Infoland levert slimme software die wordt ingezet door organisaties zoals die van jou. Wij zorgen er 24/7 voor dat de software veilig, beschikbaar en in topconditie is. Wat er binnen de software gebeurt, wordt bepaald door jouw organisatie. Jullie bepalen zelf wie toegang krijgt tot de software en wat die personen dus mogen zien en doen binnen de software. Daarnaast bepalen ook jullie hoe er omgegaan wordt met (persoons)gegevens die worden opgeslagen in de software.

Het waarborgen van de privacy van personen die werken met de software, is dus niet puur een zaak van Infoland. Het is iets wat we samen doen en waar ieder zijn verantwoordelijkheid in heeft.

Wij vinden het belangrijk om transparant te zijn over de wijze waarop in onze software wordt omgegaan met persoonsgegevens. Daarom hebben we voor het gebruikers eenvoudig gemaakt om de geldende privacyverklaring te bekijken.  Wat er precies ín die verklaring staat, bepaalt jouw organisatie zelf. We helpen je daarbij graag op weg; je kunt onze standaardtekst als uitgangspunt gebruiken.

Alle gegevens die worden opgeslagen in de software van Infoland, blijven gegarandeerd binnen de Europese Economische Ruimte (EER), en vallen dus onder de Europese wetgeving.

Infoland is volledig ‘in control’ over de locaties waar jouw gegevens wordt opgeslagen. We maken gebruik van de Microsoft Azure-cloud, maar hanteren daarbij de strikte policy dat zowel applicatie, live data als back-ups enkel in Azure regio’s binnen de EER geplaatst mogen worden. In de praktijk maken we momenteel gebruik van Azure datacenters in Nederland en Ierland.

De AVG (en daarvoor de Wet bescherming persoonsgegevens) verplicht organisaties die persoonsgegevens verwerken om datalekken te melden aan juiste autoriteit (afhankelijk van de Nationaliteit van de betrokken(en)). Bij een datalek moet de ‘verantwoordelijke’ van de gegevens de melding maken. Infoland is niet de ‘verantwoordelijke’ van de gegevens maar de ‘verwerker’. Bij een eventueel datalek zal Infoland de contactpersoon binnen jouw organisatie tijdig en compleet informeren. Zo kunnen jullie als organisatie voldoen aan de verplichtingen die jullie hebben als ‘verantwoordelijke’.

Wanneer is er sprake van een datalek?
Indien er een inbreuk op de beveiliging heeft plaatsgevonden (beveiligingsincident), zullen wij aan de hand van de beleidsregels meldplicht datalekken van de Europese toezichthouders bepalen of er ook een datalek heeft plaatsgevonden. Er is enkel sprake van een datalek als er onrechtmatige verwerking heeft plaatsgevonden.

Gaat Infoland zelf meldingen doen richting de juiste autoriteit of betrokkenen?
Nee. Jouw organisatie is (als verantwoordelijke van de persoonsgegevens) zelf primair verantwoordelijk voor het melden richting de juiste autoriteit of betrokkenen. Infoland zal jouw organisatie tijdig voorzien van alle benodigde gegevens om de melding zelf te kunnen doen.

Binnen welke termijn neemt Infoland contact op en met wie?
In de beleidsregels meldplicht datalekken geldt een termijn van 72 uur voordat de melding bij de juiste autoriteit moet plaatsvinden. Zodra wij of één van onze hulpleveranciers(s) een datalek hebben geconstateerd, zullen wij jou daar zo snel mogelijk – maar uiterlijk binnen 48 uur – over informeren. In onderstaand schema zie je met wie wij vervolgens contact opnemen:

• een specifiek door jou opgegeven contactpersoon voor het melden van datalekken
• primaire contactpersoon hosting dienst
• commercieel contactpersoon

Welke informatie gaat Infoland verstrekken?
Wij verstrekken een beschrijving van de aard en de omvang van het datalek, een inschatting van het aantal getroffen betrokkenen én een indicatie van de aard van de getroffen persoonsgegevens. Verder ontvang je een beschrijving van de getroffenen en (een voorstel tot) te treffen preventieve en correctieve maatregelen.

Let op!
In het geval dat er met jouw organisatie afwijkende afspraken zijn gemaakt (in een verwerkersovereenkomst), zullen deze prevaleren.

Minstens zo belangrijk als alle technische beveiligingsmaatregelen, is de factor ‘mens’. Daarom stellen wij bij Infoland hoge eisen aan alle medewerkers, en in het bijzonder aan hen die voor het uitvoeren van hun functie in contact komen met klantgegevens.

• Iedere medewerker die in zijn dagelijkse werkzaamheden in aanraking komt met jouw gegevens moet een Verklaring Omtrent Gedrag (NL) of Bewijs van goed gedragen en zeden (BE) kunnen tonen.
• Iedere Infoland-medewerker heeft de plicht tot strikte geheimhouding; dit is opgenomen in onze arbeidsovereenkomst.
• Onze medewerkers hebben geen toegang tot meer systemen en/of gegevens dan noodzakelijk is voor de uitoefening van hun functie.
• Iedere medewerker wordt gestimuleerd om alle informatiebeveiligingsincidenten (intern of extern) te melden. Daarvoor zetten we natuurlijk onze eigen software voor Melden & Analyseren in.
• We hebben een Security Officer aangesteld; deze rapporteert en adviseert aan onze directie over informatiebeveiliging in de breedste zin van het woord.
• Onze Security Officer organiseert door het jaar heen activiteiten om ervoor te zorgen dat iedere Infolander bewust is én blijft van de risico’s en daar naar handelt.
• Specifiek voor onze software ontwikkelaars is er daarbij veel aandacht voor security.
  Ieder stukje software wat opgeleverd wordt, moet niet alleen voldoen aan de vraag van de klant, gebruiksvriendelijk zijn, er goed uitzien en robuust zijn, maar óók veilig zijn! Wij maken hiervoor o.a. gebruik van de  OWASP top 10.
• In onze vestigingen zijn fysieke en organisatorische maatregelen genomen om ervoor te zorgen dat onbevoegden geen toegang krijgen tot ruimtes en apparatuur die vertrouwelijke gegevens kunnen bevatten.

Jouw gegevens bevinden zich in zwaar beveiligde datacenters. Voor meer informatie over de (fysieke) beveiliging van het Azure platform zie: https://docs.microsoft.com/nl-nl/azure/security/fundamentals/

De Infoland SaaS-omgeving is ondergebracht binnen de Microsoft Azure cloud. Voor de toegangsbeveiliging maken we gebruiken van diensten als Azure DDos Protection en Azure Web Application Firewall,
Binnen onze SaaS-dienst zijn de gegevens van elke klant strikt gescheiden. De architectuur van de software garandeert dat gebruikers nooit gegevens van andere klanten kunnen benaderen.

Voor de hosting van onze software maken we gebruik van platform-as-a-service diensten binnen Microsoft Azure. Groot voordeel daarvan is dat Microsoft er doorlopend voor zorgt dat alle onderdelen van het platform up-to-date zijn, zonder dat dit leidt tot verstoringen.
Voor de software-onderdelen die binnen virtual machines draaien geldt dat we zelf continu alert zijn op nieuwe kwetsbaarheden in software van derden (bijv. operating systems, software frameworks) en ervoor zorgen dat benodigde updates zo snel mogelijk worden uitgerold.

Toegang tot de software is enkel mogelijk na succesvolle authenticatie. Een combinatie van gebruikersnaam en wachtwoord vormt de basis. Een hoger beveiligingsniveau kan worden verkregen door 2-factor authenticatie in te schakelen (One-Time-Password algoritme) en/of de toegang tot de software te beperken tot specifieke IP-reeksen.

Tevens is het mogelijk om de authenticatie te laten uitvoeren door dedicated identity management/SSO-oplossingen op basis van het SAML 2.0 protocol. Zie ook Integratie met andere systemen.

Binnen de software krijgen medewerkers enkel toegang tot de gegevens waartoe zij gemachtigd zijn. Onze software beschikt daartoe over een fijnmazig systeem van rechten en rollen die aan groepen of individuen kunnen worden toegekend. Iedere inlogpoging, en iedere mutatie die wordt gedaan binnen het systeem, wordt bovendien gelogd.

Al het gegevensverkeer tussen uw browser of mobile device en onze software, wordt versleuteld middels 2048-bit SSL-certificaten. Wachtwoorden worden opgeslagen in een onomkeerbare vorm, middels een salted hash algoritme.

Informatiebeveiliging is nooit klaar. Elke dag kunnen er nieuwe bedreigingen ontstaan.
Daarom laten we onze software minimaal een keer per jaar een penetratietest ondergaan door een externe, gespecialiseerde partij. Daarnaast maken we doorlopend gebruik van online monitoring- en detectietools die onze software en infrastructuur toetsen aan (o.a.) de OWASP top 10.

In het onwaarschijnlijke geval dat zich toch een informatiebeveiligingsincident voordoet, schieten wij direct in actie. Bijvoorbeeld door snel een update voor onze software uit te rollen. Daarnaast kunnen we in het geval van calamiteiten gebruik maken van een gespecialiseerd cyber response team.