Laposta verwerkt persoonsgegevens. Hieronder een aantal maatregelen die we genomen hebben om die verwerking zo veilig mogelijk plaats te laten vinden.
Deze maatregelen zijn een onderdeel van onze ISO 27001 certificering. Dit is de internationale norm voor informatieveiligheid. Het certificaat toont aan dat de organisatie de nodige voorzorgmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking.
Fysieke beveiligingsmaatregelen
Deze maatregelen zijn erop gericht directe toegang tot gegevens door onbevoegden te voorkomen.
- Ons datacenter is alleen toegankelijk na aanmelding en controle via een vingerafdruk;
- Servers in het datacenter staan in een afgesloten kast;
- Er is een register waarin wordt bijgehouden wie sleutels heeft en waarvoor, dat periodiek wordt bijgehouden.
Organisatorische beveiligingsmaatregelen
De fysieke maatregelen zijn zinloos als daar geen organisatorische maatregelen aan gekoppeld worden. Dit kunnen afspraken zijn met medewerkers, maar ook met klanten of leveranciers.
- Afspraken met werknemers over de omgang met klantgegevens (ethische code);
- Awareness trainingen op het gebied van privacy en informatiebeveiliging;
- Afspraken over de omgang met apparaten, bijvoorbeeld: in de slaapstand zetten bij het weglopen van de werkplek, gebruik netwerken en encryptie, omgang met 'eigen' apparatuur;
- Bewustzijn stimuleren bij programmeurs van kwetsbaarheden en hoe deze te voorkomen.
Technische beveiligingsmaatregelen
Naast de fysieke en organisatorische maatregelen zijn er technische maatregelen die de beschikbaarheid, continuïteit en veiligheid van gegevens waarborgen.
- Beleid rond het toegangsrechten, wachtwoorden en tweestaps verificatie;
- Noodstroomvoorzieningen;
- Regelmatige backups en de controle daarvan;
- Professioneel serverbeheer met tijdig uitgevoerde updates;
- Continue monitoring van servers en applicaties;
- Regelmatige pentests, zowel van het netwerk als van de applicatie;
- Afdwingen versleutelde toegang tot applicaties (met deze website kun je onze beveiliging, onze SSL/TLS-certificaten voor https, analyseren)
- Bewuste plaatsing van alle servers in een Nederlands, voor ons bereikbaar en controleerbaar datacenter;
Gebruik SPF, DKIM en TLS bij het versturen van nieuwsbrieven.
Directe melding bij dataverlies
Mocht er ondanks al onze maatregelen toch data verloren gaan, dan melden wij dit - zoals het wettelijk hoort - zo spoedig mogelijk aan de hoofdverantwoordelijke (onze klant) en indien het om een ernstig lek gaat aan onze gebruikers.
Bijzondere persoonsgegevens
Laposta treft voor haar nieuwsbriefprogramma en de via dit programma verwerkte persoonsgegevens de beveiligingsmaatregelen conform de in 2018 behaalde ISO-27001 certificering. Dit nieuwsbriefprogramma betreft een standaard dienst. Laposta heeft geen bijzondere/aanvullende beveiligingsmaatregelen getroffen die zijn afgestemd op jouw organisatie en/of de door jouw organisatie verwerkte persoonsgegevens via dit programma.
Laposta gaat er bij het treffen van beveiligingsmaatregelen vanuit dat er geen gevoelige persoonsgegevens – zoals bijzondere/strafrechtelijke persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG) en/of Burgerservicenummers – via haar nieuwsbriefprogramma worden verwerkt. De getroffen beveiligingsmaatregelen zijn dan ook niet afgestemd op de mogelijke verwerking van dergelijke bijzondere/strafrechtelijke persoonsgegevens en/of Burgerservicenummers. Laposta kan er dan ook niet voor instaan dat haar programma geschikt is voor de verwerking van dergelijke gegevens. Gedacht kan worden aan bijvoorbeeld gezondheidsgegevens en medische gegevens. Verder zijn gegevens waaruit de politieke voorkeur of geloofsovertuiging blijkt eveneens aan te merken als bijzondere persoonsgegevens. Daarvan kan mogelijk sprake zijn bij e-mailadressen van bijvoorbeeld politieke partijen of kerkgenootschappen.
Gelet op het bovenstaande is jouw organisatie zelf verantwoordelijk voor de beoordeling of de door Laposta getroffen beveiligingsmaatregelen passend zijn voor het doel waarvoor jouw organisatie het nieuwsbriefprogramma wenst te gebruiken. De beoordeling de passendheid en de werking van getroffen beveiligingsmaatregelen voor onze werkwijze wordt jaarlijks uitgevoerd door een onafhankelijke en geaccrediteerde auditor (KIWA). Deze geeft dan een ISO27001 certificaat af inclusief een Verklaring van toepasselijkheid. Deze documenten zijn op aanvraag beschikbaar. Jouw organisatie vrijwaart Laposta in dit verband tegen schade, aanspraken en claims van jouw organisatie, de betrokkenen en/of derden alsmede door de daartoe bevoegde toezichthouder opgelegde boetes.