Het beschermen van (persoons)gegevens is een prioriteit. We hebben robuuste security maatregelen geïmplementeerd, de hoeksteen van onze toewijding aan privacy, en houden alle gegevens veilig.

Enkele belangrijke hoogtepunten om te vermelden op het gebied van security zijn:

1. Adequate maatregelen ter bescherming tegen security bedreigingen

Jaarlijks voeren wij een IT-risicoanalyse en Business Impact Assessment uit

(BIA) om ervoor te zorgen dat security en privacy risico's adequaat worden afgedekt door security en privacy maatregelen en om te beoordelen of de maatregelen nog steeds voldoen aan de nieuwste privacywetgeving en de stand van zaken op het gebied van cybersecurity-bedreigingen. 

De gedefinieerde maatregelen zijn gebaseerd op de internationale standaarden van AICPA (SOC 2 Trust Service Criteria voor serviceorganisaties, update van maart 2020), ISO (ISO27001: 2022) en BSI (C5:2020 minimumvereisten voor veilige cloud computing). Om ervoor te zorgen dat we alle relevante security en privacy maatregelen hebben geïmplementeerd, hebben we een onafhankelijk IT-auditbureau (KPMG) gevraagd om een ​​audit uit te voeren. Deze audit resulteert in een SOC 2 ® assurance-rapport dat aantoont dat de vereiste security en privacy maatregelen zijn geïmplementeerd en de afgelopen 12 maanden effectief zijn geweest.

2. Sterke toegangscontroles

Wij hebben adequate wachtwoordvereisten, autorisaties worden toegewezen op basis van het ‘least privilege access’- en ‘need to know’-principe, en hebben multi-factor-authenticatie (MFA) geïmplementeerd om het risico op ongeautoriseerde toegang te minimaliseren.

3. Wij houden onze producten en IT-infrastructuur nauwlettend in de gaten

We voeren voortdurend (handmatige) penetratietests en kwetsbaarheidsscans van binnen en buiten uit met professionele security tools op ons platform en websites om ervoor te zorgen dat kwetsbaarheden worden geïdentificeerd. We beschikken over een kwetsbaarheden-management proces om ervoor te zorgen dat de kwetsbaarheden tijdig worden opgelost en dat open deuren voor hackers worden voorkomen.

4. Versleutelde gegevens en beschermde back-ups

Uiteraard worden de gegevens op ons platform zowel “in rust” als “in transit” versleuteld met adequate protocollen zodat hackers geen toegang hebben tot de gegevens. Daarnaast hebben we ook bescherming van back-ups geïmplementeerd als extra maatregel bij het bestrijden van ransomware-aanvallen.

5. NextGen bescherming tegen virussen en malware

Een heel belangrijk aspect is het beschikken over adequate anti-virus en anti-malware software op de laptops en servers om virussen en malware ter plekke te stoppen. We gebruiken professionele NextGen anti-virus en anti-malware software om elke opduikende dreiging actief te monitoren en onmiddellijk actie te kunnen ondernemen.

6. Intakes zorgen voor security en privacy by design

Voor alle nieuwe initiatieven en wijzigingen in bestaande processen of (nieuwe) derde partijen is een verplichte security- en privacy-intake en beoordeling van kracht om te garanderen dat security en privacy by design worden geïmplementeerd voor de persoonlijke en vertrouwelijke gegevens die (nieuw) worden verzameld en/of verwerkt.

7. Adequate hardening 

Hardening is een van de belangrijke security maatregelen om het security niveau te verhogen, omdat het een minimaal security niveau biedt voor de betrokken IT-middelen. Daarom hebben we onder andere de CIS en AWS Foundational Benchmarks-baseline geïmplementeerd voor de IT-middelen in onze AWS-hostingomgeving en hebben we een CIS-baseline voor onze laptops geimplementeerd.

8. Sterk leveranciersmanagement

Leveranciers zijn de achilleshiel in het security raamwerk. Daarom kiezen we enkel voor externe leveranciers die aan onze standaarden voldoen en hebben we sterke controles op leveranciersbeheer geïmplementeerd. Tijdens het afsluiten van de contracten met derden zorgen wij ervoor dat de relevante privacymaatregelen zijn getroffen (onder andere een gegevensverwerkingsovereenkomst) en beoordelen we of leveranciers voldoende security hebben getroffen. Jaarlijks beoordelen wij de leveranciers op naleving van onze interne security standaard op basis van door de leverancier aangeleverde SOC 2 en/of andere security rapporten.

Wilt u meer informatie over security, neem dan contact op met jouw accountmanager.