jaar | 20% | ebInterface · Peppol UBL | B2G verplicht (USP-portal) · B2B vrijwillig | Einheitskontenrahmen | USt monthly / quarterly |
GBVerenigd Koninkrijk | 6 jaar (HMRC) | 20% | Geen mandaat · UBL ondersteund | Geen verplichting · MTD VAT live | UK SBR | MTD VAT kwartaal |
Bron: nationale belastingdiensten + EU-Commissie e-invoicing observatorium · laatst geverifieerd 2026-04-20.
Welke NL-regels we toepassen.
Elke regel met code, waarde, rechtsvorm-scope en bron-URL. Wijzigt een tarief? Dan zie je dat hier eerst, en in je workspace een notificatie voordat we het doorvoeren.
BTW / VAT(3)
Drempels & grenzen(3)
| Regel | Waarde | Rechtsvormen | Bron |
|---|---|---|---|
KOR-omzetdrempel (kleine-ondernemersregeling) NL.VAT.KOR.THRESHOLD | € 20000 | ZZP, EENMANSZAAK, VOF… | Bron → |
Minimum uren voor zelfstandigenaftrek + MKB-winstvrijstelling NL.THRESHOLD.URENCRITERIUM | 1225 uur | ZZP, EENMANSZAAK | Bron → |
Kleinschaligheidsinvesteringsaftrek 2026 drempels NL.DEDUCTION.KIA.THRESHOLD | € 2901 — € 110998 | Alle | Bron → |
Aftrekposten(2)
Loonadministratie(3)
Aangifte & bewaartermijnen(2)
Geen fiscaal advies. Bij twijfel raadpleeg je accountant of de Belastingdienst. We documenteren wat de software automatisch toepast — niet of dat in jouw situatie de juiste keuze is.
Eén klik, één bestand voor je auditor.
Settings → Enterprise → "Compliance-rapport download". PDF met alle relevante policy-snapshots + 90-dagen audit-summary + sub-processor-versie. Elk download-event zelf óók geaudit als evidence-trail.
Per-rol percentage met 2FA enabled · gemiddelde tijd-tot-2FA na invite.
Actieve CIDR-ranges · fail-closed status · laatste wijziging-datum.
Geconfigureerde IdPs · JIT-provisioning status · token-rotatie-historie.
Custom of standaard · acceptance-history · versie-nummer per acceptatie.
Per resource-type · toegepaste landen-default · custom overrides.
Idle-lock · max-age · concurrent-session-limit · device-binding.
Counts per AuditAction-type laatste 90 dagen · trends + spikes.
Actieve versie · laatste wijziging · klant-acceptance-status.
Hoe we wijzigingen doorvoeren.
Wettelijke wijzigingen zijn onvermijdelijk. Deze flow zorgt dat ze niet onverwacht je administratie raken.
- 1Detectie
Bij elke wijziging (nieuw tarief, nieuwe drempel, nieuw e-invoice-mandaat) maken we een nieuwe versie van de regel — de oude blijft staan voor audit-traceability.
- 2Notificatie
Je workspace krijgt een in-app notificatie minimaal 30 dagen vóór effectieve datum: "Het BTW-standaardtarief verandert per datum X van Y% naar Z%".
- 3Keuze
Je kiest: auto-overstappen op effectieve datum, of handmatig bevestigen. Bestaande facturen/boekingen blijven onaangeroerd.
- 4Bevriezing per factuur
Elke factuur krijgt de gebruikte regel-versie bevroren in appliedRules, zodat jaren later nog verklaarbaar is waarom een factuur 21% had terwijl een vergelijkbare factuur later 22% had.
- 5Documentatie
De wijziging staat hier op deze pagina, met effectieve datum + bron-URL + diff t.o.v. vorige versie. Audit-event in compliance-PDF.
Veelgestelde vragen.
Bieden jullie fiscaal of juridisch advies?
Nee. We documenteren welke regels we automatisch toepassen, met bron-URL en laatst-geverifieerd-datum. Bij twijfel raadpleeg je accountant of de relevante toezichthouder (Belastingdienst NL, Bundeszentralamt für Steuern DE, Agenzia delle Entrate IT, etc).
Hoe vaak update je de regels?
NL fiscaal: na elke Belastingdienst-update of Prinsjesdag-wijziging — typisch 2-4× per jaar. EU-frameworks (GDPR/NIS2/DORA): bij elke nieuwe richtlijn of grote interpretatie-shift. E-invoicing-mandates: zodra een land een nieuwe verplicht-datum publiceert. Wijzigingen worden in-app geannonceerd vóórdat ze ingaan.
Wat als een tarief midden in een fiscaal jaar verandert?
Bestaande facturen blijven onaangeroerd — elke factuur krijgt de gebruikte regel-versie bevroren in appliedRules. Nieuwe facturen vanaf de effectieve datum gebruiken het nieuwe tarief. Je workspace krijgt een in-app notificatie minimaal 30 dagen voor de wijziging.
Wat als een land waar wij in werken niet in jullie lijst staat?
Voor de 30 Europese landen in de tabel hierboven hebben we native ondersteuning. Voor andere landen: de basis (facturatie + UBL) werkt overal, alleen zonder land-specifieke chart-of-accounts en e-invoicing-mandates. Stuur ons een feature-request — we voegen landen toe op basis van klant-vraag.
Kunnen wij een compliance-rapport krijgen voor onze interne audit?
Ja — Settings → Enterprise → Compliance-PDF download. Snapshot van alle policies (2FA-coverage, IP-allowlist, SSO, SCIM, DPA-versie, retention, session-max-age) + 90-dagen audit-summary + sub-processor-versie. Eén klik, downloadbaar PDF, zelf óók geaudit als evidence-trail.
Welke kaders zijn voor onze sector relevant?
Algemeen MKB/bureaus: AVG + Peppol + nationaal fiscaal. Zorg: + NEN-7510 + Wbsn-z + Wgbo. Finance/banken: + DORA + nationale toezichthouders. Overheid: + NIS2 + BIO + sovereign-deployment. Onderwijs: + IBP-norm. Stuur ons je sector → we mappen de relevante kaders.
Hoe verhouden NL-regels zich tot EU-regels?
EU-regels (Verordeningen) gelden direct. EU-richtlijnen (Directives, bv. NIS2) worden per land ge-implementeerd — voor NL via Cyberbeveiligingswet. Bij conflict prevaleert EU-recht. RighettiOS volgt de strengste norm tussen beide; werk je in meerdere landen, dan past de app per workspace.country de juiste regels toe.
Wat als de wet verandert en jullie niet snel genoeg updaten?
Update-SLA: kritieke wettelijke wijzigingen (BTW-tarief, e-invoice-deadline) worden vóór effectieve datum doorgevoerd. Vertraging = een storing — zie /status voor incident-history. Voor enterprise-klanten contractueel vastgelegd: legal-update-SLA 30 dagen vóór effectieve datum.