De nieuwe privacywet, welke maatregelen nemen wij?

30-04-2018

 

U bent er wellicht de afgelopen tijd al regelmatig mee geconfronteerd; de nieuwe privacywet. Vanaf 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Reasult is al tijdig gestart met het omarmen van deze wet. In onze software wordt privacy-by-design standaard. Dat houdt in dat we bij de ontwikkeling van onze software rekening houden met AVG. Tevens wordt het mogelijk de database te anonimiseren wanneer u Reasult om support vraagt.  

De Algemene Verordening Gegevensbescherming (AVG) is een uniforme Europese wetgeving rondom privacy en datagebruik. Al langere tijd bereid Reasult zich voor op deze wet. Zo zijn we in begin 2017 gestart met ISAE 3402 certificering. ISAE 3402 is de internationale standaard voor uitbesteding en is een waarborg voor een juiste verwerking van financiële- en ICT-processen. Inmiddels hebben een ISAE 3402 – Type 2 certificering, waarbij er drie maal per jaar een audit plaatsvindt.

Hieronder treft u een overzicht aan van de maatregelen die wij reeds getroffen hebben of die wij aan het organiseren zijn om volledig compliant te zijn:

  • Er is een policy document opgesteld ten aanzien van Information Security, uitgaand van de nieuwe richtlijnen. Hierin zijn ‘policies’, procedures en best practices beschreven. Tevens is er een Information Security Officer benoemd. Intern vindt er gedetailleerde kennisoverdracht plaats voor de inhoud van dit document.
  • Voor alle klanten die bij Reasult een hosting-oplossing afnemen is er een verwerkersovereenkomst opgesteld en ter ondertekening aangeboden. Hierbij is uitgegaan van de standaard verwerkersovereenkomst van Nederland ICT voor de IT-branche en de bijbehorende Data Pro Code.
  • Er is een intern register opgesteld waarin de bewerkingen binnen Reasult ten aanzien van privacygevoelige gegevens beschreven staan.
  • Naast een dubbele authenticatie voor laptops en desktopcomputers worden alle gegevens op deze machines versleuteld opgeslagen. 
  • Reasult verstuurt geen privacygevoelige data (interface bestanden, klantendatabases, etc.) meer via e-mail of andere minder veilige mechanismen. Er wordt voor dit soort gevallen uitsluitend gebruik gemaakt van secure FTP. Wij vragen onze klanten hetzelfde te doen, zodat wij ook geen gevoelige data meer ontvangen via onveilige routes.
  • De interne organisatie met AVG gerelateerde rollen en rechten is doorgelicht, transparant gemaakt en doorgevoerd. Het is daarmee eenduidig wie, wat wel of niet kan en mag ten aanzien van systemen en data. Iedere wijziging in deze rechten en rollen wordt geaccordeerd en gecontroleerd doorgevoerd. Tevens is er een halfjaarlijkse check op de juiste doorvoering van wijzigingen.
  • Reasult heeft een ISAE 3402 – Type 2 certificering, waarbij jaarlijks de te volgen processen worden aangescherpt en er drie maal per jaar een audit plaatsvindt.
  • Reasult had al verwerkersoverkomsten met haar ketenpartners/cloudleveranciers. De processen met deze leveranciers zijn verder in detail aangescherpt qua privacy, business continuïteit, risicomanagement en eventuele escalaties bij potentiele toekomstige datalekken.
  • Tot slot zijn er afspraken gemaakt voor jaarlijkse controles (penetratietesten) op de (hosted) systemen, uitgevoerd door een externe partij. 
 

Delen