Informatiebeveiliging
Hieronder lees je in 5 minuten een goede eerste indruk van onze maatregelen voor informatiebeveiliging. Als je meer vragen hebt, neem dan gerust contact op met je (sales) consultant. Wij hebben gedetailleerdere informatie beschikbaar in de vorm van een whitepaper. Je kunt natuurlijk ook contact opnemen via +31 20 30 50 100 of via de contactpagina.
Waar worden mijn gegevens opgeslagen?
De belangrijkste datacenters staan in Nederland en Ierland; dit zijn de Microsoft Azure datacenters. Voor sommige ondersteunende processen worden ook datacenters in Duitsland, Frankrijk en België gebruikt. Al deze datacenters zijn nodig om onze web applicaties en databases beschikbaar te maken voor klanten, om bulk e-mails adequaat te versturen, en voor online support. Er zijn meerdere locaties nodig vanwege redundantie, volumespreiding, continuïteit, en back-ups. Alle verwerkingen vinden dus plaats binnen Europa, de Europese Economische Ruimte om precies te zijn. Daarnaast is ook een kleine verzameling data opgeslagen in servers op ons kantoor te Amsterdam.
Hoe weet ik dat mijn gegevens veilig zijn?
Effectory is ISO 27001 gecertificeerd, dit is de onafhankelijke, internationale norm voor een informatiebeveiliging management systeem. Het bedrijf BSI, één van de meest professionele, geaccrediteerde, en onafhankelijke auditorganisaties ter wereld, inspecteert en certificeert Effectory op deze ISO 27001 norm. Alle 114 technische en organisatorische beheersmaatregelen van de norm worden elk jaar weer onder de loep genomen. De scope is het uitvoeren van onderzoeken voor medewerkers, klanten en InternetSpiegel. Hieronder valt het verzamelen, verwerken, rapporteren en adviseren over persoonsgegevens en onderzoeksresultaten. Ook externe deskundigen zeggen dat dit op adequate wijze plaats vindt.
Hoe verzorgen jullie technische testen?
Effectory ontwikkelt in huis software voor klanten. Tijdens de softwareontwikkeling wordt uiteraard de nodige aandacht besteedt aan het testen van de beveiliging. Dit gebeurt automatisch en regelmatig. Daarnaast vindt vanzelfsprekend geautomatiseerde vulnerability scanning plaats, tenminste maandelijks door een externe partij met cyber security kennis. Pen testing door ethical hackers vindt tenminste jaarlijks plaats, door een andere gespecialiseerde externe partij. De pen tests zijn op “white box” basis; dit betekent dat Effectory de ethical hackers in staat stelt zo efficiënt en effectief mogelijk te zoeken naar kwetsbaarheden. Tot slot heeft Effectory natuurlijk ook een Responsible Disclosure Policy.
En hoe zit het met jullie mensen dan (zoals we allemaal weten, zijn mensen de zwakste schakel)?
Elke nieuwe medewerker krijgt dezelfde training; en ook een bespreking met onze chief information security officer voor het gesprek hierover. Alle medewerker leggen daarnaast een verplicht jaarlijkse test af op gebied van informatiebeveiliging en privacy bewustzijn. Als daaruit blijkt dat sommige rollen, individuen en/of onderwerpen aandacht nodig hebben, wordt actie ondernomen. Specifieke rollen, zoals softwareontwikkelaars en project managers, ontvangen aanvullende training om hun taken en verantwoordelijkheden goed uit te voeren. Elke medewerker moet ook een VOG overleggen. Dit is een kleine greep uit onze maatregelen voor onze medewerkers.
Hoe is informatiebeveiliging georganiseerd?
Effectory heeft een team samengesteld met als kerntaak informatiebeveiliging. Dit team bestaat uit meerdere disciplines: cloud engineer, cyber security specialist, systeembeheerder, netwerkbeheerder, legal counsel, privacy officer, en natuurlijk een chief information security officer. Volgens een PDCA aanpak werkt dit team samen aan vraagstukken over informatiebeveiliging en privacy.
Wie zijn jullie sub verwerkers?
Effectory gebruikt:
- Microsoft Azure, om de zelfontwikkelde Effectory applicaties te hosten.
- MailJet, om grote hoeveelheden e-mails af te handelen, zoals uitnodigingen aan jullie medewerkers om de internetvragenlijst in te vullen.
- ZenDesk, voor support.effectory.com, voor een goede en snelle opvolging van support als dat nodig is.
Klik op de links voor meer informatie over deze sub verwerkers. Natuurlijk beoordelen wij ook deze sub verwerkers, tenminste jaarlijks als onderdeel van de terugkerende taken in onze ISO.
P.S. Effectory gebruikt ook nog andere tools van derden, maar die verwerken geen persoonsgegevens. Deze tools kwalificeren dus niet als sub verwerkers in de zin van de AVG.
Nog iets anders wat ik zou moeten weten?
We zijn bijzonder trots op een compliment van één van de externe auditors onlangs: “Jullie informatiebeveiliging beheersing is niet alleen effectief, maar ook erg volwassen.” Hoe gaaf is dit om te horen, na al ons harde werk om jullie gegevens en informatie veilig te houden 🙂