Bij de keuze voor SaaS zijn security en privacy hele belangrijke thema’s. Terecht, want je moet er altijd op kunnen vertrouwen dat de gegevens van jouw organisatie – en persoonsgegevens in het bijzonder – de veiligheid zijn. Wij begrijpen dat. De veiligheid van ons platform, netwerk en producten heeft daarom dag en nacht onze hoogste prioriteit.

Wij zijn klaar voor de AVG / GDPR

  • Infoland voldoet aan wetgeving m.b.t meldplicht datalekken

  • Security & privacy zijn vaste aandachtspunten in ons software-ontwikkelproces

  • Onze software vereist een minimum aan persoonsgegevens; organisaties kunnen zelf verder bepalen welke relevante persoonsgegevens zij registreren.

  • Onze software biedt mogelijkheden voor het verwijderen/anonimiseren van persoonsgegevens, en laat organisaties zelf bepalen welke bewaartermijnen zij hanteren.

  • Wij streven ernaar om met iedere organisatie, die gebruik maakt van onze SaaS-diensten, een verwerkersovereenkomst af te sluiten.

  • Gegevens zijn veilig door een uitgebreid palet aan maatregelen

  • We helpen organisaties wanneer zij als verantwoordelijke een PIA uitvoeren met het beantwoorden van vragen, aanleveren informatie, etc.

  • Organisaties die gebruik maken van onze software kunnen invulling geven aan de rechten van betrokkenen (inzage, correctie, verwijderen, bezwaar, dataportabiliteit)

  • Infoland maakt het voor organisaties eenvoudig om een privacyverklaring te publiceren in de software

Wij waarborgen jouw privacy

Waarborgen van privacy doen we samen

Infoland levert slimme software die wordt ingezet door organisaties zoals die van jou. Wij zorgen er 24/7 voor dat de software veilig, beschikbaar en in topconditie is. Wat er binnen de software gebeurt, wordt bepaald door jouw organisatie. Jullie bepalen zelf wie toegang krijgt tot de software en wat die personen dus mogen zien en doen binnen de software. Daarnaast bepalen ook jullie hoe er omgegaan wordt met (persoons)gegevens die worden opgeslagen in de software.

Het waarborgen van de privacy van personen die werken met de software, is dus niet puur een zaak van Infoland. Het is iets wat we samen doen en waar ieder zijn verantwoordelijkheid in heeft.

Wij vinden het belangrijk om transparant te zijn over de wijze waarop in onze software wordt omgegaan met persoonsgegevens. Daarom hebben we voor het gebruikers eenvoudig gemaakt om de geldende privacyverklaring te bekijken.  Wat er precies ín die verklaring staat, bepaalt jouw organisatie zelf. We helpen je daarbij graag op weg; je kunt onze standaardtekst als uitgangspunt gebruiken.

Jouw gegevens blijven in Europa

Alle gegevens die worden opgeslagen in de software van Infoland, blijven gegarandeerd binnen Europa, en vallen dus onder de Europese wetgeving. Momenteel worden productiegegevens en back-ups bewaard in datacentra van Equinix en Engie Services. Beiden bevinden zich in Nederland.

Infoland is volledig ‘in control’ over de locaties waar jouw gegevens wordt opgeslagen. Anders dan bij enkele andere cloud diensten, is het uitgesloten dat jouw gegevens zich (ook) buiten Europa bevinden zonder dat je daar weet van hebt.

Wij voldoen aan de wetgeving m.b.t. meldplicht datalekken

De AVG (en daarvoor de Wet bescherming persoonsgegevens) verplicht organisaties die persoonsgegevens verwerken om datalekken te melden aan juiste autoriteit (afhankelijk van de Nationaliteit van de betrokken(en)). Bij een datalek moet de ‘verantwoordelijke’ van de gegevens de melding maken. Infoland is niet de ‘verantwoordelijke’ van de gegevens maar de ‘verwerker’. Bij een eventueel datalek zal Infoland de contactpersoon binnen jouw organisatie tijdig en compleet informeren. Zo kunnen jullie als organisatie voldoen aan de verplichtingen die jullie hebben als ‘verantwoordelijke’.

Wanneer is er sprake van een datalek?
Indien er een inbreuk op de beveiliging heeft plaatsgevonden (beveiligingsincident), zullen wij aan de hand van de beleidsregels meldplicht datalekken van de Europese toezichthouders bepalen of er ook een datalek heeft plaatsgevonden. Er is enkel sprake van een datalek als er onrechtmatige verwerking heeft plaatsgevonden.

Gaat Infoland zelf meldingen doen richting de juiste autoriteit of betrokkenen?
Nee. Jouw organisatie is (als verantwoordelijke van de persoonsgegevens) zelf primair verantwoordelijk voor het melden richting de juiste autoriteit of betrokkenen. Infoland zal jouw organisatie tijdig voorzien van alle benodigde gegevens om de melding zelf te kunnen doen.

Binnen welke termijn neemt Infoland contact op en met wie?
In de beleidsregels meldplicht datalekken geldt een termijn van 72 uur voordat de melding bij de juiste autoriteit moet plaatsvinden. Zodra wij of één van onze hulpleveranciers(s) een datalek hebben geconstateerd, zullen wij jou daar zo snel mogelijk – maar uiterlijk binnen 48 uur – over informeren. In onderstaand schema zie je met wie wij vervolgens contact opnemen:

  • een specifiek door jou opgegeven contactpersoon voor het melden van datalekken
  • primaire contactpersoon hosting dienst
  • commercieel contactpersoon

Welke informatie gaat Infoland verstrekken?
Wij verstrekken een beschrijving van de aard en de omvang van het datalek, een inschatting van het aantal getroffen betrokkenen én een indicatie van de aard van de getroffen persoonsgegevens. Verder ontvang je een beschrijving van de getroffenen en (een voorstel tot) te treffen preventieve en correctieve maatregelen.

Let op!
In het geval dat er met jouw organisatie afwijkende afspraken zijn gemaakt (in een verwerkersovereenkomst), zullen deze prevaleren.

Wij beschermen jouw gegevens

Het begint met mensenwerk

Minstens zo belangrijk als alle technische beveiligingsmaatregelen, is de factor ‘mens’. Daarom stellen wij bij Infoland hoge eisen aan alle medewerkers, en in het bijzonder aan hen die voor het uitvoeren van hun functie in contact komen met klantgegevens.

  • Iedere medewerker die in zijn dagelijkse werkzaamheden in aanraking komt met jouw gegevens moet een Verklaring Omtrent Gedrag (NL) of Bewijs van goed gedragen en zeden (BE) kunnen tonen.
  • Iedere Infoland-medewerker heeft de plicht tot strikte geheimhouding; dit is opgenomen in onze arbeidsovereenkomst.
  • Onze medewerkers hebben geen toegang tot meer systemen en/of gegevens dan noodzakelijk is voor de uitoefening van hun functie.
  • Iedere medewerker wordt gestimuleerd om alle informatiebeveiligingsincidenten (intern of extern) te melden. Daarvoor zetten we natuurlijk onze eigen software voor Melden & Analyseren in.
  • We hebben een Security Officer aangesteld; deze rapporteert en adviseert aan onze directie over informatiebeveiliging in de breedste zin van het woord.
  • Onze Security Officer organiseert door het jaar heen activiteiten om ervoor te zorgen dat iedere Infolander bewust is én blijft van de risico’s en daar naar handelt.
  • Specifiek voor onze software ontwikkelaars is er daarbij veel aandacht voor security.
    Ieder stukje software wat opgeleverd wordt, moet niet alleen voldoen aan de vraag van de klant, gebruiksvriendelijk zijn, er goed uitzien en robuust zijn, maar óók veilig zijn! Wij maken hiervoor o.a. gebruik van de  OWASP top 10.
  • In onze vestigingen zijn fysieke en organisatorische maatregelen genomen om ervoor te zorgen dat onbevoegden geen toegang krijgen tot ruimtes en apparatuur die vertrouwelijke gegevens kunnen bevatten.

Onze infrastructuur is streng beveiligd

Jouw gegevens bevinden zich in zwaar beveiligde datacenters. Enkel geautoriseerde medewerkers hebben toegang tot deze datacentra, die zijn voorzien van brandbeveiliging, klimaatbeheersing en fysieke toegangsbeveiliging.

De Infoland SaaS-omgeving is ondergebracht in een omgeving op basis van VMware vSphere, op public cloud servers van onze partner Uniserver Internet BV. De Infoland hosting omgeving is afgeschermd van het internet door een redundant uitgevoerde UTM (firewall). Deze UTM’s zijn voorzien van een Intrusion Prevention System. Binnen onze SaaS-dienst zijn de gegevens van elke klant strikt gescheiden. De architectuur van de software (gescheiden databases, gescheiden datamappen, aparte service-accounts voor elke klant) garandeert dat gebruikers nooit gegevens van andere klanten kunnen benaderen.

Alle software is up-to-date

Wij zijn continu alert op nieuwe kwetsbaarheden in software van derden (bijv. operating systems, firewalls, software frameworks) en zorgen ervoor dat benodigde updates zo snel mogelijk worden uitgerold.

Strikte toegangscontroles in de software

Toegang tot de software is enkel mogelijk na succesvolle authenticatie. Een combinatie van gebruikersnaam en wachtwoord vormt de basis. Een hoger beveiligingsniveau kan worden verkregen door 2-factor authenticatie in te schakelen (One-Time-Password algoritme) en/of de toegang tot de software te beperken tot specifieke IP-reeksen.

Tevens is het mogelijk om de authenticatie te laten uitvoeren door dedicated identity management/SSO-oplossingen op basis van het SAML 2.0 protocol. Zie ook Integratie met andere systemen.

Binnen de software krijgen medewerkers enkel toegang tot de gegevens waartoe zij gemachtigd zijn. Onze software beschikt daartoe over een fijnmazig systeem van rechten en rollen die aan groepen of individuen kunnen worden toegekend. Iedere inlogpoging, en iedere mutatie die wordt gedaan binnen het systeem, wordt bovendien gelogd.

Gegevens worden versleuteld

Al het gegevensverkeer tussen uw browser of mobile device en onze software, wordt versleuteld middels 2048-bit SSL-certificaten. Wachtwoorden worden opgeslagen in een onomkeerbare vorm, middels een salted hash algoritme. Vanaf medio 2018 versleutelen we álle gegevens die worden opgeslagen in onze software.

Externe partijen testen onze beveiliging

Informatiebeveiliging is nooit klaar. Elke dag kunnen er nieuwe bedreigingen ontstaan.
Daarom laten we onze software minimaal een keer per jaar een penetratietest ondergaan door een externe, gespecialiseerde partij. Daarnaast maken we doorlopend gebruik van online monitoring- en detectietools die onze software en infrastructuur toetsen aan (o.a.) de OWASP top 10.

Wat als er toch een incident plaatsvindt?

In het onwaarschijnlijke geval dat zich toch een informatiebeveiligingsincident voordoet, schieten wij direct in actie. Bijvoorbeeld door snel een update voor onze software uit te rollen. Daarnaast kunnen we in het geval van calamiteiten gebruik maken van een gespecialiseerd cyber response team.

Welke afspraken maken we met jou?

Wij houden van duidelijke afspraken. Daarom streven wij ernaar om met iedere organisatie, die gebruik maakt van onze SaaS-diensten, een verwerkersovereenkomst af te sluiten. Ook vanuit de nieuwe Europese privacy wetgeving, ook wel GDPR of AVG genoemd, worden opdrachtgevers en leveranciers ertoe verplicht verwerkersovereenkomsten af te sluiten waarin afspraken worden vastgelegd aangaande de verwerking van persoonsgegevens.

Om het jou gemakkelijk te maken, hebben we een standaard verwerkersovereenkomst ontwikkeld die recht doet aan de belangen van beide partijen. Ook kan een modelovereenkomst, die is opgesteld door een branche-/koepelorganisatie, als vertrekpunt dienen.

Wie verifieert onze kwaliteit?

Topkwaliteit, daar gaan we voor. Om ons scherp te houden én onze kwaliteit aantoonbaar te maken, zijn wij ISO 9001 en ISO 27001 gecertificeerd. Daarnaast laten we onze operationele kwaliteit, processen en beheersmaatregelen jaarlijks verifiëren door DNV GL.

Wij werken samen met:

Om de beschikbaarheid en veiligheid van jouw data te garanderen, werken wij samen met zorgvuldig geselecteerde partners. Ook onze partners tonen hun kwaliteit aan middels behaalde certificeringen.

Uniserver Internet BV verzorgt de public cloud infrastructuur waarbinnen onze SaaS-diensten draaien. Zij zorgen ervoor dat netwerk- en VMWare-infrastructuur in topconditie zijn: een solide basis voor ons SaaS-platform.

Uniserver is ISO 27001, ISO 20000  en NEN 7510 gecertificeerd.

De servers waarop onze SaaS-dienst draait, bevinden zich in datacenters van Equinix in de regio Amsterdam, Nederland. Equinix draagt zorg voor o.a. de fysieke beveiliging van het datacenter alsmede redundante energietoevoer en toegang tot de AMS-IX backbone.

Equinix is o.a. ISO 9001,  ISO 27001 en ISAE 3000 SOC 2 Type II gecertificeerd.

Naast de datacenters van Equinix maken we gebruik van het datacenter van Engie Services in de regio Maastricht. Hiermee zorgen we voor voldoende geografische spreiding. Dit datacenter wordt gebruikt voor opslag van back-ups en als uitwijklocatie bij calamiteiten.

Engie services is o.a. ISO 9001, ISO 27001 en ISAE 3402 gecertificeerd.

Wij maken gebruik van de diensten van (o.a.) Computest voor het uitvoeren van penetratietests en code security reviews. Dit draagt bij aan de veiligheid van onze SaaS-dienst.

© Infoland B.V. 1998-2018