suite and secure

Hercertificering ISO 27001 Informatiebeveiliging. Hebbes!

Practice what you preach. 'Suite & Secure' is één van onze leidende principes. Daarom zijn wij 𝘩𝘢𝘱𝘱𝘺 met deze hercertificering! 

Waarom dit zo belangrijk is voor ons? We vroegen het onze CTO, Roel van der Sanden:

"Onze klanten verwerken vertrouwelijke persoonsgegevens in onze applicatie (zgn. ‘bijzondere persoonsgegevens’ in de AVG). Als verwerker moeten wij ze voldoende zekerheid kunnen geven dat we ons werk op een zorgvuldige wijze doen. Denk aan procedures invullen volgens de eisen in de AVG en veel oog hebben voor de procedurele en technische beveiliging van de applicatie. Daarom leggen we veel uit hoe we werken én wat we doen om dit te waarborgen. Met een ISO-certificaat heb je een onafhankelijke verklaring van een derde partij die écht bij je in de keuken heeft mogen kijken en die verklaart dat je werkt zoals je beweert dat je werkt."

Oke, maar hoe garandeert Otherside deze informatiebeveiliging voor haar klanten?

"Natuurlijk hebben we veel standaardmaatregelen genomen, die vrijwel elke webapplicatie met persoonsgegevens wel heeft (toepassen van encryptie, regelmatige back-ups, gebruik van frameworks ter bescherming van SQL-injectie, gecontroleerd toegangsmanagement, externe controle daarop middels pen-testen etc). Maar wij gaan een stap verder. Dat betekent ook dat we niet altijd de goedkoopste kunnen zijn, maar wij vinden dit meer dan verantwoord. Los van het feit dat je moreel gezien niet onzorgvuldig met persoonsgegevens om kan gaan voor een minimale besparing, is het met de huidige boetes die je kunt krijgen bij overtreding van de AVG ook economisch de betere keuze. Wat die extra stappen in houden?

• We draaien op een zgn. ‘private cloud’. De fysieke infrastructuur is echt ‘van ons.’  Zo weten we precies wie (ook fysiek) toegang heeft gehad tot de machines waarop onze data draait én waar de data staat. Dit is wat duurder omdat je zelf de redundant capaciteit (een tweede locatie die feitelijk niks staat te doen, totdat er een grote calamiteit is) moet inhuren, die je anders kunt delen met anderen. Maar het geeft echt meer zekerheid voor onze klanten.
• Op de virtuele laag automatiseren we de machines intensief. Door versiebeheer weten we precies hoe elke machine is geconfigureerd en is er geen handmatige toegang nodig (en mogelijk) is op deze machines. Door deze investering is er dus geen risico meer op wijzigingen die ‘per ongeluk’ of ‘voor even om iets te testen’ door een administrator zijn gedaan.
• We investeren ook extra in actieve ‘intrusion detection’ software, waardoor we ook regelmatig niet netjes door klanten aangemelde penetration-tests hebben kunnen waarnemen. Na contact met de klanten in kwestie gelukkig altijd oprechte excuses. Je kunt nog zo goed beveiligen, maar als je niet kunt zien dat er iemand een gat in je muur aan het hakken is, kunnen ze er uiteindelijk altijd inbreken.
• Met onze software hebben onze klanten de mogelijkheid om privacywetgeving te verwerken op manieren die bij andere partijen vaak onmogelijk is:
  • Arbodienstverleners kunnen hun klanten een ‘Datakluis’ aanbieden. Deze nemen hun klanten dan rechtstreeks bij ons af. (Zo houden ze zeggenschap als verwerkingsverantwoordelijke richting ons) Dit zorgt ervoor dat ze in de applicatie makkelijk werknemers kunnen blijven opvoeren (met NAW-gegevens en alleen in de datakluis waar de dienstverlener niet bij kan) en pas bij een zorgvraag de NAW-gegevens delen met de dienstverlener.
  • Uitgebreide opties voor bewaartermijnen; wij geven de klanten echt de regelmogelijkheden om de bewaartermijnen, die op hun situatie van toepassing zijn, in te stellen in de software. Zo hebben ze niet alleen bewaartermijnen die wij bedenken, maar kunnen ze, ook bij andere zelfbedachte protocollen, netjes aantonen conform de AVG te werken.
  • Mogelijkheid om rol-definities zelf tot op detailniveau in te stellen. Heb je een ‘werkgever-gebruiker’ die je toch géén inzicht in het PvA wil geven? Dat kan gewoon. Geen beperking in voor gedefinieerde standaardrollen, maar echt zorgen dat je alleen laat zien wat nodig is voor de uitoefening van een functie."

Hoe lang kunnen we nu ‘vooruit’?

"Een ISO27001 certificaat wordt voor 3 jaar afgegeven. Wel wordt er elk jaar een controle-audit uitgevoerd, om te kijken of alles nog steeds loopt zoals eerder is vastgesteld. Ook wordt er dan gecontroleerd of er is gereageerd op kleinere opmerkingen ter verbetering, die de auditor heeft gegeven. Wij zijn nu aan het einde van deze cyclus en zullen uiterlijk voor november 2021 weer een ‘hercertificering-audit’ krijgen."

Meer lezen over securiy & privacy bij Otherside? Kijk ook eens hier.