Beveiligingsstandaarden
Laatst herzien: 9 mei 2018‌‌

I.  Technische en organisatorische maatregelen

We doen er alles aan om de informatie van onze klanten te beschermen.  Rekening houdend met de beste praktijken, de kosten van implementatie en de aard, omvang, omstandigheden en doeleinden van verwerking evenals de verschillende waarschijnlijkheden van voorkomen en de ernst van het risico voor de rechten en vrijheden van natuurlijke personen, nemen we de volgende technische en organisatorische maatregelen.  Bij het selecteren van de maatregelen worden de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen overwogen. Een snel herstel na een fysiek of technisch incident is gegarandeerd.

Ons Gegevensprivacyprogramma is opgesteld om een wereldwijde data-governance-structuur te handhaven en informatie te beveiligen gedurende de gehele levenscyclus. Dit programma wordt gestuurd door de afdeling van de gegevensbeschermingsofficier, die toezicht houdt op de implementatie van privacypraktijken en beveiligingsmaatregelen. Wij testen regelmatig en beoordelen en evalueren de effectiviteit van het Gegevensprivacyprogramma en Beveiligingsstandaarden.

1. Geheimhouding. "Vertrouwelijkheid betekent dat persoonlijke gegevens zijn beschermd tegen onbevoegde openbaarmaking."  

Wij gebruiken een reeks fysieke en logische maatregelen om de vertrouwelijkheid van de persoonlijke gegevens van klanten te beschermen. Dergelijke maatregelen omvatten:   

Fysieke beveiliging  

• Fysieke controlesystemen voor toegang op zijn plaats (toegangscontrole via een badge, Beveiliging evenement monitoring, etc.) 
• Bewakingssystemen inclusief alarmen en, waar van toepassing, CCTV-bewaking
• Schoon-bureaubeleid en controles geïmplementeerd (afsluiten van onbeheerde computers, afgegrendelde kasten, ect.)  
• Beheer bezoekerstoegang
• Vernietiging van gegevens op fysieke media en documenten (versnipperen, demagnesiteren, etc.) 

Toegangscontrole en preventie van onbevoegde toegang

• Toegangsbeperkingen gebruikers toegepast en rolgebaseerde toegangstoestemmingen verstrekt/beoordeeld, gebaseerd op scheiding van functiescheiding principe
• Sterke authenticatie- en autorisatiemethoden (Multi-factor-authenticatie, certificatie-gebaseerde autorisatie, automatische deactivering/log-off, etc.) 
• Gecentraliseerd wachtwoordbeheer en sterk/complex wachtwoordbeleid (minimum lengte, complexiteit van tekens, vervallen van wachtwoorden, etc.)   
• Beheerde toegang tot e-mailberichten en het internet
• Anti-virus management
• Management van systemen voor het voorkomen van binnendringing

Codering  

• Codering van externe en interne communicatie via stevige cryptografische protocollen
• Codering PII/SPII data-at-rest (databases, gedeelde mappen, etc.)   
• Volledige schijfversleuteling voor bedrijfscomputers en laptops
• Codering van opslagmedia
• Externe verbindingen met de bedrijfsnetwerken worden gecodeerd via VPN
• De levensduur van de coderingssleutels verzekeren

Dataminimalisatie

• PII/SPI minimalisatie bij toepassing, debugging en beveiligingslogs
• Pseudonimisering van persoonlijke gegevens om directe identificatie van een persoon te voorkomen
• Scheiding van opgeslagen gegevens op functie (test, staging, live)
• Logische scheiding van gegevens op rolgebaseerde toegangsrechten
• Vastgestelde gegevensbehoudperiodes voor persoonlijke gegevens

Beveiligingstesten

• Penetratietests voor kritieke bedrijfsnetwerken en platforms die persoonlijke gegevens hosten
• Regelmatige netwerk- en kwetsbaarheidscans

2. Integriteit. "Integriteit verwijst naar het verzekeren van de juistheid (ongeschondenheid) van gegevens en de juist-functionerende systemen. Wanneer de term 'integriteit' wordt gebruikt in verband met de term 'data/gegevens', betekent dit dat de gegevens volledig en ongewijzigd zijn."  

Er zijn geschikte besturingselementen voor wijzigen en logboekbeheer aanwezig, naast toegangscontroles om de integriteit van persoonlijke gegevens te behouden, zoals:    

Wijziging- en vrijgavemanagement  

• Beheerproces wijzigen en vrijgeven, inclusief (impactanalyse, goedkeuringen, testen, beveiligingsbeoordelingen, staging, monitoring, etc.)  
• Rol- en functie-gebaseerd (Scheiding van functies) toegang voor productieomgevingen

Logboekregistratie en monitoring

• Logboekregistratie van toegang en wijzigingen aan gegevens
• Gecentraliseerde audit- en beveiligingslogs
• Het monitoren van de volledigheid en juistheid van de gegevensoverdracht (end-to-end controle)

3. Beschikbaarheid. "De beschikbaarheid van diensten en IT-systemen, IT-applicaties en IT-netwerkfuncties of indien informatie is gegarandeerd, als de gebruikers in staat zijn deze altijd te gebruiken, zoals bedoeld."    

Wij implementeren passende continuïteits- en beveiligingsmaatregelen om de beschikbaarheid van de services en de gegevens binnen deze services te behouden:    

• Regelmatige fail-over tests toegepast voor kritieke diensten
• Uitgebreide prestatie/beschikbaarheidsmonitoring en verslaglegging voor kritieke systemen
• Respons voor beveiligingsprogramma
• Kritieke gegevens gerepliceerd of een back-up van gemaakt (Cloud back-ups/Harde schijven/Database replicatie, etc.) 
• Geplande software-, infrastructuur- en beveiligingsonderhoud (Software-updates, beveiligingspatches, etc.)   
• Redundante en veerkrachtige systemen (serverclusters, gespiegelde DB's, high availability-instellingen, enz.) op externe en/of geografisch gescheiden locaties gevestigd
• Gebruik van niet-onderbreekbare voedingen, fail-redundante hardware en netwerksystemen
• Alarm, beveiligingssystemen ingesteld
• Fysieke beschermingsmaatregelen ingesteld voor kritieke sites (overspanningsbeveiliging, verhoogde vloeren, koelsystemen, brand- en/of rookmelders, brandonderdrukkingssystemen, etc.) 
• DDOD-bescherming voor behoud van beschikbaarheid
• Load- en stresstesten

4. Instructies dataverwerking. "Instructies dataverwerking zorgen ervoor dat persoonlijke gegevens alleen worden verwerkt in overeenstemming met de instructies van de Gegevenscontroller en de verwante bedrijfsmaatregelen"  

We hebben intern privacybeleid en overeenkomsten opgesteld en houden regelmatig privacytrainingen voor werknemers om ervoor te zorgen dat persoonlijke gegevens in overeenstemming met de voorkeuren en instructies van klanten worden verwerkt.   

• Privacy en vertrouwelijkheidsvoorwaarden die gelden binnen arbeidsovereenkomsten
• Regelmatige gegevensprivacy- en beveiligingstrainingen voor werknemers
• De juiste contractuele voorzieningen om de overeenkomsten met onderaannemers voor het handhaven van de rechten van controle-instructies
• Regelmatige privacychecks voor externe serviceproviders
• Biedt klanten volledige controle over hun voorkeuren wat betreft gegevensverwerking
• Regelmatige beveiligingsaudits