Informatieveiligheid
Waarom informatie over informatieveiligheid?
RegioIngenieur neemt de bescherming en beveiliging van persoonsgegevens uiterst serieus. Hoewel we redelijke voorzorgsmaatregelen nemen om de persoonsgegevens die we verzamelen te beschermen, is geen enkel beveiligingssysteem ondoordringbaar.
Wij gebruiken een scala aan passende technische en organisatorische maatregelen en voldoen aan sectornormen om uw persoonsgegevens te beschermen en te helpen voorkomen dat diefstal, misbruik en onbevoegde toegang, verstrekking, wijziging en vernietiging van informatie over u kan plaatsvinden. We bewaren de persoonsgegevens die u verstrekt bijvoorbeeld op computersystemen met beperkte toegang en in gecontroleerde omgevingen.
In dit document worden de organisatorische en technische beveiligingsmaatregelen van RegioIngenieur gedetailleerd verklaard. Nadruk ligt voornamelijk op de maatregelen die zijn gericht op de veiligheid van uw persoonsgegevens en de beschikbaarheid van de website. Aangezien in RegioIngenieur persoonsgegevens worden verwerkt, zijn deze maatregelen van groot belang om een juiste mate van beveiliging te creëren zoals de AVG dit aan gegevensverwerkers voorschrijft (AVG Artikel 28). Voor vragen over de veiligheid van uw persoonsgegevens kunt u contact met ons opnemen via info@regioingenieur.nl.
Organisatorische maatregelen bij RegioIngenieur
Werkproces
RegioIngenieur heeft haar werkproces gebaseerd op de ISO 9001:2015 en heeft kennisgenomen van de ISO 27001:2013. Voor beide is geen certificaat afgegeven maar binnen de organisatie is de informatieveiligheid een belangrijk item.
Rapportage
RegioIngenieur deelt via nieuwsberichten op de website en via e-mailberichten specifiek aan de gebruikers, informatie aangaande de maatregelen en resultaten van bevindingen en aanpassingen met betrekking tot informatieveiligheid.
Ontwikkeling
Beveiligingsaspecten (beschikbaarheid, integriteit en vertrouwelijkheid) zijn integraal onderdeel van de ontwikkeling bij o.a. design en development. Wijzigingen worden gecontroleerd doorgevoerd in de verschillende omgevingen.
Technische maatregelen bij RegioIngenieur
Internetconnecties
Gegevens worden uitsluitend uitgewisseld via cryptografisch beveiligde verbindingen. Alle communicatie tussen clients (gebruikers) en de servers wordt middels SSL versleuteld. Het SSL-certificaat geeft gebruikers de garantie dat gegevens via de browser via HTTPS worden verzonden, waardoor dergelijke informatie wordt gecodeerd en beveiligd. SSL wordt in de praktijk bijvoorbeeld ook gebruikt voor online transacties met creditcards. RegioIngenieur benut een SSL-certificaat van Let’s Encrypt Authority X3.
Dataopslag
Persoonsgegevens die door RegioIngenieur zijn verzameld, worden niet verwerkt en opgeslagen in de CMS van de website en daarmee niet opgeslagen. RegioIngenieur gebruikt hiervoor de dienst van Mailchimp.
Streng wachtwoordbeleid
Alleen de gebruikers van het platform van RegioIngenieur (wordpress website) kent zijn eigen gebruikersnaam en wachtwoord. Wachtwoorden zijn zelf aan te passen en zullen nooit per e-mail of telefoon gevraagd worden. Indien vergeten, kan een gebruiker zelf een nieuw wachtwoord opvragen. Gebruikersaccounts voor het platform van RegioIngenieur worden alleen versterkt aan medewerkers van RegioIngenieur die daar door hun werkzaamheden genoodzaakt toe zijn.
Technische maatregelen bij verwerkers
RegioIngenieur benut een selecte groep aan verwerkers welke een gelijk belang aan beschikbaarheid, integriteit en vertrouwelijkheid hechten als RegioIngenieur. Op het gebied van informatieveiligheid zijn derhalve voor verwerkers de veiligheidsmaatregelen inzichtelijk gemaakt.
Onderdeel | Verwerker | Gedetailleerde omschrijving |
Websitehosting | Make it WorkPress | Website hosting, een product van het Nederlandse bedrijf Make it WorkPress. |
Nieuwsbrief | Mailchimp | Mailchimp, een product van het Amerikaanse bedrijf The Rocket Science Group LLC. |
Statistieken | Google Analytics | Google Analytics, een product van het Amerikaanse bedrijf Google LLC, onderdeel van Alphabet Inc. |
De Verenigde Staten van America (VS) voldoet niet aan het passende beveiligingsniveau volgens de Autoriteit Persoonsgegevens. De Amerikaanse bedrijven Mailchimp en Google zijn gecertificeerd door het EU-US Privacy Shield. Doordat Mailchimp en Google Analytics voldoen aan de strenge eisen van dit shield, is het toegestaan data uit te wisselen. Hiermee zijn wel verwerkersovereenkomsten afgesloten.
Internetconnecties
Gegevens worden uitsluitend uitgewisseld via cryptografisch beveiligde verbindingen. Alle communicatie tussen clients (gebruikers) en de servers wordt middels SSL versleuteld. Het SSL-certificaat geeft gebruikers de garantie dat gegevens via de browser via HTTPS worden verzonden, waardoor dergelijke informatie wordt gecodeerd en beveiligd. SSL wordt in de praktijk bijvoorbeeld ook gebruikt voor online transacties met creditcards.
- Make it WorkPress benut een SSL-certificat van Lets Encrypt.
- Mailchimp benut een SSL-certificaat van Symantec met een Class 3 G4 certificaat.
- Google Analytics benut een SSL-certificaat van Google Internet Authority G2 certificaat.
Firewall
Als eerste beveiligingslaag wordt het internetverkeer naar de servers gefilterd door een firewall. De firewall beschermt tegen aanvallen zoals Syn/UDP/ICMP flood protecion, ip spoofing, fragmentation attacks enz. Het netwerkverkeer is beperkt tot enkel de noodzakelijke diensten, poort HTTP (poort 80) en HTTPS (poort 443) voor de web services en SMTP (poort 25) voor de mail services zijn toegestaan in de firewall routes. De routes kunnen enkel leiden naar servers welke de diensten ook daadwerkelijk aanbieden. De internettoegang tot de omgeving staat geen toegang voor technisch beheer of directe toegang tot de databasesystemen toe.
- RegioIngenieur benut de firewall op server en applicatieniveau.
- Mailchimp benut een firewall.
- Google Analytics benut een firewall.
Dataopslag
Persoonsgegevens die door RegioIngenieur zijn verzameld, worden verwerkt en opgeslagen in Nederland en in de VS. Dataprivacy is van cruciaal belang. Daarom wordt data bij verwerkers bewaard door een organisaties die daarin zijn gespecialiseerd en zijn benoemd als verwerkers.
- RegioIngenieur slaat data op in Nederland, dit toegestaan door AVG daar de verplichting is dat binnen de EU op te slaan.
- Mailchimp slaat data op in de VS, dit wordt binnen de AVG geaccepteerd omdat Mailchimp onderdeel is van EU-US Privacy Shield.
- Google Analytics slaat data op in de VS, dit wordt binnen de AVG geaccepteerd omdat Mailchimp onderdeel is van EU-US Privacy Shield.
Gedetailleerde security omschrijving van verwerkers
Voor meer specifiek security details van onze verwerkers wordt verwezen naar de website van de verwerkers:
- Mailchimp: https://mailchimp.com/about/security/
- Google Analytics: https://support.google.com/analytics/answer/6004245?hl=nl&utm_id=ad