Jouw gegevens in goede handen
Bij de keuze voor SaaS zijn security en privacy hele belangrijke thema’s. Terecht, want je moet er altijd op kunnen vertrouwen dat de gegevens van jouw organisatie – persoonsgegevens in het bijzonder – veilig zijn. Wij begrijpen dat. De veiligheid van ons platform, netwerk en producten heeft daarom dag en nacht de hoogste prioriteit.
Infoland levert slimme software die wordt ingezet door organisaties zoals die van jou. Wij zorgen er 24/7 voor dat de software veilig, beschikbaar en in topconditie is. Wat er binnen de software gebeurt, wordt bepaald door jouw organisatie. Jullie bepalen zelf wie toegang krijgt tot de software en wat die personen mogen zien en doen binnen de software. Daarnaast bepalen jullie zelf hoe er wordt omgegaan met (persoons)gegevens die worden opgeslagen in de software.
Het waarborgen van de privacy van personen die werken met de software is dus niet puur een zaak van Infoland. Het is iets wat we samendoen met jou.
Wij vinden het belangrijk om transparant te zijn over de wijze waarop onze software omgaat met persoonsgegevens. Daarom hebben we het voor gebruikers eenvoudig gemaakt om de geldende privacyverklaring te bekijken. Wat er precies ín die verklaring staat, bepaalt jouw organisatie zelf. We helpen je daarbij graag op weg; je kunt onze standaardtekst als uitgangspunt gebruiken.
Alle gegevens die worden opgeslagen in de software van Infoland blijven gegarandeerd binnen de Europese Economische Ruimte (EER). Deze gegevens vallen dus onder de Europese wetgeving.
Infoland is volledig ‘in control’ over de locaties waar jouw gegevens worden opgeslagen. We maken gebruik van de Microsoft Azure-cloud, maar hanteren daarbij de strikte policy dat zowel applicatie, live data als back-ups enkel in Azure regio’s binnen de EER geplaatst mogen worden. In de praktijk maken we momenteel gebruik van Azure datacenters in Nederland en Ierland.
De AVG (Algemene verordening gegevensbescherming) verplicht organisaties die persoonsgegevens verwerken om datalekken te melden aan de juiste autoriteit (afhankelijk van de Nationaliteit van de betrokken(en)). Bij een datalek moet de ‘verantwoordelijke’ van de gegevens de melding maken. Infoland is niet de ‘verantwoordelijke’ van de gegevens maar de ‘verwerker’. Bij een eventueel datalek zal Infoland de contactpersoon binnen jouw organisatie tijdig en compleet informeren. Zo kunnen jullie als organisatie voldoen aan de verplichtingen die jullie hebben als ‘verantwoordelijke’.
Wanneer is er sprake van een datalek?
Indien er inbreuk op de beveiliging heeft plaatsgevonden (beveiligingsincident), zullen wij aan de hand van de beleidsregels meldplicht datalekken van de Europese toezichthouders bepalen of er ook een datalek heeft plaatsgevonden. Er is enkel sprake van een datalek als er onrechtmatige verwerking heeft plaatsgevonden.
Gaat Infoland zelf meldingen doen richting de juiste autoriteit of betrokkenen?
Nee. Jouw organisatie is (als verantwoordelijke van de persoonsgegevens) zelf primair verantwoordelijk voor het maken van een melding richting de juiste autoriteit of betrokkenen. Infoland zal jouw organisatie tijdig voorzien van alle benodigde gegevens om de melding te kunnen doen.
Binnen welke termijn neemt Infoland contact op en met wie?
In de beleidsregels meldplicht datalekken geldt een termijn van 72 uur voordat de melding bij de juiste autoriteit moet plaatsvinden. Zodra wij of één van onze hulpleveranciers een datalek heeft geconstateerd, zullen wij jou daar zo snel mogelijk – uiterlijk binnen 48 uur – over informeren. In onderstaand schema zie je met wie wij contact opnemen:
Welke informatie gaat Infoland verstrekken?
Wij verstrekken een beschrijving van de aard en de omvang van het datalek, een inschatting van het aantal getroffen betrokkenen én een indicatie van de aard van de getroffen persoonsgegevens. Verder ontvang je een beschrijving van de getroffenen en een voorstel tot te treffen preventieve en correctieve maatregelen.
Let op!
In het geval dat er met jouw organisatie afwijkende afspraken zijn gemaakt (in een verwerkersovereenkomst), zullen deze prevaleren.
Minstens zo belangrijk als alle technische beveiligingsmaatregelen, is de factor ‘mens’. Daarom stellen wij bij Infoland hoge eisen aan al onze medewerkers. In het bijzonder aan hen die voor het uitvoeren van hun functie in contact komen met klantgegevens.
Jouw gegevens bevinden zich in zwaarbeveiligde datacenters. Voor meer informatie over de (fysieke) beveiliging van het Azure platform zie: https://docs.microsoft.com/nl-nl/azure/security/fundamentals
De Infoland SaaS-omgeving is ondergebracht binnen de Microsoft Azure cloud. Voor de toegangsbeveiliging maken we gebruiken van diensten als Azure DDos Protection en Azure Web Application Firewall.
Binnen onze SaaS-dienst zijn de gegevens van elke klant strikt gescheiden. De architectuur van de software garandeert dat gebruikers nooit gegevens van andere klanten kunnen benaderen. Dit houdt in dat elke klantomgeving voorzien is van een eigen beveiligingssleutel. Raakt er één gecompromitteerd, raakt dit andere klanten niet.
Voor de hosting van onze software maken we gebruik van platform-as-a-service diensten binnen Microsoft Azure. Groot voordeel daarvan is dat Microsoft er doorlopend voor zorgt dat alle onderdelen van het platform up-to-date zijn. Dit zorgt uiteindelijk voor minder risico’s, beveiligingspatches, et cetera.
Voor de software-onderdelen die binnen virtual machines draaien geldt dat we zelf continu alert zijn op nieuwe kwetsbaarheden in software van derden (bijv. operating systems, software frameworks) en ervoor zorgen dat benodigde updates zo snel mogelijk worden uitgerold.
Toegang tot de software is enkel mogelijk na succesvolle authenticatie. Een combinatie van gebruikersnaam en wachtwoord vormt de basis. Een hoger beveiligingsniveau kan worden verkregen door 2-factor authenticatie in te schakelen (One-Time-Password algoritme) en/of de toegang tot de software te beperken tot specifieke IP-reeksen.
Ook is het mogelijk om de authenticatie te laten uitvoeren door dedicated identity management/SSO-oplossingen op basis van het SAML 2.0 protocol. Zie ook integratie met andere systemen.
Binnen de software krijgen medewerkers enkel toegang tot de gegevens waartoe zij gemachtigd zijn. Onze software beschikt daartoe over een fijnmazig systeem van rechten en rollen die aan groepen of individuen kunnen worden toegekend. Iedere inlogpoging en mutatie die wordt gedaan binnen het systeem wordt bovendien gelogd.
Al het gegevensverkeer tussen uw browser, mobile device en onze software wordt versleuteld middels 2048-bit SSL-certificaten. Wachtwoorden worden opgeslagen in een onomkeerbare vorm middels een salted hash algoritme.
Informatiebeveiliging is nooit klaar. Elke dag kunnen er nieuwe bedreigingen ontstaan. Daarom laten we onze software minimaal een keer per jaar een penetratietest ondergaan door een externe, gespecialiseerde partij. Daarnaast maken we doorlopend gebruik van online monitoring- en detectietools die onze software en infrastructuur toetsen aan (o.a.) de OWASP top 10.
Wij maken gebruik van de diensten van (o.a.) Computest voor het uitvoeren van penetratietests en code security reviews. Dit draagt bij aan de veiligheid van onze SaaS-dienst.
In het onwaarschijnlijke geval dat zich toch een informatiebeveiligingsincident voordoet, staan wij meteen in de startblokken om actie te ondernemen. Bijvoorbeeld door snel een update voor onze software uit te rollen. Daarnaast kunnen we in het geval van calamiteiten gebruik maken van een gespecialiseerd cyber response team.
Wij houden van duidelijke afspraken. Daarom streven wij ernaar om met iedere organisatie, die gebruik maakt van onze SaaS-diensten, een verwerkersovereenkomst af te sluiten. Ook vanuit de Europese privacy wetgeving, ook wel GDPR of AVG genoemd, worden opdrachtgevers en leveranciers ertoe verplicht verwerkersovereenkomsten af te sluiten waarin afspraken worden vastgelegd aangaande de verwerking van persoonsgegevens.
Om het jou gemakkelijk te maken, hebben we een standaard verwerkersovereenkomst ontwikkeld die recht doet aan de belangen van beide partijen. Ook kan een modelovereenkomst, die is opgesteld door een branche-/koepelorganisatie, als vertrekpunt dienen.
Lees meer over model- en verwerkersovereenkomsten voor de Zenya software op Infoland.eu.
Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.
Zelf zien wat Zenya voor jouw organisatie kan betekenen? Vraag een gratis demo aan.
Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.