Privacy- en informatiebeveiligingsbeleid

Introductie

Dit document beschrijft de maatregelen die Pluform neemt om de juiste niveaus van dienstverlening, privacy en veiligheid te waarborgen.

Op 25 mei 2018 wordt de AVG van toepassing. Pluform verwelkomt deze nieuwe privacywetgeving, waarin de privacyrechten van personen verder worden versterkt en uitgebreid. We dragen er zorg voor dat ons privacybeleid te allen tijde voldoet aan de door de AVG gestelde eisen.

Normen

Het Veiligheidsbeleid van Pluform is gebaseerd op de ICT-veiligheidsrichtlijnen voor webapplicaties van het Nederlands Nationaal Cyber Security Centrum (NCSC).

Gegevensbescherming en privacy

Pluform voldoet aan de voorschriften met betrekking tot gegevensbescherming en privacy, uitgegeven door het Autoriteit Persoonsgegevens (AP). Gegevens worden niet verkocht aan derde partijen. Gegevens worden enkel overgedragen aan derde partijen indien dit noodzakelijk is voor de uitvoering van de overeenkomst tussen Pluform en de klant of indien gedwongen door de Nederlandse wet.

Gebruikers van de applicatie

In de applicatie hebben gebruikers alleen toegang tot hun eigen gegevens, of gegevens die specifiek binnen een coach-cliënt relatie nodig zijn. Daarbij houdt Pluform rekening met het mogelijke beroepsgeheim van een coach.

Verschillende rollen hebben verschillende toegangsniveaus, de rollen binnen de applicatie zijn Organisatiemanager, Coach en Cliënt. Organisatiemanagers zijn in staat om de profielgegevens (bijvoorbeeld naam en e-mail) van coaches en cliënten te beheren. Organisatiemanagers zijn niet in staat om toegang te krijgen tot gegevens met betrekking tot de dialoog tussen coaches en cliënten. Coaches hebben alleen toegang tot de gegevens van hun eigen cliënten. Cliënten aan de andere kant hebben alleen toegang tot hun eigen persoonsgegevens en de door hun coach gegeven data.

Gegevens van inactieve gebruikers worden bewaard voor twee jaar. Op verzoek kan Pluform alle gegevens met betrekking tot een specifiek account eerder verwijderen. Daarnaast kunnen Cliënten binnen Pluform zelf gemakkelijk hun account en daarmee de bij Pluform bekende persoonsgegevens verwijderen. Uitoefening van de privacyrechten is uiteraard mogelijk en wordt binnen Pluform snel en gemakkelijk afgehandeld. Neem hiervoor contact op met Pluform.

De privacyrechten zijn:

  1.  Recht op inzage (het recht om kennis te nemen van de op u betrekking hebbende persoonsgegevens en daarvan een kopie te ontvangen)
  2. Recht op rectificatie (het recht om de op u betrekking hebbende persoonsgegevens te verbeteren of aan te vullen teneinde fouten of omissies te herstellen)
  3. Recht op vergetelheid (het recht op het onverwijld doen wissen van de op u betrekking hebbende persoonsgegevens. Let op! Als coachee kunt u zelf uw account verwijderen, waarmee alle gegevens in de applicatie worden gewist).
  4. Recht op beperking van de verwerking (het enkel opslaan en niet verder verwerken van de gegevens)
  5. Recht op overdraagbaarheid van gegevens (het recht om de op u betrekking hebbende persoonsgegevens in een gestructureerde, gangbare en machinaal leesbare vorm te verkrijgen zodat deze gegevens overdraagbaar aan derden zijn)
  6. Recht op het indienen van een klacht (indien bepalingen in dit reglement en/of de Algemene Verordening Gegevensbescherming niet worden nageleefd, heb je het recht hier een klacht over in te dienen bij de Autoriteit Persoonsgegevens). Bij vragen of opmerkingen kunt u ook altijd contact opnemen met Pluform.

Wachtwoorden

Gebruikers bepalen zelf hun wachtwoorden. Wij hanteren een streng regime gebaseerd op 8 tekens inclusief 1 nummer en ten minste één hoofdletter. Verloren/ vergeten wachtwoorden worden behandeld door een link te verzenden via e-mail (er worden geen wachtwoorden per e-mail verzonden). Wachtwoorden worden versleuteld opgeslagen in de database.

2-staps verificatie via SMS

Naast de gebruikersauthenticatie door de gebruikersnaam en het wachtwoord in te vullen biedt Pluform ook de optie om de 2-stapsverificatie in te stellen. Indien ingeschakeld, zijn de gebruikers verplicht om, naast hun wachtwoord, een SMS-code in te voeren die ze ontvangen op hun mobiele telefoonnummer dat vooraf geverifieerd wordt door de gebruiker.

Gebruikersstatistieken

Pluform maakt geen gebruik van Google Analytics om statistieken over het gedrag van de gebruiker te analyseren, waardoor er geen gegevens worden overgebracht naar 'Patriot Act' aansprakelijke partijen.

Hosting

Pluform heeft zijn IT-hosting-infrastructuur beheerd door True Managed Hosting van True. True levert beheerde dedicated servers aan haar klanten en is continu bezig met de optimalisatie van de serveromgeving. True is ISO 27001:2013 (informatiebeveiliging), ISO 9001 (kwaliteitsmanagement) en NEN 7510:2011 (informatiebeveiliging in de zorg) gecertificeerd en gebruikt gecertificeerde datacenters die in Nederland gevestigd zijn. Met deze certificeringen voldoet True aan de hoogste standaarden als het gaat om informatiebeveiliging. Pluform is niet Patriot Act aansprakelijk.

Ontwikkeling en Onderhoud

Onderhouds- en beveiligingsupdates en nieuwe functies worden uitgevoerd door Pluform (Development Managers). Pluform heeft een strikt beleid ten aanzien van toegang tot de server. Naast toegangscontroles gebruikt Pluform  ook staged development, waarbij alle updates en nieuwe functies worden ingezet in fasen (Test-, Acceptatie- en Productie server) om eventuele kritieke punten op de productieserver die kunnen leiden tot kwetsbaarheden in de beveiliging te verlagen.

Datacenter locatie bescherming

Alle datacenters die gebruikt worden door True hebben metingen van hoog niveau om ongeautoriseerde fysieke toegang tot de servers te voorkomen, met inbegrip van biometrische toegangscontroles, camera’s, digitale code locks en veiligheidspersoneel. Alleen geautoriseerde medewerkers hebben toegang tot de server ruimte. True houdt gedetailleerde logboeken bij van medewerkers.

Beveiliging van dataverkeer

Gebruikersgegevens worden getransporteerd met behulp van hoogwaardige SSL (Secure Sockets Layer) encryptie. Updates, verbeterings-en onderhoudsdata wordt via beveiligde SSH verbindingen getransporteerd. SSH is een cryptografisch netwerkprotocol voor het beveiligen van datacommunicatie.

Audits

IT-systemen en procedures van True worden onderworpen aan audits. Ook Pluform wordt onderworpen aan audits en beschikt over een Third Party Memorandum (een verklaring die wordt afgegeven door een onafhankelijke auditpartij over de kwaliteit van de ICT-dienstverlening, kwaliteit en -beheersing van een organisatie).

Firewalls

Alle Pluform servers zijn uitgerust met een Linux iptables gebaseerde Firewall. Standaard wordt alle toegang geblokkeerd met uitzondering van bepaalde openbare poorten die nodig zijn voor inkomende HTTP- en HTTPS-verkeer vanaf het internet. De Firewalls worden geïnstrueerd om Denial-Of-Service aanvallen of throttle traffic te blokkeren.

Backups

Er wordt dagelijks een back-up van applicatiegegevens gemaakt. Elke avond wordt er een back-up overgebracht naar een offsite back-up server.

Toepassing beveiliging

De Pluform applicatie is gebouwd met  Drupal-technologie. Drupal is een raamwerk voor het bouwen van veilige websites en webapplicaties. Drupal wordt al voor meer dan 10 jaar gebruikt en heeft een uitstekend veiligheidstrackrecord. Alle informatie wordt overgedragen via beveiligde SSL-verbindingen. E-mail is een onveilig medium, daarom zullen alle e-mails die verstuurd worden vanuit de toepassing nooit enige vertrouwelijke informatie bevatten. De e-mails worden gebruikt als kennisgevingen aan de werkelijke boodschap, die bevindt zich binnen de applicatie en is enkel toegankelijk na inloggen met een wachtwoord. Het is niet mogelijk naar gebruikersnamen te vissen met behulp van de verloren wachtwoord-functionaliteit.

Server-beveiliging

Om een goede server-beveiliging te waarborgen zijn de volgende best practices opgevolgd: Truebeheerders hebben SSH toegang tot de productiemachines. De gebruikersaccounts hebben geen wachtwoorden, alleen SSH-key-based login. De servers zijn alleen toegankelijk via IP beperkte beheerservers. Root-wachtwoorden worden opgeslagen in een versleuteld bestand en gedeeld enkel tussen beheerders. Besturingssysteem software-updates worden eerst getest op testmachines, alvorens ze worden uitgerold naar de acceptatie-en productie-omgeving. De beheerders abonneren zich op verschillende security bulletins om up-to-date te blijven op veiligheidsbedreigingen.

Controle

Op het gebied van informatiebeveiliging is True gecertificeerd voor alle beheerde bedrijfsmiddelen die de dagelijkse managed hosting dienstverlening vormen. De veiligheid en de prestaties van de Pluformservers en applicaties worden continu bewaakt.

Aanpassen privacy statement

Wij behouden ons het recht voor dit privacystatement aan te passen. Wijzigingen zullen op deze website worden gepubliceerd.

versie 8 26-03-2018