Default logo
ProductPrijzenAanmeldenProbeer gratis
Home/juridisch/Technische en organisatorische maatregelen (TOM)

Disclaimer: This page is an automated translation of the original English document, provided of you convenience.
In case of any dicrepancy between the translation and the English original, the English version shall prevail.
Pease refer to the original [Technical and Organisational Measures (TOM)] in English for the definitive text.

Technische en organisatorische maatregelen (TOM)

Inleiding

Deskhero AB (“wij,” “ons,” or “onze“) zet zich in voor het implementeren van passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat passend is bij het risico dat gepaard gaat met de verwerking van persoonsgegevens voor onze Cliënten (“u” or “Cliënt“), Gebruikers en klanten van de Cliënt, in overeenstemming met de EU-Algemene Verordening Gegevensbescherming (GDPR) en overige toepasselijke gegevensbeschermingswetten.

Dit document beschrijft de technische en organisatorische maatregelen die wij hebben geïmplementeerd om persoonsgegevens te beveiligen die via ons Software-as-a-Service (SaaS)-platform (“Service“), waarbij we gebruikmaken van onze AWS-infrastructuur.

1. Organisatorische maatregelen

1.1 Governance van gegevensbescherming

  • Data Protection Officer (DPO):
    • Naam: Klas Karlsson
    • E-mail: dpo@deskhero.com
    • Telefoon: +46 70 601 13 22

Verantwoordelijkheid:

  • Toezicht houden op de gegevensbeschermingsstrategie en compliance.
  • Toezicht houden op naleving van gegevensbeschermingsbeleid en ‑procedures.
  • Optreden als aanspreekpunt voor betrokkenen en toezichthoudende autoriteiten.

1.2 Beleid en procedures

  • Gegevensbeschermingsbeleid:
    • Het opstellen van interne beleidslijnen voor gegevensbescherming, die regelmatig worden herzien en bijgewerkt.
    • De beleidstukken omvatten gegevensverwerking, reactie op datalekken, toegangscontrole en verantwoordelijkheden van medewerkers.
  • Medewerkerstraining:
    • Verplichte trainingsprogramma's voor alle medewerkers over gegevensbescherming, privacy en informatiebeveiliging.
    • Regelmatige updates over nieuwe dreigingen en best practices.
  • Vertrouwelijkheidsovereenkomsten:
    • Werknemers en aannemers moeten vertrouwelijkheids- en geheimhoudingsovereenkomsten ondertekenen.

1.3 Toegangsbeheer

  • Toegangscontrolebeleid:
    • Toegang tot persoonsgegevens wordt verleend volgens het need-to-know-principe.
    • Regelmatige beoordelingen van gebruikersrechten.
  • Authenticatiemechanismen:
    • Gebruik van sterke wachtwoorden en multifactorauthenticatie (MFA) voor systeemtoegang.
    • Accountvergrendelingsbeleid na meerdere mislukte inlogpogingen.

1.4 Incidentrespons

  • Incident response-plan:
    • Procedures voor het detecteren, rapporteren en afhandelen van beveiligingsincidenten.
    • Een aangewezen incident response-team.
  • Meldingsprocedures:
    • Verplichting om Cliënten en autoriteiten onverwijld te informeren over inbreuken op persoonsgegevens.

1.5 Leveranciersbeheer

  • Due diligence:
    • Subverwerkers beoordelen op naleving van gegevensbeschermingsnormen.
  • Contracten:
    • Zekerstellen dat overeenkomsten met Subverwerkers bepalingen over gegevensbescherming bevatten.

2. Technische maatregelen

2.1 Gegevensversleuteling

  • Tijdens transport:
    • Persoonsgegevens worden tijdens overdracht via openbare netwerken versleuteld met TLS 1.2 of hoger.
  • In rust:
    • Persoonsgegevens die in databases en back-ups zijn opgeslagen, worden versleuteld met AWS-encryptiediensten (bijv. AES-256-versleuteling voor EBS-volumes, RDS-versleuteling).

2.2 Netwerkbeveiliging

  • AWS-infrastructuur:
    • Onze Service wordt gehost op Amazon Web Services (AWS) en maakt gebruik van hun veilige infrastructuur en diensten.
  • Firewalls en Security Groups:
    • AWS Security Groups worden gebruikt om inkomend en uitgaand verkeer naar resources te beheren en fungeren als virtuele firewalls op instanceniveau.
  • Virtual Private Cloud (VPC):
    • AWS VPC is geconfigureerd om netwerkverkeer te isoleren en beveiligen.
    • Privésubnets worden gebruikt voor interne resources, zodat databases en caches niet aan het openbare internet worden blootgesteld.
  • AWS CloudFront en Application Load Balancer (ALB):
    • AWS CloudFront fungeert als content delivery network (CDN) en ingangspunt, en zorgt voor een veilige en efficiënte distributie.
    • AWS ALB verdeelt inkomend verkeer naar Amazon ECS-containers (Elastic Container Service) die de applicatie hosten.
  • Intrusion detection en threat monitoring:
    • Hoewel er geen aparte IDS/IPS-systemen worden gebruikt, bieden AWS-diensten mogelijkheden om netwerkverkeer te monitoren.

2.3 Systeembeveiliging

  • Secure configuration management:
    • De infrastructuur wordt beheerd met Terraform, waardoor consistente en veilige configuraties in alle omgevingen mogelijk zijn.
  • Omgevingssegregatie:
    • Gescheiden omgevingen voor development (“sandbox”), staging en productie worden onderhouden om code- en infrastructuurwijzigingen vóór uitrol te testen.
  • Patchmanagement:
    • Regelmatig worden updates en patches toegepast op besturingssystemen en applicaties, waarbij waar mogelijk AWS-diensten en automatisering worden ingezet.

2.4 Applicatiebeveiliging

  • Secure development-praktijken:
    • Toepassing van Secure Software Development Lifecycle (SSDLC)-principes.
    • Regelmatige code-reviews, statische code-analyse en beveiligingstesten worden uitgevoerd.
  • Penetratietesten:
    • Periodieke security-assessments en kwetsbaarheidsscans worden uitgevoerd, inclusief penetratietesten door derden waar nodig.

2.5 Toegangscontrole

  • AWS Identity and Access Management (IAM):
    • Rolgebaseerde toegangscontrole (RBAC) wordt afgedwongen met AWS IAM-rollen en ‑beleid.
    • Toegang tot AWS-resources wordt verleend volgens het principe van least privilege.
  • Multi-factor authenticatie (MFA):
    • MFA is verplicht voor alle administratieve toegang tot AWS-beheersinterfaces.
  • Logging en monitoring:
    • AWS CloudTrail wordt gebruikt om API-aanroepen en acties binnen de AWS-omgeving te loggen.
    • AWS CloudWatch bewaakt logs en metrics op afwijkingen.

2.6 Gegevensback-up en herstel

  • Regelmatige back-ups:
    • Geautomatiseerde back-ups van databases worden uitgevoerd met de automatische back-upfuncties van AWS RDS.
  • Versleutelde back-ups:
    • Back-upgegevens worden in rust versleuteld met AWS Key Management Service (KMS).
  • Disaster recovery-plan:
    • Er zijn gedocumenteerde procedures voor gegevensherstel en servicecontinuïteit.
  • Testen van herstelprocessen:
    • Regelmatig worden tests uitgevoerd van back-upherstel- en herstelprocedures.

2.7 Fysieke beveiliging

  • AWS-datacenters:
    • Fysieke beveiligingsmaatregelen worden beheerd door AWS, waaronder:
      • 24/7 security personnel.
      • Biometric access controls.
      • CCTV surveillance.
      • Environmental controls like fire suppression and climate control.
  • AWS-compliance:
    • AWS-datacenters voldoen aan industriestandaarden zoals ISO 27001 en SOC 1/2/3, wat onze compliance-inspanningen ondersteunt.

2.8 Endpoint-beveiliging

  • Apparaatbeveiligingsbeleid:
    • Bedrijfstoestellen zijn beveiligd met:
      • Full disk encryption.
      • Up-to-date anti-malware software.
      • Strong authentication mechanisms.
  • Externe toegang:
    • Beveiligde VPN-verbindingen zijn vereist voor externe toegang tot interne systemen, waar van toepassing.
  • Mogelijkheid tot remote wipe:
    • Mogelijkheid om bedrijfstoestellen op afstand te wissen bij verlies of diefstal.

2.9 Logging en monitoring

  • Uitgebreide logging:
    • Gedetailleerde logs van systeemactiviteiten, toegangslogs en foutlogs worden bijgehouden.
  • Security monitoring:
    • Realtime monitoring van beveiligingsgebeurtenissen met AWS-diensten zoals CloudWatch en GuardDuty.
  • Alerting:
    • Geautomatiseerde meldingen zijn geconfigureerd voor verdachte activiteiten of beveiligingsincidenten.

2.10 Dataminimalisatie en pseudonimisering

  • Dataminimalisatie:
    • Alleen de persoonsgegevens verzamelen en verwerken die nodig zijn voor de gespecificeerde doeleinden.
  • Pseudonimisering en anonimisering:
    • Waar passend worden persoonsgegevens gepseudonimiseerd of geanonimiseerd om het risico voor betrokkenen te verkleinen.

3. Regelmatige tests en assessments

  • Kwetsbaarheidsscans:
    • Regelmatige geautomatiseerde scans van systemen om kwetsbaarheden te detecteren, met tools die compatibel zijn met AWS-omgevingen.
  • Security-audits:
    • Periodieke security-audits en assessments worden uitgevoerd om de effectiviteit van beveiligingsmaatregelen te beoordelen.
  • AWS Well-Architected-reviews:
    • Regelmatige evaluaties met het AWS Well-Architected Framework om te garanderen dat best practices worden gevolgd.

4. Naleving van standaarden

  • Regelgevingscompliance:
    • Naleving van de GDPR en andere toepasselijke gegevensbeschermingswetten.
  • Afstemming op best practices:
    • Beveiligingspraktijken afstemmen op industriële best practices en richtlijnen, waaronder:
  • AWS Security Best Practices.
    • NIST Cybersecurity Framework.

5. Gegevensbescherming door ontwerp en standaardinstellingen

  • Privacy Impact Assessments (PIA's):
    • Uitgevoerd voor nieuwe verwerkingsactiviteiten of belangrijke wijzigingen in bestaande processen.
  • Veilige standaardinstellingen:
    • Systemen en applicaties zijn zodanig geconfigureerd dat standaard alleen noodzakelijke persoonsgegevens worden verwerkt.

6. Bewustwording en training

  • Medewerkereducatie:
    • Regelmatige trainingssessies over gegevensbeschermingsbeleid, procedures en best practices, inclusief AWS-specifieke securitytraining.
  • Security awareness-programma's:
    • Voortdurende initiatieven om binnen de organisatie een cultuur van security en privacy te bevorderen.

7. Beveiliging van Subverwerkers

  • AWS Shared Responsibility Model:
    • Inzicht in en naleving van het AWS Shared Responsibility Model, waarbij AWS verantwoordelijk is voor beveiliging ‘van’ de cloud en wij voor beveiliging ‘in’ de cloud.
  • Leveranciersbeheer:
    • Regelmatige beoordeling van Subverwerkers om te garanderen dat zij aan onze beveiligings- en compliance-vereisten voldoen.

8. Incidentmanagement

  • Detectie en rapportage:
    • Systemen om beveiligingsincidenten snel te detecteren met AWS-monitoringdiensten.
  • Responsprocedures:
    • Bepaalde stappen voor indamming, uitroeiing, herstel en communicatie.
  • Meldingsverplichtingen:
    • Procedures om Cliënten en autoriteiten onverwijld te informeren over inbreuken op persoonsgegevens.

9. Gegevensbewaring en verwijdering

  • Bewaarbeleid voor gegevens:
    • Persoonsgegevens worden alleen bewaard zolang dat nodig is voor de doeleinden waarvoor ze zijn verzameld of zoals wettelijk vereist.
  • Veilige verwijdering:
    • Na afloop van de bewaartermijn worden persoonsgegevens veilig verwijderd of geanonimiseerd.
  • Verzoeken tot gegevensverwijdering:
    • Processen om verzoeken tot verwijdering van betrokkenen af te handelen in overeenstemming met de GDPR.

10. Contactgegevens

Voor vragen of opmerkingen over onze technische en organisatorische maatregelen kunt u contact opnemen met onze Data Protection Officer (DPO):

  • Naam: Klas Karlsson
  • E-mail: dpo@deskhero.com
  • Telefoon: +46 70 601 13 22

Opmerking: Dit document kan van tijd tot tijd worden bijgewerkt om wijzigingen in onze beveiligingspraktijken weer te geven. Wij zullen Cliënten op de hoogte stellen van belangrijke wijzigingen zoals beschreven in ons Privacyverklaring en Verwerkersovereenkomst.