• LinkedIn
  • Twitter
  • Instagram

AVG

 

Op deze pagina krijg je een overzicht van onze technische en organisatorische maatregelen om aan te tonen dat en hoe wij compliant zijn aan de GDPR / AVG, de Europese wetgeving rondom privacy. Zoals je misschien weet is de AVG de vervanger van de Wet Bescherming Persoonsgegevens (Wbp). In de links op deze pagina staat beschreven wat voor organisatorische en technische maatregelen we hebben genomen met oog op de AVG. We zijn al jaren bezig zijn om de software te optimaliseren in het kader van de privacy en veiligheid van persoonsgegevens  en blijven als verwerker altijd actief op de hoogte van de ontwikkelingen. 

Naast GDPR / AVG compliant zien we het ook het als onze taak om klanten (preventief) te adviseren en te waarschuwen voor zaken die privacygevoelig liggen in de werkwijze en wijze van communicatie van klanten. Uiteraard ligt de eindverantwoording voor de verdere omgang met privacy (en wat jullie wel een niet registreren) qua persoonsgegevens bij jullie als verwerkingsverantwoordelijke maar we helpen graag waar we kunnen. In dit document zul je wat meer te weten komen over onze nieuwe AVG tool waarmee we je als verantwoordelijke op eenvoudige wijze helpen voldoen aan vereisten zoals de recht op inzage, recht op vergetelheid en dataportabiliteit.

AVG Proof

AVG Definities
 

  • GDPR / AVG: Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). In dit document refereren we aan de AVG.
     

  • Data subject: Dit is exact hetzelfde als een betrokkene. Een betrokkene is degene op wie de persoonsgegevens die worden verwerkt betrekking hebben. Van wie wordt er data verwerkt? 
     

  • Privacy by Design: Privacy by design houdt in dat er tijdens de ontwikkeling van de software aandacht is gegeven aan privacy verhogende maatregelen. Deze worden ook wel aangeduid als privacy enhancing technologies (PET). Daarnaast betekent dit dat er rekening is gehouden met dataminimalisatie: zo min mogelijk persoonsgegevens verwerken en alleen maar de gegevens die noodzakelijk zijn voor het doel van de verwerking. Privacy by Default betekent dat privacy zo maximaal mogelijk staat ingesteld.
     

  • Dataportabiliteit: Dataportabiliteit is het recht van een betrokkene om alle persoonsgegevens die de betrokkene aan de verwerkingsverantwoordelijke heeft verstrekt in een gestructureerde, gangbare en machine-leesbare vorm terug te krijgen. Daarna heeft de betrokkene de keuze om de gegevens aan een andere verwerkingsverantwoordelijke te verstrekken.
     

  • Recht op inzage:  Een betrokkene heeft het recht om zijn of haar gegevens in te kunnen zien en eventueel ook wijzigen aan te kunnen (laten) brengen.
     

  • Recht op vergetelheid: Betrokkenen in de volgende gevallen hun gegevens laten verwijderen:

    • De persoonsgegevens zijn niet noodzakelijk voor de doeleinden waarvoor ze worden verwerkt.

    • De betrokkene kan zijn eerder gegeven toestemming intrekken. Dit moet op dezelfde wijze waarop deze toestemming is verleend.

    • De betrokkene kan bezwaar maken tegen de verwerking voor zijn specifieke situatie er is geen gerechtvaardigd belang voor het verwerken van de gegevens.

    • De betrokkene kan bezwaar maken als zijn of haar gegevens ten behoeve van direct marketing inclusief geautomatiseerde profiling.

    • De persoonsgegevens zijn onrechtmatig verwerkt.

    • De gegevens moeten in bepaalde gevallen gewist worden om te voldoen aan een mogelijke wettelijke verplichtingen die op de verwerkingsverantwoordelijke rusten.

    • Het gaat om toestemming gegeven door/voor minderjarigen voor diensten van de informatiemaatschappij (zoals social networks of online games).
       

  • Verwerkersovereenkomst: Tot nu toe bekend als “bewerkersovereenkomst”, maar de terminologie hiervan is met de komst van de AVG gewijzigd. Een ICT-leverancier die diensten aan klanten levert, waarbij ook persoonsgegevens voor klanten verwerkt worden (in zijn rol als verwerker) is verplicht een verwerkersovereenkomst met klanten (in hun rol als verwerkingsverantwoordelijke) te sluiten.
     

  • Data Protection Officer (DPO): dit is de nieuwe term voor Functionaris van de Gegevensbescherming (FG). Een DPO kun je zien als iemand die toezicht houdt op de verwerking van persoonsgegevens.  Het is de taak van de DPO om toezicht te houden op de naleving van de AVG. Als een organisatie een FG heeft dan is het nog steeds zo dat de Autoriteit Persoonsgegevens (AP) alle bevoegdheden behoudt als toezichthouder in Nederland. Het AP stelt zich alleen iets meer terughoudend op als een organisatie een DPO heeft.
     

  • Privacy Impact Assessment (PIA): Een Privacy Impact Assessment (PIA) is een verplichting om vooraf na te denken over de privacy gerelateerde risico’s van een bepaalde gegevensverwerking. Het doel is om de hieraan verbonden risico's daarna te verkleinen door aanpassingen te doen. In de AVG wordt de nieuwe term Data Privacy Impact Assessment (DPIA) gebruikt. In Nederland staat dit ook bekend als: “gegevensbeschermingseffectbeoordeling”.

 
 
 

Rechten van data subjecten

Data subjecten hebben verschillende rechten. Sommige bestonden al onder de Wbp en sommige zijn nieuw.

Recht op vergetelheid

De tools om dit uit kunnen voeren zijn aanwezig in de software. Je hebt de mogelijkheid om inactieve relaties per stuk of in bulk te definitief te verwijderen. Tot nu toe werden alle gevoelige gegevens en bijzondere gegevens verwijderd.

Voor management rapportages behielden we op verzoek van klanten tot nu toe nog wel adres en woonplaats maar deze zullen ook standaard worden verwijderd uit voorzorg. Mocht je deze zaken willen behouden voor rapportages dan is hier een schriftelijk verzoek voor nodig met de reden waarom. Hier zijn kosten aan verbonden omdat het een aanpassing (en uitzondering) is.

Recht op Inzage

Met de WerktVoorMij webapp hebben we al een gratis tool waarmee je relaties heel gemakkelijk hun eigen NAW gegevens (+ facturatie geschiedenis en ook servicedienst en cursus historie) kunt laten inzien. Zo kunnen betrokkenen zelf een wijziging (recht op correctie) aan te brengen in hun basisgegevens. Mocht je hier nog geen gebruik van maken dan kun je dit aan laten zetten door simpelweg contact met ons op te nemen via je applicatie beheerder. De webapp is gratis in gebruik en een makkelijke manier om betrokkenen inzicht te geven. De webapp geeft nog niet volledige inzage in alle gegevens voor een betrokkene. Met de AVG tool (lees hieronder daarover verder) kun je hier wel aan voldoen. Als je je eigen website aan KorènCRM wilt koppelen via onze API dan is het mogelijk om meer persoonsgegevens te tonen aan een betrokkene. 

Dataportabiliteit

Als relaties hun gegevens willen meenemen moet je alle gegevens in een voor machines leesbare bestand mee kunnen geven. Dit betekent dus dat je niet gewoon een PDF file of Word file of een fysieke brief kunt aanleveren. Voor de recht op inzage voldoet dit misschien wel, maar een relatie (een ‘betrokkene’ en volgens de AVG een ‘data subject’) heeft nu ook het recht om zijn of haar gegevens “mee te nemen”. Daarom moet je een door een machine leesbare bestand kunnen geven. Bekijk de video en lees in de paragraaf hieronder meer over hoe we hierin kunnen voorzien.

AVG tool voor recht op inzage, vergetelheid en dataportabiliteit

We ontwikkelen een nieuwe tool waarmee er vanuit KorènCRM een bestand kan worden gegenereerd met persoonsgegevens van een relatie (inclusief dossier). Deze kun je vervolgens downloaden en zelf op een eigen (beveiligde) wijze naar de klant versturen. Het bestand zal als een ZIP bestand downloadbaar zijn met de relatiegegevens in Docx (Word) format en daarmee dus leesbaar voor de klant. Daarnaast wordt dezelfde data als XML aangeleverd (deze is computer leesbaar ivm het recht op dataportabiliteit).

De AVG tool is vanaf de update op 15 mei beschikbaar. Je kunt je account dan upgraden. Aan het gebruik van de AVG / AVG Tool zijn kosten verbonden. Zodra de tool beschikbaar is zullen we je hiervan op de hoogte brengen en meer informatie hierover geven. We ontwikkelen de tool uiteraard nog door in de toekomst met extra AVG gerelateerde opties en functionaliteiten mbt recht op inzage, vergetelheid en dataportabiliteit en meer. Deze doorontwikkelingen zijn allemaal inbegrepen in de uiteindelijke prijs. Vraag de tool aan.

Simultaan hieraan ontwikkelen we ook een data transfer tool voor het veilig versleuteld versturen van (grote) databestanden.

Inperkingen op recht op inzicht en vergetelheid

Voor het recht op inzage en -vergetelheid gelden ook inperkingen. Neem die mee in je eventuele processen om dit aan te bieden.

Qua recht op inzage: Inzage hoeft niet verleend te worden als de betrokkene al over de informatie beschikt, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken en als informeren de doeleinden van de verwerking vrijwel onmogelijk maakt.

Qua recht op vergetelheid: Persoonsgegevens hoeven niet verwijderd te worden voor zover de verwerking nodig is: Voor de uitoefening van het recht op vrijheid van meningsuiting en informatie. Voor het nakomen van een wettelijke plicht van de verwerkingsverantwoordelijke

Andere geldige redenen om hier niet aan te voldoen zijn: gegevens behouden met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek.

Ook voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Bij een (dreigend) conflict hoeft een verwerkingsverantwoordelijke niet altijd te voldoen aan het verzoek van de betrokkene om al zijn gegevens te vernietigen omdat de betrokkene zich op het recht op vergetelheid beroept.

Verwerkersovereenkomst en Data Pro Statement

Onze verwerkersovereenkomst bestaat uit twee onderdelen:

  1. het Data Pro Statement

  2. de Standaardclausules voor verwerking. 
     

In het Data Pro Statement geven we inhoudelijk aan welke verwerkingen de software voor geschikt is, wat voor soort gegevens verwerkt worden, hoe we de persoonsgegevens beveiligen, ons datalek protocol en meer. 

Het tweede deel bestaat uit de standaardclausules voor verwerking. Hierin zijn alle algemene onderwerpen opgenomen die op basis van artikel 28 lid 3 AVG in een verwerkersovereenkomst moeten worden. Klik hieronder om de verwerkersovereenkomst in te zien.

 
 

Persoonsgegevens naar Korèn versturen

Wij waarschuwen KorènCRM gebruikers ervoor om geen persoonsgegevens in de vorm van screenshots of bijlages op te sturen via e-mail. Het is zaak om je gebruikers goed te instrueren hierin omdat persoonsgegevens mailen mogelijk gezien kan worden als een datalek. E-mail is onvoldoende  beveiligd voor het verzenden van dergelijke gegevens.

In het geval van support mbt een relatie in KorènCRM vragen wij aan gebruikers of ze een KorènCRM relatienummer willen noemen zodat wij zelf in de software naar de situatie in de software kunnen kijken. Hiermee voorkomen we dat er (gevoelige/bijzondere) persoonsgegevens mogelijk gelekt worden. In het uitzonderlijke geval dat een screenshot toch nodig is om een vraag goed te kunnen stellen, moeten deze gecensureerd worden zodat er geen persoonsgegevens meer op staan. Denk er ook aan dat er niet per abuis andere zaken (zoals e-mails) zichtbaar zijn op een screenshot.

Als je persoonsgegevens naar ons toe wilt versturen kan dat beveiligd via SFTP (SSH File Transfer Protocol). Verstuur nooit persoonsgegevens over e-mail of FTP want beide zijn onvoldoende beveiligd. Neem contact op met onze helpdesk als je van ons een SFTP login wilt.

Voorbeelden waarin dit van toepassing is:

  • Je wilt een bestand met persoonsgegevens door ons laten importeren.

  • Je wilt screenshots sturen waarin persoonsgegevens voorkomen.

We gaan ook de mogelijkheid bieden voor het uploaden van bestanden via de helpdesk (koren.werktvoormij.nl) als een gebruiker een helpdesk account heeft. Hiermee kunnen gebruikers bestanden met persoonsgegevens ook beveiligd opsturen. Zodra deze functie beschikbaar is zullen we je hiervan op de hoogte brengen.

Privacy by Design

Qua privacy by design zijn er verschillende zaken die we graag onder de aandacht brengen. Hier zijn enkele voorbeelden van privacy by design en default in de software. Sommige zaken waren er al en andere zaken zijn aangescherpt of worden binnenkort aangepast:

  • Nieuw in gebruikersbeheer is de nieuwe boomstructuur waarin er extra visuele en tekstuele waarschuwingen zijn bij het verlenen van toegang (zowel read-only als bewerken) tot privacy gevoelige informatie bepaalde kritische processen zoals factuurruns of bedrijfskritische processen. Lees meer daarover hier.

  • Het is alleen mogelijk om bepaalde tabbladen of velden in te zien / te wijzigen / te verwijderen als de gebruiker ook toegang heeft tot de corresponderende module (in de bovenbalk). Als een gebruiker geen toegang heeft tot bepaalde gedeeltes/functies binnen een module dan zijn deze of niet zichtbaar of grijs en niet aanklikbaar.

  • Bij het verwijderen van relaties in bulk staat de software zo ingesteld dat het standaard alleen inactieve relaties zal verwijderen ten behoeve van het recht op vergetelheid. Er kan wel gekozen worden om alleen relaties die om een bepaalde reden inactief zijn gezet te selecteren eventueel vanaf een specifieke datum.

  • Bij het verwijderen van inactieve relaties staat standaard ingesteld dat alle inactieve relaties tot 2 jaar terug worden meegenomen. De gebruiker kan dit uiteraard aanpassen naar eigen inzicht en dit termijn korter of langer maken.

  • Als je bij het inloggen een KorènGuard melding krijgt dat er een code is gestuurd naar je e-mailadres is je mailadres niet geheel zichtbaar maar verhaspeld. 

Privacy by Default

Privacy staat maximaal ingesteld. De volgende zaken staan standaard aan:

  • Two step authentication met e-mail staat standaard aan en mag niet uitgezet worden. Dit is uit veiligheidsoverwegingen niet uit te zetten. Deze beveiligingsmethode is ook toegepast op de mobiele versie van KorènCRM.

  • Als er een nieuwe gebruikersgroep aangemaakt wordt staan alle toestemmingen standaard op “geen toegang”. Er moet bij iedere groep dus expliciet toestemming worden verleend voor het uitvoeren van bepaalde handelingen in de software.

  • Als je rechten verleend aan een gebruikersgroep zal de software je mogelijk waarschuwen waartoe deze groep toegang heeft. Hiermee kun je een profiel schetsen van een gebruikersgroep.

 

Gebruikersbeheer: autorisaties & functiegroepen


Het beheren van gebruikers wijzigen we in zijn geheel in de AVG software update van 15 mei a.s. De bestaande gebruikersgroepen worden opgesplitst in een functiegroep en autorisatierollen. Dit geeft veel meer mogelijkheden.

Functiegroep

Met deze groep geef je aan in welke functionele groep een gebruiker zit (bij frontoffice, of servicedienst medewerker enz.). Dit is bijv. handig als het gaat om taken toebedelen aan bepaalde groep gebruikers. Doordat autorisatie nu gescheiden is van functie kunnen gebruikers in dezelfde functiegroep zitten maar andere bevoegdheden. 

Voorbeeld: Een teamleider kan in dezelfde functiegroep (Alarmering) zitten als een medewerker Alarmering maar de teamleider mag bijv. wel BSN nummers inzien en de medewerkers niet. De teamleider zit een authorisatiegroep 'Frontoffice teamleider' en heeft meer bevoegdheden dan de medewerker die een functiegroep 'Frontoffice medewerker'. 

Autorisaties

Op 4 mei plaatsen we een update met een nieuwe autorisatierollen structuur die de huidige gebruikersbeheer gaat vervangen. Als je een autorisatie rol hebt samengesteld dan genereert de software een lijst met wat een gebruiker die deze rol krijgt daarna allemaal kan inzien/bewerken. Bij bepaalde permissies kan er een waarschuwingsteken staan. Als je je muis boven het waarschuwingsteken houdt kun je lezen wat een gebruiker met een autorisatie rol kan inzien/doen als die specifieke permissie gegeven wordt. Aan de linkerkant van het scherm staan alle mogelijke permissies en aan de rechterkant staan de geselecteerde permissies voor de desbetreffende autorisatie rol.

Voorbeeld: "Een gebruiker met de autorisatie rol in het onderstaande voorbeeld (Management alarmering) kan rapportages uitdraaien. Naast rapportages staat een oranje waarschuwingsteken waarin er een waarschuwing staat over het kunnen inzien van (bijzondere) persoonsgegevens. Een rode waarschuwingsteken waarschuwt voor systeem kritieke zaken. In het voorbeeld hieronder heeft deze autorisatie rol toegang tot systeembeheer en daarmee de hoogste permissies mbt o.a. het het beheren van gebruikers. 

 

AVG tool voor o.a. dataportabiliteit, recht op inzage en vergetelheid, bewaartermijnen en meer

Je kunt je abonnement upgraden met onze AVG tool. Hiermee kun je van iedere relatie een computer leesbaar bestand genereren uit de software met relatiegegevens (uit alle modules die je gebruikt). De AVG tool genereert een Word bestand met de relatiegegevens en een computer leesbare XML bestand. Dit is inclusief alle dossier documenten. 

Zodoende hoef je bij een dataportabiliteit verzoek van een betrokkene niet alle data handmatig te kopiëren uit de software en in bijv. een Excel document te plakken. 

Recht op Vergetelheid


Betrokkenen kunnen met deze recht een organisatie verzoeken om alle door hen aangeleverde persoonlijke gegevens volledig te verwijderen. 

Bewaartermijn


Stel een bewaartermijn in en kreeg reminders van de software om relaties definitief te verwijderen. (KorènCRM hanteert een twee-staps proces, eerst inactief maken en vervolgens definitief verwijderen, eventueel in bulk en ook eventueel per reden van afmelding) Zo kun je eenvoudig voldoen aan wat je in je privacy statement staat.

De kosten zijn 15,- per (gelijktijdige) gebruiker per maand. Stuur een mail naar sales@koren.nl als je deze upgrade wilt.

 
 

Backups en bewaartermijn gegevens

We bewaren met ingang van mei backups van maximaal 2 maanden oud. Oudere backups worden automatische vernietigd. Mocht het nodig zijn om backups langer te bewaren dan zijn daar mogelijkheden voor maar zijn daar mogelijk wel kosten aan verbonden.

Teruggave gegevens

Bij beëindiging van de overeenkomst en daarmee de bewerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van opdrachtgever zal Korèn, kosteloos, naar keuze van opdrachtgever, de persoonsgegevens vernietigen of teruggeven aan opdrachtgever. Teruggave zal plaatsvinden binnen 2 maanden na het beëindigen van de overeenkomst. Op verzoek van opdrachtgever verstrekt Korèn bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Bij teruggave van de persoonsgegevens zal de aanlevering gebeuren via een standaard database backup-bestand. Op verzoek kunnen de persoonsgegevens ook in een andere format worden teruggegeven, echter zijn hier kosten aan verbonden.

 

Accountability en documentatieplicht

  • Korèn geeft de applicatiebeheerder(s) de mogelijkheid om via onze gebruikers analysetools verdachte of vreemde gebruikersactiviteit te monitoren en eventueel de noodzakelijke actie te ondernemen. Korèn stuurt maandelijks een rapport naar de applicatiebeheerder met een gebruiker statusoverzicht. Hierin staat o.a. wanneer een gebruiker voor het laatst heeft ingelogd en het aantal keer dat een gebruiker niet correct heeft uitgelogd. Korèn monitort ongewone server- of netwerkactiviteit via onze realtime monitoring tools. We ondernemen na het vaststellen hiervan indien noodzakelijk actie. In het geval dat de server onbereikbaar is zullen onze medewerkers hier 24 uur per dag binnen twee minuten automatisch van op de hoogte zijn. Hierdoor kan er indien noodzakelijk direct actie worden ondernomen.
    Krijgt je applicatiebeheerder / security officer onze maandelijkse monitoring mails nog niet? Neem contact op met onze Helpdesk als dit niet zo is.
     

  • Van al onze klanten houden we bij we welke modules er in gebruik zijn en welke licenties er zijn. Dit is een digitale archivering die in realtime automatisch wordt beheerd. Als een licentie dus wordt uitgezet dan verdwijnt deze ook uit deze lijst. Als dit voor een eventuele PIA nodig is kunnen we dit aanleveren. In dit register staan de volgende zaken:
     

    • Naam en contactgegevens van alle de verwerkingsverantwoordelijke en de vertegenwoordiger van de verantwoordelijke

    • De categorieën die we verwerken per verwerkingsverantwoordelijke. Hier staat een lijst met modules, submodules en meer in de omschrijving.

 

Privacy Impact Assessment

Wij verwerken op grote schaal (bijzondere) persoonsgegevens o.a. voor jou als verantwoordelijke.Het is voor jou als verantwoordelijke mogelijk vereist om een Privacy Impact Assessment (PIA) uit te voeren. Als verwerker voorzien we je van de volgende informatie:

  • Een security document met een omschrijving van de technische en organisatorische veiligheidsmaatregelen.

  • Een overzicht van welke modules en submodules er gebruikt worden binnen de software.

  • Mocht je dat nog niet hebben afgesloten met ons: een verwerkersovereenkomst.

Als verantwoordelijke ben je zelf verantwoordelijk voor het bepalen of een PIA nodig is en ook voor het beoordelen van de risico’s. Als het gaat om beoordelen van risico’s kunnen we je eventueel adviseren en zaken eventueel verder toelichten als het gaat om onze eigen software en processen.

Data Protection Officer (DPO)

Gezien het feit dat we grote hoeveelheden data verwerken waarin ook gevoelige en/of bijzondere persoonsgegevens verwerkt hebben we een Data Protection Officer (DPO). Dit staat gelijk aan een Functionaris van Gegevensbescherming maar is de EU term hiervoor. Download onze Verwerkersovereenkomst hier om de gegevens in te zien.

 
 

Data Pro Gecertificeerd

Onze brancheorganisatie Nederland ICT heeft een nieuwe certificering gelanceerd met oog op de AVG. Het Data Pro Code certificaat is specifiek gericht op data processors (verwerkers en voorheen bekend als bewerkers). De certificering is toegespitst op de praktijk en is inhoudelijk een relevante certificering op verwerkersgebied. De certificering wordt gedaan door een onafhankelijke derde partij (buiten Nederland ICT om) en jaarlijks opnieuw getoetst. Meer info over dit certificaat kun je hier vinden.

 

Wij zijn gecertificeerd en behoren tot de eerste lichting gecertificeerde bedrijven waar we uiteraard heel trots op zijn. We zijn geslaagd met een gemiddelde van 43,4 punten (van de 50). Op 2 van de 8 punten zijn we zelfs beoordeeld met vooruitstrevend.

Hieronder kun je onze cijferlijst inzien.

 

BSN Zorg Keurmerk RB/IV +

Onze software is in het bezit van de hoogste certificering als het gaat om BSN verificatie. Hiermee kun je, mits je over een geldige licentie beschikt, NAW gegevens uit de Gemeentelijke Basis Administratie (GBA) opvragen ter verificatie. Dit is een must voor iedere zorgorganisatie en andere organisaties die autorisatie hebben om het burgerservicenummer op te vragen. 

Let op: Volgens het AVG het BSN geen bijzonder persoonsgegeven maar komen er waarschijnlijk wel speciale regels voor de verwerking hiervan. Bekijk de uitleg van het AP hier en hier.

Security

KorènCRM neemt de volgende technische en organisatorische beveiligingsmaatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking.

Datacenter & hosting

KorènCRM wordt uitsluitend gehost vanuit datacentra op private dedicated servers die zich in Nederland bevinden en welke uitsluitend via de eerder genoemde beveiligde procedures te benaderen zijn. Korèn heeft gekozen voor de datacentra van TransIP en deze is hiermee sub-bewerker van de klantdata. TransIP heeft de beschikking over een eigen ruimte in datacenter DCG (The Datacenter Group Amsterdam). De fysieke locatie is Kabelweg 48a, 1014 BB Amsterdam. Het datacentrum is ISO 9001, ISO 27001, ISO 14001, NEN 7510 en PCI DDS gecertificeerd. Daarmee zijn kwaliteitsmanagement, beveiliging en milieumanagement optimaal gewaarborgd. De servers zelf bevinden zich in een afgesloten ruimte, waar slechts een select aantal medewerkers toegang toe hebben. Het datacenter beschikt over 24/7 on-site bewaking. Biometrische identificatie en een HD CCTV netwerk waarborgen dat de server veilig staat. Brandveiligheid wordt gegarandeerd door een VESDA detectiesysteem in combinatie met een Argonite blussysteem. Alle racks in het datacentrum zijn voorzien van redundante netwerkpoorten. Een Uninterruptible Power Supply (UPS) en twee SDMO NSA diesel generatoren zorgen ervoor dat zelfs bij stroomuitval het datacenter volledig operationeel blijft. Er worden iedere 4 uur offsite backups van de data gemaakt naar een datacenter op een andere locatie. De datacentra vallen onder Nederlandse wet- en regelgeving. Gebruikers kunnen namens de Verantwoordelijke alleen toegang krijgen tot de software via een beveiligde SSL-verbinding. Hierdoor wordt de mogelijkheid van ‘afluisteren’ door derden geëlimineerd. Gebruikers kunnen enkel inloggen via een twee-weg authenticatie welke gebruik maakt van de e-mailaccount van de gebruiker. Derden zouden zowel de logingegevens van de KorènCRM gebruiker als de accountgegevens van de e-mail account van gebruiker moeten bemachtigen.

Isolatie van gegevens

De gegevens van de Verantwoordelijke zijn binnen de infrastructuur van Korèn geïsoleerd. De database waar de gegevens in worden opgeslagen is niet direct via internet toegankelijk en kan alleen via de KorènCRM software worden benaderd. De documenten en dossiers in de software zijn niet direct toegankelijk, waardoor eventuele virussen op het netwerk van een gebruiker niet zelfstandig kunnen propageren naar de desbetreffende documenten in de software.

Virussen

De Verantwoordelijke dient zelf zorg te dragen voor een toereikende virusscanner op haar eigen systeem. Korèn kan niet voorkomen dat door het gebruik van een geïnfecteerd systeem, gegevens worden blootgesteld aan derden, of dat bestanden welke in KorènCRM worden opgeslagen, het virus bij zich dragen. Korèn draagt er zorg voor dat eventuele virussen afkomstig uit het netwerk van de gebruiker, niet kunnen propageren binnen de instantie van KorènCRM, of tussen verschillende instanties van KorènCRM.

Medewerkers van Korèn

Alle medewerkers van Korèn die toegang hebben tot vertrouwelijke gegevens zijn contractueel verplicht om correct en vertrouwelijk met alle gegevens van de Verantwoordelijke om te gaan. Alle medewerkers als ook eventueel ingehuurde krachten hebben een geheimhoudingsverklaring getekend. Dit betreft alle communicatie met de Verantwoordelijke en indien van toepassing, de persoonsgegevens van de klanten in de database. Een beperkt aantal medewerkers van Korèn heeft toegang tot de software en de persoonsgegevens van klanten. Deze toegang wordt uitsluitend gebruikt voor het leveren van support en onderhoud aan de software en servers en uitdrukkelijk niet voor het wijzigen van gegevens.

Medewerkers kunnen alleen toegang krijgen tot de software vanuit de werklocaties via een beveiligde digitale sleutel. Hierdoor is zelfs in het geval dat het wachtwoord bij derden terecht komt, niet mogelijk dat hier direct misbruik van gemaakt wordt; het wachtwoord geeft alleen op de werklocatie en met gelijktijdig gebruik van de unieke digitale sleutel toegang tot het systeem. De computers waarmee ingelogd wordt om onderhoud en support te verlenen zijn geheel versleuteld en kunnen niet worden opgestart zonder two-factor authenticatie.

Extra kosten

Extra technische en organisatorische maatregelen op maat zijn mogelijk maar daar zijn extra kosten aan verbonden die door de verantwoordelijke, de klant gedragen moeten worden.

 

Datalekken en beveiligingsincidenten

Opdrachtnemer zal zich inspannen de hieronder nader uitgewerkte beveiligingsincidenten te melden aan Klant:

  • Aanhoudende verdachte inlogpogingen

  • Bij een DDOS (Distributed Denial of Service) aanval

  • Daadwerkelijke datalekken

  • Onbevoegde on site fysieke toegang tot het systeem
     

 Opdrachtnemer heeft in het kader van het melden van datalekken de volgende maatregelen getroffen:

Bij aanhoudende verdachte inlogpogingen wordt toegang tot het systeem voor iedereen geblokkeerd en wordt de verwerker gealarmeerd. De verdachte inlogpogingen worden geanalyseerd en gemeld bij de Klant als de aard hiervan een direct gevaar vormt of verdacht blijft. Verdachte inlogpogingen worden geanalyseerd op maandelijkse basis.

Actieplan Datalekken

In het geval er een datalek wordt geconstateerd, draagt Korèn zorg om de schade te beperken. Dit kan eventueel door het gedeeltelijk of geheel blokkeren van toegang tot de software. In overleg kan op een later tijdstip de toegang weer gedeeltelijk hersteld worden. Ook zal de betrokken opdrachtgever als verantwoordelijke binnen 24 uur van het ontdekken van de datalek worden ingelicht over het datalek en de status van het onderzoek.

In overleg kan door de opdrachtgever een contactpersoon worden aangewezen welke ook buiten kantoortijden beschikbaar is. Als er geen contactpersoon is aangewezen of de contactpersoon niet bereikbaar is, zal Korèn zich inspannen om een verantwoordelijke binnen de organisatie van de opdrachtgever te bereiken via telefoon of e-mail. De opdrachtgever is zelf verantwoordelijk melding te doen bij het Autoriteit Persoonsgegevens (AP) van het datalek.

 
 

Verzekering tegen cyberrisico's

Cyberincidenten komen regelmatig voor. Helaas realiseren veel bedrijven te laat wat de cyberrisico’s zijn, namelijk als ze getroffen zijn door een datalek of gehackt zijn. Wij doen er alles om preventief te werken. Voor het geval zich een incident wel zou voordoen hebben we met de Chubb cyber security verzekering de meeste gerenommeerde verzekering genomen die er is. Chubb is wereldwijd de specialist hierin.