nlenbe-nlDé beste software voor kwaliteits- en risicomanagement.

Security & Privacy

Jouw gegevens in goede handen

Zenya Software voor Kwaliteits- en Risicomanagement - Favicon

Bij de keuze voor SaaS zijn security en privacy hele belangrijke thema’s. Terecht, want je moet er altijd op kunnen vertrouwen dat de gegevens van jouw organisatie – persoonsgegevens in het bijzonder – veilig zijn. Wij begrijpen dat. De veiligheid van ons platform, netwerk en producten heeft daarom dag en nacht de hoogste prioriteit.

AVG/ GDPR-proof

  • Alle gegevens die worden opgeslagen in de software van Infoland, blijven gegarandeerd binnen de EER, en vallen dus onder de Europese wetgeving.
  • Infoland voldoet aan de wetgeving m.b.t het verwerken van persoonsgevens en de meldplicht rondom datalekken.
  • Security & privacy zijn vaste aandachtspunten in ons software-ontwikkelproces.
  • Onze software vereist een minimum aan persoonsgegevens. Organisaties kunnen zelf bepalen welke relevante persoonsgegevens zij registreren.
  • Onze software biedt mogelijkheden voor het verwijderen/anonimiseren van persoonsgegevens. Organisaties bepalen zelf welke bewaartermijnen zij hanteren.
  • Wij sluiten met iedere organisatie, die gebruik maakt van onze SaaS-diensten, een verwerkersovereenkomst af.
  • Gegevens worden veiliggesteld door een uitgebreid palet aan maatregelen.
  • We helpen organisaties wanneer zij als verantwoordelijke een DPIA uitvoeren met het beantwoorden van vragen, het aanleveren informatie, et cetera.
  • Organisaties die gebruik maken van onze software kunnen zelf invulling geven aan de rechten van betrokkenen (inzage, correctie, verwijderen, bezwaar en dataportabiliteit).
  • Infoland maakt het voor organisaties eenvoudig om een privacyverklaring te publiceren in de software.

Privacy waarborgen

Waarborgen van privacy doen we samen

Infoland levert slimme software die wordt ingezet door organisaties zoals die van jou. Wij zorgen er 24/7 voor dat de software veilig, beschikbaar en in topconditie is. Wat er binnen de software gebeurt, wordt bepaald door jouw organisatie. Jullie bepalen zelf wie toegang krijgt tot de software en wat die personen mogen zien en doen binnen de software. Daarnaast bepalen jullie zelf hoe er wordt omgegaan met (persoons)gegevens die worden opgeslagen in de software.

Het waarborgen van de privacy van personen die werken met de software is dus niet puur een zaak van Infoland. Het is iets wat we samendoen met jou.

Wij vinden het belangrijk om transparant te zijn over de wijze waarop onze software omgaat met persoonsgegevens. Daarom hebben we het voor gebruikers eenvoudig gemaakt om de geldende privacyverklaring te bekijken. Wat er precies ín die verklaring staat, bepaalt jouw organisatie zelf. We helpen je daarbij graag op weg; je kunt onze standaardtekst als uitgangspunt gebruiken.

Een Europees beleid

Alle gegevens die worden opgeslagen in de software van Infoland blijven gegarandeerd binnen de Europese Economische Ruimte (EER). Deze gegevens vallen dus onder de Europese wetgeving.

Infoland is volledig ‘in control’ over de locaties waar jouw gegevens worden opgeslagen. We maken gebruik van de Microsoft Azure-cloud, maar hanteren daarbij de strikte policy dat zowel applicatie, live data als back-ups enkel in Azure regio’s binnen de EER geplaatst mogen worden. In de praktijk maken we momenteel gebruik van Azure datacenters in Nederland en Ierland.

Wetgeving meldplicht datalekken

De AVG (Algemene verordening gegevensbescherming) verplicht organisaties die persoonsgegevens verwerken om datalekken te melden aan de juiste autoriteit (afhankelijk van de Nationaliteit van de betrokken(en)). Bij een datalek moet de ‘verantwoordelijke’ van de gegevens de melding maken. Infoland is niet de ‘verantwoordelijke’ van de gegevens maar de ‘verwerker’. Bij een eventueel datalek zal Infoland de contactpersoon binnen jouw organisatie tijdig en compleet informeren. Zo kunnen jullie als organisatie voldoen aan de verplichtingen die jullie hebben als ‘verantwoordelijke’.

Wanneer is er sprake van een datalek?
Indien er inbreuk op de beveiliging heeft plaatsgevonden (beveiligingsincident), zullen wij aan de hand van de beleidsregels meldplicht datalekken van de Europese toezichthouders bepalen of er ook een datalek heeft plaatsgevonden. Er is enkel sprake van een datalek als er onrechtmatige verwerking heeft plaatsgevonden.

Gaat Infoland zelf meldingen doen richting de juiste autoriteit of betrokkenen?
Nee. Jouw organisatie is (als verantwoordelijke van de persoonsgegevens) zelf primair verantwoordelijk voor het maken van een melding richting de juiste autoriteit of betrokkenen. Infoland zal jouw organisatie tijdig voorzien van alle benodigde gegevens om de melding te kunnen doen.

Binnen welke termijn neemt Infoland contact op en met wie?
In de beleidsregels meldplicht datalekken geldt een termijn van 72 uur voordat de melding bij de juiste autoriteit moet plaatsvinden. Zodra wij of één van onze hulpleveranciers een datalek heeft geconstateerd, zullen wij jou daar zo snel mogelijk – uiterlijk binnen 48 uur – over informeren. In onderstaand schema zie je met wie wij contact opnemen:

  • Een specifiek door jou opgegeven contactpersoon voor het melden van datalekken
  • Primaire contactpersoon hosting dienst
  • Commercieel contactpersoon

Welke informatie gaat Infoland verstrekken?
Wij verstrekken een beschrijving van de aard en de omvang van het datalek, een inschatting van het aantal getroffen betrokkenen én een indicatie van de aard van de getroffen persoonsgegevens. Verder ontvang je een beschrijving van de getroffenen en een voorstel tot te treffen preventieve en correctieve maatregelen.

Let op!
In het geval dat er met jouw organisatie afwijkende afspraken zijn gemaakt (in een verwerkersovereenkomst), zullen deze prevaleren.

Het beschermen van jouw gegevens

Onze medewerkers

Minstens zo belangrijk als alle technische beveiligingsmaatregelen, is de factor ‘mens’. Daarom stellen wij bij Infoland hoge eisen aan al onze medewerkers. In het bijzonder aan hen die voor het uitvoeren van hun functie in contact komen met klantgegevens.

  • Iedere medewerker die in zijn dagelijkse werkzaamheden in aanraking komt met jouw gegevens moet een Verklaring Omtrent Gedrag(NL) of Bewijs van goed gedragen en zeden (BE) kunnen tonen.
  • Iedere Infoland-medewerker heeft de plicht tot strikte geheimhouding; dit is opgenomen in onze arbeidsovereenkomst.
  • Onze medewerkers hebben geen toegang tot meer systemen en/of gegevens dan noodzakelijk is voor de uitoefening van hun functie. Wanneer er toegang wordt gegeven tot klantomgevingen in de software, wordt er o.a. gebruikgemaakt van priviliged access en conditional access.
  • Iedere medewerker wordt gestimuleerd om alle informatiebeveiligingsincidenten (intern of extern) te melden. Daarvoor zetten we natuurlijk onze eigen software voor Melden & Analyseren
  • We hebben een Security Officeraangesteld; deze rapporteert en adviseert aan onze directie over informatiebeveiliging in de breedste zin van het woord.
  • Onze Security Officer organiseert door het jaar heen activiteiten om ervoor te zorgen dat iedere Infolander bewust is én blijft van de risico’s en daarnaar handelt.
  • Specifiek voor onze softwareontwikkelaars is veel aandacht voor security. Ieder stukje software wat opgeleverd wordt moet niet alleen voldoen aan de vraag van de klant, gebruiksvriendelijk zijn, er goed uitzien en robuust zijn, maar óók veilig zijn! Wij maken hiervoor o.a. gebruik van de OWASP-top 10.
  • In onze vestigingen zijn fysieke en organisatorische maatregelen genomen om ervoor te zorgen dat onbevoegden geen toegang krijgen tot ruimtes en apparatuur die vertrouwelijke gegevens kunnen bevatten.

Streng beveiligde infrastructuur

Jouw gegevens bevinden zich in zwaarbeveiligde datacenters. Voor meer informatie over de (fysieke) beveiliging van het Azure platform zie: https://docs.microsoft.com/nl-nl/azure/security/fundamentals

De Infoland SaaS-omgeving is ondergebracht binnen de Microsoft Azure cloud. Voor de toegangsbeveiliging maken we gebruiken van diensten als Azure DDos Protection en Azure Web Application Firewall.

Binnen onze SaaS-dienst zijn de gegevens van elke klant strikt gescheiden. De architectuur van de software garandeert dat gebruikers nooit gegevens van andere klanten kunnen benaderen. Dit houdt in dat elke klantomgeving voorzien is van een eigen beveiligingssleutel. Raakt er één gecompromitteerd, raakt dit andere klanten niet.

Alle software is up-to-date

Voor de hosting van onze software maken we gebruik van platform-as-a-service diensten binnen Microsoft Azure. Groot voordeel daarvan is dat Microsoft er doorlopend voor zorgt dat alle onderdelen van het platform up-to-date zijn. Dit zorgt uiteindelijk voor minder risico’s, beveiligingspatches, et cetera.

Voor de software-onderdelen die binnen virtual machines draaien geldt dat we zelf continu alert zijn op nieuwe kwetsbaarheden in software van derden (bijv. operating systems, software frameworks) en ervoor zorgen dat benodigde updates zo snel mogelijk worden uitgerold.

Strikte toegangscontroles in de software

Toegang tot de software is enkel mogelijk na succesvolle authenticatie. Een combinatie van gebruikersnaam en wachtwoord vormt de basis. Een hoger beveiligingsniveau kan worden verkregen door 2-factor authenticatie in te schakelen (One-Time-Password algoritme) en/of de toegang tot de software te beperken tot specifieke IP-reeksen.

Ook is het mogelijk om de authenticatie te laten uitvoeren door dedicated identity management/SSO-oplossingen op basis van het SAML 2.0 protocol. Zie ook integratie met andere systemen.

Binnen de software krijgen medewerkers enkel toegang tot de gegevens waartoe zij gemachtigd zijn. Onze software beschikt daartoe over een fijnmazig systeem van rechten en rollen die aan groepen of individuen kunnen worden toegekend. Iedere inlogpoging en mutatie die wordt gedaan binnen het systeem wordt bovendien gelogd.

Versleutelde gegevens

Al het gegevensverkeer tussen uw browser, mobile device en onze software wordt versleuteld middels 2048-bit SSL-certificaten. Wachtwoorden worden opgeslagen in een onomkeerbare vorm middels een salted hash algoritme.

Externe partijen testen onze beveiliging

Informatiebeveiliging is nooit klaar. Elke dag kunnen er nieuwe bedreigingen ontstaan. Daarom laten we onze software minimaal een keer per jaar een penetratietest ondergaan door een externe, gespecialiseerde partij. Daarnaast maken we doorlopend gebruik van online monitoring- en detectietools die onze software en infrastructuur toetsen aan (o.a.) de OWASP top 10.

computest-logo

Wij maken gebruik van de diensten van (o.a.) Computest voor het uitvoeren van penetratietests en code security reviews. Dit draagt bij aan de veiligheid van onze SaaS-dienst.

Informatiebeveiligingsincident

In het onwaarschijnlijke geval dat zich toch een informatiebeveiligingsincident voordoet, staan wij meteen in de startblokken om actie te ondernemen. Bijvoorbeeld door snel een update voor onze software uit te rollen. Daarnaast kunnen we in het geval van calamiteiten gebruik maken van een gespecialiseerd cyber response team.

Gemaakte afspraken

Wij houden van duidelijke afspraken. Daarom streven wij ernaar om met iedere organisatie, die gebruik maakt van onze SaaS-diensten, een verwerkersovereenkomst af te sluiten. Ook vanuit de Europese privacy wetgeving, ook wel GDPR of AVG genoemd, worden opdrachtgevers en leveranciers ertoe verplicht verwerkersovereenkomsten af te sluiten waarin afspraken worden vastgelegd aangaande de verwerking van persoonsgegevens.

Om het jou gemakkelijk te maken, hebben we een standaard verwerkersovereenkomst ontwikkeld die recht doet aan de belangen van beide partijen. Ook kan een modelovereenkomst, die is opgesteld door een branche-/koepelorganisatie, als vertrekpunt dienen.

Lees meer over model- en verwerkersovereenkomsten voor de Zenya software op Infoland.eu.

Heb je vragen over dit onderwerp?

Neem contact met ons op. Wij helpen je graag verder.

Deel deze informatie

Onze modules

Maximaal presteren met
slimme oplossingen

Zenya DOC - Module logo full-color

Document
management


De juiste informatie snel beschikbaar


Interactieve documenten voor een perfecte gebruikservaring


Volledige kwaliteitsborging en feedback loop


Eenvoudig kennis delen met externen


Altijd en overal beschikbaar met de Search App


Lees meer
Zenya FLOW - Module logo full-color

Incident
management


Voor uiteenlopende signalen, binnen en buiten de organisatie


Flexibele workflows, eenvoudig op te zetten en uit te voeren


Waardevolle rapportages en analyses


Acties voor individuen en teams


Altijd en overal melden met de Capture App


Lees meer
Zenya CHECK - Module logo full-color

Audit
management


Voor audits, checks, inspecties en onderzoeken


Vragenlijsten voor intern en extern gebruik


Voor uitvoering van het volledige auditproces


Acties voor individuen en teams


Lees meer
Zenya RISK - Module logo full-color

Risico
management


Breng organisatiebreed alle risico’s in kaart


Risicodialoog voor meer betrokkenheid


Beheersmaatregelen en control tests


Monitoren en bijsturen via integraal dashboard


Lees meer

Benieuwd wat Zenya
voor jouw organisatie kan betekenen?

Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.