Help CenterHelpcentrum

ISO 27001 is the international standard for information security. It sets requirements for setting up, implementing, maintaining and improving an Information Security Management System (ISMS). It helps organisations manage risks and safeguard the confidentiality, availability and integrity of data.

ISO 27001 is de internationaal erkende norm voor informatiebeveiliging. De standaard stelt eisen aan het opzetten, implementeren, onderhouden en verbeteren van een Information Security Management System (ISMS). Het helpt organisaties om risico's te beheersen en de vertrouwelijkheid, beschikbaarheid en integriteit van data te waarborgen.

ISO 27001 is not a legal requirement in the Netherlands, but it is increasingly required by clients, partners and data providers as a precondition for collaboration. For organisations that handle sensitive business data from multiple parties, like a platform processing retail data from suppliers and retailers, ISO 27001 certification is the standard that proves data is handled securely.

ISO 27001 is geen wettelijke verplichting in Nederland, maar wordt in toenemende mate vereist door klanten, partners en data providers als voorwaarde voor samenwerking. Voor organisaties die werken met gevoelige bedrijfsdata van meerdere partijen, zoals een platform dat retaildata van leveranciers en retailers verwerkt, is ISO 27001 certificering de standaard waarmee je aantoonbaar maakt dat data veilig wordt behandeld.

Yes. Captain is ISO 27001 certified. An independent, accredited party has verified that our security practices meet the strictest requirements for data storage, access management, risk management and continuity. ISO 27001 is not a static certificate, it requires continuous improvement and periodic re-audits. Our security is therefore not set up once and forgotten, it is structurally monitored and maintained.

Ja. Captain is ISO 27001 gecertificeerd. Een onafhankelijke, geaccrediteerde partij heeft getoetst dat onze beveiligingspraktijken voldoen aan de strengste eisen op het gebied van dataopslag, toegangsbeheer, risicobeheer en continuïteit. ISO 27001 is geen statisch certificaat, het vereist continue verbetering en periodieke heraudit. De beveiliging wordt dus niet eenmalig ingericht en daarna vergeten, maar structureel bewaakt en bijgehouden.

Captain runs on Microsoft Azure, which complies with international security and compliance standards including ISO 27001, SOC 2 and GDPR. This ensures data storage and processing are secured within a highly certified infrastructure.

Captain draait op Microsoft Azure, dat voldoet aan internationale security en compliance standaarden waaronder ISO 27001, SOC 2 en GDPR. Hierdoor zijn dataopslag en verwerking geborgd binnen een hooggecertificeerde infrastructuur.

Yes. Captain runs entirely on Microsoft Azure servers within the European Union, so all data falls under European law including GDPR. Data is processed on behalf of the customer, exclusively for the agreed purposes, and is never shared with third parties outside the contractual scope. ISO 27001 certification is the external verification that confirms our security and privacy practices demonstrably meet the applicable standards.

Ja. Captain draait volledig op Microsoft Azure servers binnen de Europese Unie, waardoor alle data onder Europese wetgeving valt inclusief de AVG. Data wordt verwerkt namens de klant, uitsluitend voor de afgesproken doelen, en nooit gedeeld met derden buiten de contractuele scope. De ISO 27001 certificering is de externe toetsing die bevestigt dat onze beveiligings en privacy praktijken aantoonbaar voldoen aan de geldende standaarden.

Captain runs entirely on Microsoft Azure, hosted in data centers within the European Union. Azure complies with international security and compliance standards such as ISO 27001, SOC 2 and GDPR. This ensures data storage and processing are secured within a highly protected and certified infrastructure.

Captain draait volledig op Microsoft Azure, in datacenters binnen de Europese Unie. Azure voldoet aan internationale security en compliance standaarden zoals ISO 27001, SOC 2 en GDPR. Hiermee zijn dataopslag en verwerking geborgd binnen een hooggecertificeerde infrastructuur.

Yes. All data, at rest and in transit, is encrypted. This applies to data stored within the Captain environment and to data exchanged between systems. Encryption is not an optional layer, it is a fundamental requirement of the infrastructure.

Ja. Alle data, in rust en in transit, is versleuteld. Dat geldt voor data die wordt opgeslagen in de Captain omgeving en voor data die tussen systemen wordt uitgewisseld. Versleuteling is geen optionele laag maar een basisvereiste van de infrastructuur.

By default no. There is no data transfer to servers outside the EU unless the customer explicitly chooses this and it is contractually agreed. All data is by default subject to European law including GDPR.

Standaard niet. Er is geen sprake van dataoverdracht naar servers buiten de EU, tenzij de klant daar expliciet voor kiest en dat contractueel is vastgelegd. Alle data valt standaard onder Europese wetgeving inclusief de AVG.

Sensitive information, such as access tokens or login credentials, is stored encrypted according to applicable security standards.

Gevoelige informatie, zoals access tokens of inloggegevens, wordt versleuteld opgeslagen volgens de toepasselijke security standaarden.

The customer retains full ownership of all data processed through Captain. Captain is not a data owner, we are a processing layer. We connect retailers, data providers and suppliers, but the data flowing through our platform always remains the property of the party that supplied it. We process data on behalf of the customer for one purpose: generating insights for the customer who holds the license. Never for anything else, never shared with other customers, never used outside the agreed scope.

De klant behoudt volledig eigenaarschap van alle data die via Captain wordt verwerkt. Captain is geen data eigenaar, we zijn een verwerkingslaag. We verbinden retailers, data providers en leveranciers, maar de data die door ons platform stroomt blijft altijd van de partij die haar heeft aangeleverd. We verwerken data namens de klant, voor één doel: inzichten genereren voor de klant die de licentie heeft. Nooit voor iets anders, nooit gedeeld met andere klanten, nooit ingezet buiten de afgesproken scope.

At Captain, cross-client access is architecturally impossible. Every customer has a fully isolated environment. One customer's data is never visible or accessible to any other customer. This is not a policy choice but a technical architecture choice, externally audited as part of the ISO 27001 certification.

Bij Captain is cross-cliënt toegang architecturaal onmogelijk. Elke klant heeft een volledig gescheiden omgeving. Data van de ene klant is voor geen enkele andere klant zichtbaar of toegankelijk. Dit is geen beleidsafspraak maar een technische architectuurkeuze die extern wordt getoetst als onderdeel van de ISO 27001 certificering.

For data sources where the data provider sets specific requirements for storage and processing, the data is stored in the customer's own cloud environment. Captain processes that data in flight but never stores it in our own infrastructure. The customer determines where the data sits, in which region and on which environment. Captain acts as a processing layer, not as a storage location.

For standard data sources, such as retailer POS data from platforms like SIS or 7EVEN, or ex-factory data from the supplier itself, data may be stored on Captain's own secured servers, unless the customer or data provider requires otherwise. Here too: the data belongs to the customer and is only used for the agreed purposes.

Voor databronnen waarbij de data provider specifieke eisen stelt aan opslag en verwerking, wordt de data opgeslagen in de eigen cloud omgeving van de klant. Captain verwerkt die data onderweg, maar slaat hem nooit op in onze eigen infrastructuur. De klant bepaalt waar zijn data staat, in welke regio en op welke omgeving. Captain fungeert dan als verwerkingslaag, niet als opslaglocatie.

Voor standaard databronnen, zoals retailer POS data uit platforms als SIS of 7EVEN, of ex-factory data van de leverancier zelf, kan data op Captain's eigen beveiligde servers staan, tenzij de klant of data provider iets anders vereist. Ook hier geldt: de data is van de klant en wordt alleen gebruikt voor de afgesproken doelen.

Yes. Captain always operates in compliance with the security and usage terms of third parties that provide data to the customer, such as retailers, distributors or data portals. Our processes align with existing agreements between the customer and these providers.

Ja. Captain handelt altijd in lijn met de security en gebruikersvoorwaarden van derde partijen die data aan de klant leveren, zoals retailers, distributeurs of dataportals. Onze processen sluiten aan op de bestaande afspraken tussen klant en provider.

When a customer stops using Captain, all data Captain has processed on their behalf is removed from our systems. The customer decides what happens to their data and can export it at any time before the relationship ends. We do not hold data after termination. This is a contractual commitment that we uphold, externally verified as part of the ISO 27001 certification.

Als een klant stopt met Captain, wordt alle data die Captain namens die klant heeft verwerkt verwijderd uit onze systemen. De klant bepaalt zelf wat er met zijn data gebeurt en kan die altijd exporteren voordat de samenwerking eindigt. We houden geen data vast na beëindiging van het contract. Dit is een contractuele afspraak die wordt gehandhaafd, en die extern wordt getoetst als onderdeel van de ISO 27001 certificering.

Nobody has automatic access to customer data, not even Captain employees. Access is granted based on role and necessity, and always temporarily. As soon as the necessity ends, the access ends.

Niemand heeft zomaar toegang tot klantdata, ook eigen medewerkers van Captain niet. Toegang wordt verleend op basis van rol en noodzaak, en altijd tijdelijk. Zodra de noodzaak vervalt, vervalt de toegang.

Technically, access is secured through multi-factor authentication, strict role-based access control and full audit logging.

Technisch is dit geborgd via multi-factor authenticatie, strikte rolgebaseerde toegangscontrole en volledige audit logging.

Yes. Every action on customer data is logged. Who saw or did what, when, can always be reconstructed. This is not a paper exercise but a working part of the security infrastructure.

Ja. Elke actie op klantdata wordt gelogd. Wie heeft wanneer wat gezien of gedaan kan altijd worden gereconstrueerd. Dit is geen papieren exercitie maar een werkend onderdeel van de beveiligingsinfrastructuur.

No. AI models are not trained on any data from the platform, not by Captain and not by any third party. Customer data remains strictly separated and is only used to answer questions within your own environment. Captain operates with a zero data retention configuration, so nothing is stored or logged outside the customer environment after a query.

Nee. De AI modellen worden niet getraind op data van het platform, niet door Captain en niet door een derde partij. Klantdata blijft strikt gescheiden en wordt alleen gebruikt om vragen te beantwoorden binnen de eigen klantomgeving. Captain werkt met een zero data retention configuratie, dus na afloop van een query wordt er niets opgeslagen of gelogd buiten de eigen klantomgeving.

Three things are important to know:

1. Your data never leaves your environment. Everything runs within Microsoft Azure in the EU, in your isolated Captain environment.
2. Your data is never used to make AI models smarter. Not by Captain, not by Microsoft, not by OpenAI.
3. The AI has no direct access to your database. The language model cannot browse through your data on its own.

The language model is therefore a translator between your question and your data, not an extraction mechanism. After the question is answered, nothing remains, in line with our zero data retention configuration.

Drie dingen zijn belangrijk om te weten:

1. Jouw data verlaat nooit jouw omgeving. Alles draait binnen Microsoft Azure in de EU, in jouw afgeschermde Captain omgeving.
2. Jouw data wordt nooit gebruikt om AI modellen slimmer te maken. Niet door Captain, niet door Microsoft, niet door OpenAI.
3. De AI heeft geen directe toegang tot jouw database. Het taalmodel kan niet zelf rondkijken in je data.

Het taalmodel is dus een vertaler tussen jouw vraag en jouw data, geen extractie mechanisme. Na het beantwoorden van de vraag blijft er niets achter, conform onze zero data retention configuratie.

For unstructured sources such as market reports, PDFs and documents, Captain uses a Retrieval-Augmented Generation (RAG) system. This system retrieves relevant information from documents and uses it to answer questions, without incorporating the documents into the AI model itself.

Voor ongestructureerde bronnen zoals marktrapporten, PDF's en documenten gebruikt Captain een Retrieval-Augmented Generation (RAG) systeem. Dit systeem haalt relevante informatie op uit documenten en gebruikt die om vragen te beantwoorden, zonder de documenten op te nemen in het AI model zelf.

Captain follows best practice AI governance principles, including:

• separation of data and model
• logging and monitoring of AI output
• fallback mechanisms in case of uncertainty

Captain also uses Microsoft Azure AI services, built with strict Responsible AI guidelines. Data processed through these services is not used for model training or improvement and stays within the secured Azure environment. See Azure OpenAI data privacy for details.

Captain volgt best practice AI governance principes, waaronder:

• scheiding van data en model
• logging en monitoring van AI output
• fallback mechanismen bij onzekerheid

Captain gebruikt daarnaast Microsoft Azure AI services, gebouwd met strikte Responsible AI guidelines. Data die via deze services wordt verwerkt, wordt niet gebruikt voor model training of verbetering en blijft binnen de beveiligde Azure omgeving. Zie Azure OpenAI data privacy voor details.

In most cases, no direct involvement from the IT department is needed. However, if a connection to internal data sources (such as a BI environment or data warehouse) is desired, we kindly ask to be connected with someone from the IT team for technical coordination.

As long as manual uploads or only external data sources are used, onboarding and integration can be fully managed without involving internal IT resources. This keeps the impact on existing IT teams to a minimum and allows Captain to act as an extension of your IT team.

In de meeste gevallen is geen directe betrokkenheid van IT nodig. Als er echter een koppeling met interne databronnen gewenst is (zoals een BI omgeving of data warehouse), vragen we contact met iemand uit het IT team voor technische afstemming.

Bij handmatige uploads of alleen externe databronnen kan onboarding en integratie volledig zonder interne IT resources. Dat houdt de impact op bestaande IT teams minimaal en laat Captain fungeren als een verlengstuk van je IT team.

There are several ways to provide data, depending on what best fits your existing workflows:

• Via APIs or connectors (for example with data providers, BI tools or data warehouses)
• Manually, through uploads on the platform. Data can be securely shared using the upload feature within Captain. This is a safe way to share flat files such as Excel or CSV when an automated connection is not (yet) available.
• Automated via data feeds or integrations
• Uploading documents such as market reports or PDFs, which are indexed and made searchable by the AI assistant

We always aim for the most automatable delivery method to minimise manual work. This reduces the risk of errors and ensures a more efficient process for all parties involved.

Er zijn meerdere manieren, afhankelijk van wat past bij je bestaande workflows:

• Via API's of connectoren (bijvoorbeeld met data providers, BI tools, of data warehouses)
• Handmatig via uploads op het platform. Data kan veilig worden gedeeld via de upload functionaliteit, geschikt voor flat files zoals Excel of CSV als er nog geen automatische koppeling is.
• Geautomatiseerd via data feeds of integraties
• Door documenten te uploaden zoals marktrapporten of PDF's, die geïndexeerd en doorzoekbaar worden gemaakt door de AI assistent

We streven altijd naar de meest automatiseerbare leveringsmethode om handmatig werk te minimaliseren. Dit verlaagt het foutrisico en zorgt voor een efficiënter proces voor alle betrokken partijen.

No. Power BI licenses are not required. All dashboards and reports are included within the Captain platform and accessible directly through our interface.

If you already have in-house Power BI reports, we can embed those directly into the Captain platform for seamless access. You can also leverage the clean, harmonised dataset we provide to build your own dashboards internally using your Power BI expertise, at no extra cost.

If you prefer to host dashboards in your own BI environment (such as Power BI, Tableau or another platform), the embedded functionality cannot be used. In that case, the customer is responsible for the necessary licenses and any associated infrastructure costs.

Nee. Power BI licenties zijn niet vereist. Alle dashboards en rapportages zijn inbegrepen binnen het Captain platform en direct toegankelijk via de interface.

Als je al in-house Power BI rapporten hebt, kunnen we die direct in het Captain platform embedden voor naadloze toegang. Je kunt ook de schone, geharmoniseerde dataset gebruiken om intern eigen dashboards te bouwen met je Power BI expertise, zonder extra kosten.

Wil je dashboards in je eigen BI omgeving hosten (zoals Power BI, Tableau, of een ander platform), dan kan de embedded functionaliteit niet gebruikt worden. In dat geval is de klant verantwoordelijk voor de benodigde licenties en eventuele infrastructuurkosten.