beveiligingsverklaring BlijWerkt

Deze Beveiligingsverklaring is van toepassing op de diensten en websites die worden aangeboden door BlijWerkt, behalve daar waar anderszins aangegeven. Wij duiden deze diensten en websites in deze Verklaring aan met het woord ‘diensten’.
We nemen onze verantwoordelijkheid om uw informatie te beschermen en beveiligen serieus, en streven naar volledig transparante beveiligingsprocedures. Deze worden hieronder beschreven. Ook in ons Privacy beleid vindt u meer informatie over hoe wij omgaan met uw gegevens.

Fysieke beveiliging en naleving
De technische infrastructuur van BlijWerkt wordt gehost door toonaangevende, erkende SOC 2-datacenters.
Enkele fysieke beveiligingsmaatregelen die getroffen worden in onze datacenters zijn 24/7 toezicht, camera’s, logboeken voor bezoekers, beperkte toegankelijkheid en speciale afgebakende ruimte voor de hardware van BlijWerkt.
Een deel van de applicaties wordt door derden gehost. BlijWerkt vraagt jaarlijks de volgende gegevens op om de beveiliging van deze partijen te controleren: ISO27001:2013 certificaten, eventuele SOC 2 verklaringen, de resultaten van de scans en pentesten en een audit waarin, naast fysieke beveiliging, ingegaan wordt op bedrijfsprocessen (beveiligingsincidenten, autorisatie beleid).

De BlijWerkt Groep B.V. en alle onderliggende labels zijn ISO27001:2013 gecertificeerd.

Toegangscontrole
Alleen met een beveiligde verbinding is toegang mogelijk tot de technologische resources van BlijWerkt. Hiervoor is tweestapsverificatie een vereiste. We hanteren een wachtwoord beleid met enkele voorwaarden (o.a. hebben wachtwoorden een vervaldatum, een bepaalde lengte en ze kunnen worden geblokkeerd). BlijWerkt verleent per persoon toegang, controleert autorisaties en beëindigt toegang binnen 24 uur nadat het dienstverband van een medewerker is beëindigd.

Verwerkersovereenkomst en overeenkomst gedeelde verantwoordelijkheid
BlijWerkt sluit met haar externe partijen verwerkersovereenkomsten af. In deze overeenkomst worden minimaal, maar niet uitsluitend over onderstaande punten afspraken gemaakt.

In de markt is er de afgelopen tijd veel gesproken over de rol van de arbodienst. De centrale vraag is of de arbodienst verwerkingsverantwoordelijke of verwerker is. Op basis daarvan wordt bepaald of er een verwerkersovereenkomst afgesloten moet worden tussen de werkgever en de arbodienst. Uit onderstaand statement blijkt dat er geen verwerkersovereenkomst afgesloten hoeft te worden tussen BlijWerkt en de werkgever. BlijWerkt bepaalt net als de werkgever zelf het doel en de middelen van de gegevensverwerking. Beide partijen zijn verwerkingsverantwoordelijke en daarom is een verwerkersovereenkomst niet nodig. BlijWerkt wil echter toch met afspraken maken waarin wordt vastgelegd hoe omgegaan wordt met de verstrekte persoonsgegevens. Dit doen wij door middel van een overeenkomst tussen twee verantwoordelijken. In deze overeenkomst worden minimaal, maar niet uitsluitend over onderstaande punten afspraken gemaakt.

Het type persoonsgegevens dat verwerkt wordt, de doeleinden van het verwerken van deze persoonsgegevens, de categorieën van betrokkenen op wie de gegevens van toepassing zijn, de wijze waarop de persoonsgegevens beveiligd worden, afspraken over de uitvoering van periodieke audits, de locatie waar de persoonsgegevens opgeslagen worden en de bewaartermijn, het vernietigen of terug leveren van de gegevens aan de verantwoordelijke na afloop.

Beveiligingsbeleid
BlijWerkt onderhoudt, controleert en herziet, minimaal op jaarbasis, haar beleid voor de beveiliging van gegevens.

Personeel
BlijWerkt zorgt ervoor dat alle medewerkers op de hoogte zijn van haar beleid voor gegevensbeveiliging. Daarnaast dienen alle medewerkers een geheimhoudingsverklaring te tekenen en worden medewerkers continu geïnformeerd over privacy en beveiliging.
BlijWerkt heeft een speciaal team, het Privacy Team. Zij houden zich bezig met beveiliging van netwerken en applicaties, privacy vraagstukken en interne informatieverstrekking.
Daarnaast heeft BlijWerkt een Functionaris Gegevensbescherming welke als onafhankelijk adviseur en toezichthouder werkt.
De medewerkers van BlijWerkt hebben toegang tot gegevens via een autorisatiematrix welke gebaseerd is op rollen en functies. De autorisatiematrix wordt regelmatig gecontroleerd.

Beheer van kwetsbaarheden en penetratietests
BlijWerkt werkt met een gedocumenteerd programma voor het beheer van kwetsbaarheden. Dit programma scant, identificeert en verhelpt kwetsbaarheden in de beveiliging van servers, werkstations, netwerkapparaten en applicaties.
Alle netwerken worden met regelmaat gescand door vertrouwde externe providers. Servers ontvangen essentiële patches met een hoge prioriteit. Andere patches worden toegepast wanneer die nodig zijn.
Verder voeren we geregeld interne en externe penetratietests uit en lossen we problemen op basis van de ernst van de resultaten op.

Logboeken en audits
In toepassings- en infrastructuursystemen wordt informatie bijgehouden via een centraal beheerd logboek. Gemachtigde medewerkers van BlijWerkt lossen hiermee problemen op, controleren de beveiliging en voeren analyses uit. De logboeken worden op basis van wettelijke richtlijnen bijgehouden. Als er sprake is van beveiligingsincidenten die gevolgen hebben voor klantenaccounts, bieden we klanten hulp en toegang tot onze logboeken voor zover dat redelijk en mogelijk is.

Beheer van beveiligingsincidenten
BlijWerkt heeft een procedure voor beveiligingsincidenten en datalekken en een bijbehorend registratiesysteem.

Hierin is het incident vastgelegd, het onderzoek, kennisgevingen aan klanten en toezichthouders (waarbij minimaal toepasselijke wetgeving wordt nageleefd), openbare kennisgevingen en herstelmaatregelen. Dit beleid wordt regelmatig geëvalueerd.

Kennisgevingen bij inbreuk
Ondanks alle inspanningen, is geen enkele methode van transmissie via internet en geen enkele methode van elektronische opslag volkomen veilig. Wij kunnen geen absolute veiligheid garanderen.

Als BlijWerkt echter kennis neemt van een inbreuk op de beveiliging, stellen wij getroffen gebruikers op de hoogte, zodat zij passende beschermende maatregelen kunnen nemen. Onze procedures voor kennisgevingen bij inbreuk volgen de richtlijnen uit toepasselijke landelijke, staats- en federale wet- en regelgeving, evenals alle richtlijnen en normen die op ons van toepassing zijn. We doen er alles aan om onze klanten volledig op de hoogte te houden van kwesties die van invloed zijn op de beveiliging van hun account. Verder zetten we ons in om klanten alle informatie te geven die ze nodig hebben om aan hun eigen wettelijke rapportageverplichtingen te voldoen.

Informatiebeveiliging en het beheer van de zakelijke continuïteit
Van de databases van BlijWerkt worden op rotatiebasis volledige en gedeeltelijke back-ups gemaakt, die geregeld worden geverifieerd. Back-ups worden versleuteld en bewaard in de productieomgeving, zodat ze vertrouwelijk blijven en de integriteit ervan behouden blijft.

Uw verantwoordelijkheden
Als u uw gegevens veilig wilt houden, zult u de beveiliging van uw account op peil moeten houden door complexe wachtwoorden te gebruiken en deze veilig te bewaren. Kies bovendien voor een efficiënte beveiliging van uw eigen systemen.