Security

Technische en organisatorische
beveiligingsmaatregelen

Beschrijving van de technische en organisatorische maatregelen die iController heeft genomen om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking en de risico’s voor de rechten en vrijheden van natuurlijke personen.

Technische en organisatorische beveiligingsmaatregelen

Beschrijving van de relevante controles

Informatiebeveiligingsbeleid (A.5)

– iController beschikt over een formeel en up-to-date informatiebeveiligingsbeleid. Dat beleid wordt opgesteld en herzien in overeenstemming met de algemene richting van de informatiebeveiligingspraktijken van iController.

– Alle relevante partijen kunnen voortdurend beschikken over het informatiebeveiligingsbeleid van iController.

– Er is een duidelijke steun van het hoogste management om informatiebeveiliging bij iController te implementeren, controleren, handhaven en bij te sturen.

Organisatie en informatiebeveiliging (A.6)

– iController heeft verantwoordelijkheden toegewezen voor specifieke taken in verband met informatiebeveiliging.

– iController heeft een kader vastgesteld om informatiebeveiligingspraktijken (bv. in het kader van interne projectbeheer) op passende wijze te implementeren en te handhaven.

– iController heeft een apart beleid uitgewerkt over het gebruik van mobiele apparaten en telewerk. Werknemers die mobiele apparaten gebruiken, krijgen een opleiding zodat ze (1) zich bewust zijn van de extra risico’s die telewerk en het gebruik van mobiele apparaten met zich meebrengen en (2) weten welke controlemaatregelen moeten worden genomen.

– iController heeft de nodige controles ingevoerd om telewerk en het gebruik van laptops (en andere mobiele apparaten) te beveiligen. Deze maatregelen omvatten:

* cryptografie technieken;
* bescherming tegen malware;
* toegangsbeveiliging voor externe toegang tot persoonsgegevens;
* fysieke beveiliging van laptops (en andere mobiele apparaten) en van de telewerkplek tegen diefstal.

Beveiliging van human resources (A.7)

– iController heeft ervoor gezorgd dat werknemers en contractanten zich bewust zijn van en inzicht hebben in hun verantwoordelijkheden bij het gebruik van persoonsgegevens. Dit gebeurt via bewustmakingscampagnes en passende opleidingen.

– iController heeft in alle fasen van het dienstverband (voor, tijdens en na het dienstverband) aandacht besteed aan de verantwoordelijkheden van de betrokkenen op het gebied van IT-beveiliging.

– De werknemers van iController moeten een arbeidsovereenkomst ondertekenen waarin bepalingen zijn opgenomen met betrekking tot hun verantwoordelijkheden op het vlak van IT-beveiliging en bescherming van persoonsgegevens.

– De leveranciers van iController die betrokken zijn bij de verwerking van persoonsgegevens, worden op de hoogte gebracht van de vertrouwelijkheidsverplichtingen die ze moeten naleven.

– iController heeft taken en verantwoordelijkheden op het gebied van IT-beveiliging meegedeeld die van kracht blijven na de beëindiging of de wijziging van de arbeidsrelatie, en ziet erop toe dat dergelijke verplichtingen correct worden nageleefd.

– iController heeft alle passende maatregelen genomen om te voorkomen dat persoonsgegevens de organisatie ongecontroleerd verlaten en in handen komen van onbevoegden. In het bijzonder door:

* activa te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging, vernietiging of verstoring;
* bepaalde beveiligingsprocessen of -activiteiten uit te voeren;
* de verantwoordelijkheid voor de genomen maatregelen altijd duidelijk toe te wijzen aan een persoon;
* (potentiële) beveiligingsincidenten of andere beveiligingsrisico’s te melden.

Beheer van activa (A.8)

– iController heeft zijn informatiebestanddelen in kaart gebracht en onderscheidt de volgende soorten gegevens:

* anonieme gegevens: dat zijn gegevens die niet aan een geïdentificeerde of identificeerbare persoon kunnen worden gekoppeld en derhalve geen persoonsgegevens zijn;
* persoonsgegevens: dit betreft alle vormen van informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.
* Gevoelige persoonsgegevens: dit betreft gegevens over ras, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, lidmaatschap van een vakvereniging, gezondheid, seksueel leven, verdenkingen, vervolgingen en strafrechtelijke of administratieve veroordelingen. Het is in principe verboden dergelijke gegevens te verwerken;
* Gecodeerde of gevoelige persoonsgegevens: dat zijn persoonsgegevens die alleen door middel van een code aan een geïdentificeerde of identificeerbare persoon kunnen worden gekoppeld.

– iController heeft de informatiebestanddelen ingedeeld naar risico en heeft passende beveiligingsmaatregelen toegekend aan de verschillende soorten risico.

– iController zorgt ervoor dat gevoelige gegevens niet ongeoorloofd worden onthuld, gewijzigd, verwijderd of vernietigd.

– iController heeft de nodige maatregelen vastgesteld om fysieke dragers (met inbegrip van papieren documenten) met persoonsgegevens tijdens het transport te beschermen tegen misbruik, corruptie of ongeoorloofde toegang.

– iController houdt, in samenwerking met de betrokken operationele afdelingen, een inventaris bij van de relevante activa met betrekking tot de verwerking van persoonsgegevens. Relevante activa zijn onder meer:

* informatie;
* softwareprogrammas;
* fysieke activa;
* diensten;
* alle gebruikers (incl. toegangsrechten).

– In die inventaris wordt elk relevant bedrijfsmiddel in verband met de verwerking van persoonsgegevens gekoppeld aan een welomschreven functie/persoon in de organisatie (verantwoordelijkheid).

– Bij beëindiging van het dienstverband, het contract of de overeenkomst wordt een formele procedure toegepast voor de teruggave van alle relevante verstrekte bedrijfsmiddelen (zoals software, bedrijfsdocumenten, apparatuur en toegangskaarten). Als er persoonlijke uitrusting wordt gebruikt, worden passende maatregelen genomen om alle relevante informatie over te dragen aan de organisatie en de informatie op correcte wijze te verwijderen uit de uitrusting.

Toegangscontrole (A.9)

– iController beschikt over een goedgekeurd en geactualiseerd toegangsbeveiligingsbeleid met betrekking tot het toekennen, wijzigen en schrappen van toegangsrechten voor applicaties en systemen die persoonsgegevens gebruiken/verwerken. Dat beleid wordt bepaald, gedocumenteerd en beoordeeld op basis van de indeling van persoonsgegevens.

– Met betrekking tot netwerken of netwerkdiensten heeft iController passende beveiligingsmaatregelen vastgesteld om ervoor te zorgen dat iedere persoon alleen toegang kan krijgen tot de persoonsgegevens waarvoor hij of zij uitdrukkelijk toestemming heeft.

– iController heeft een persoon aangewezen die alle verzoeken in verband met de toegang tot persoonsgegevens beheert.

– Gebruikers worden in kennis gesteld van hun verantwoordelijkheden met betrekking tot toegangsbeveiliging. Zo moeten ze onder meer efficiënte wachtwoorden gebruiken en de gebruikersapparatuur beveiligen waarop persoonsgegevens gebruikt en verwerkt worden.

– iController heeft passende beveiligingsmaatregelen vastgesteld om de toegang tot persoonsgegevens te beperken.

– iController heeft voor informatiebeheerders (systeembeheerders, ook wel ‘supergebruikers’ genoemd) de toegang beperkt tot systemen en applicaties waarop persoonsgegevens worden gebruikt en verwerkt.

Cryptograpie (A.10)

– Op basis van een risicobeoordeling heeft iController een beleid ontwikkeld voor een correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en/of integriteit van persoonsgegevens te beschermen.

– iController heeft een beleid ontwikkeld voor het gebruik, de bescherming en de levensduur van cryptografische sleutels.

Fysieke en omgevingsbeveiliging (A.11)

– Op basis van een risicobeoordeling heeft iController zones beveiligd, en heeft het passende toegangsbeveiligingen vastgesteld om alle zones te beveiligen waar zich informatie- en gegevensverwerkingsfaciliteiten bevinden die persoonsgegevens bevatten.

– iController heeft met betrekking tot de beveiligde zones de nodige maatregelen vastgesteld om te voorkomen dat de persoonsgegevens aangetast raken en geschaad worden. Er worden passende maatregelen genomen om schade door brand, overstroming, explosie, … of andere vormen van natuurrampen of door de mens veroorzaakte calamiteiten te voorkomen.

– Op basis van een risicobeoordeling heeft iController passende controles van de apparatuur, bekabeling en ondersteunende faciliteiten vastgesteld om te voorkomen dat persoonsgegevens verloren gaan, aangetast raken, gestolen worden of onopzettelijk gewijzigd worden. Daarbij wordt bijzondere aandacht besteed aan apparatuur die zich buiten de gebouwen van de organisatie bevindt of buiten die gebouwen wordt gebruikt.

– Apparatuur wordt beschermd tegen fysieke bedreigingen en gevaren van buitenaf. Er wordt onder meer aandacht besteed aan:

* de locatie en de bescherming van de apparatuur, zodat deze beschermd is tegen risico’s op beschadiging en interferentie van buitenaf, en onbevoegden er geen toegang toe hebben;

* bescherming tegen stroomuitval en andere verstoringen door onderbrekingen van de nutsvoorzieningen;
* de beveiliging van elektriciteits- en telecommunicatiekabels tegen onderschepping of beschadiging;;
* het onderhoud van de apparatuur.

– iController heeft een specifieke procedure ontwikkeld voor de verwijdering of het hergebruik van alle apparatuur die opslagmedia bevat waarop persoonsgegevens worden gebruikt en verwerkt.

– Alle apparatuur die opslagmedia bevat, wordt vóór verwijdering of hergebruik gecontroleerd om er zeker van te zijn dat alle persoonsgegevens veilig zijn overschreven of gewist. Indien die apparatuur gevoelige persoonsgegevens bevat, worden specifieke maatregelen genomen om de apparatuur fysiek te vernietigen of om de informatie te wissen met technieken die het onmogelijk maken ze terug te halen.

Beveiliging van activiteiten (A.12)

– iController heeft de nodige procedures en verantwoordelijkheden vastgesteld voor als wijzigingen in de organisatie, bedrijfsprocessen, informatieverwerkingsfaciliteiten en -systemen gevolgen hebben voor de informatiebeveiliging van persoonsgegevens.

– iController voorziet in een scheiding van taken om te voorkomen dat één persoon de controle over de verwerking van persoonsgegevens verkrijgt.

– iController heeft controles ingevoerd om malware aan te pakken en ervoor te zorgen dat iController over de nodige verdedigingsmechanismen beschikt om het infectierisico te beperken en om bewustzijn te creëren bij systeemgebruikers en eindgebruikers.

– iController heeft antimalware- en herstelsoftware geïnstalleerd en werkt deze regelmatig bij. Computers en media worden uit voorzorg en stelselmatig gescand. Voor zover relevant bestaat de scan erin dat:

* alle via netwerken of enig opslagmedium ontvangen bestanden vóór het gebruik ervan, gecontroleerd worden op malware;
* bijlagen en downloads vóór het gebruik ervan op verschillende kritieke punten in uw netwerkconfiguratie (mailservers, computers, netwerktoegang, …) gecontroleerd worden op malware; * webpagina’s gecontroleerd worden.

– iController heeft een passend back-upbeleid uitgewerkt en volgt dat beleid om persoonsgegevens na verlies, beschadiging, diefstal of onopzettelijke wijziging te herstellen.

Communicatiebeveiliging (A.13)

– iController heeft netwerkbeveiliging opgenomen in het algemene informatiebeveiligingsplan en focust daarbij op informatiestromen langs waar persoonsgegevens de systemen van iController kunnen verlaten.

– iController beschikt over een formeel en actueel beleid inzake communicatiemiddelen (zoals e-mail, internet, video en telefoon). Dat beleid is goedgekeurd door het hoogste besluitvormingsorgaan van iController, wordt regelmatig aan alle relevante partijen meegedeeld en besteedt bijzondere aandacht aan het gebruik van persoonsgegevens.

– iController stelt vertrouwelijkheids- en geheimhoudingsovereenkomsten op, evalueert die regelmatig en documenteert de eisen die aan de bescherming van persoonsgegevens worden gesteld.

Aankoop, ontwikkeling en onderhoud van systemen (A.14)

– iController heeft ervoor gezorgd dat bij de aankoop of ontwikkeling van nieuwe informatiesystemen of bij de uitbreiding van bestaande informatiesystemen geen afbreuk wordt gedaan aan de beveiligingseisen met betrekking tot persoonsgegevens. Informatiesystemen zijn applicaties, diensten, IT-middelen en andere informatieverwerkende componenten. Information systems means applications, services, IT resources or other information processing components.

– iController beschikt over procedures voor de ontwikkeling van nieuwe systemen of voor belangrijke upgrades van bestaande systemen, opdat de betrokken projecteigenaar rekening zou houden met de noodzakelijke beveiligingseisen op het vlak van de bescherming van persoonsgegevens.

– iController hanteert duidelijke formele wijzigingsprocedures om het risico op ongerechtvaardigde wijzigingen of het uitlekken van persoonsgegevens tot een minimum te beperken.

Relaties met leveranciers (A.15)

– Als er samengewerkt wordt met leveranciers, zorgt iController ervoor dat de leverancier voldoende waarborgen biedt ten aanzien van de informatiebeveiliging van persoonsgegevens en dat de verplichtingen ten aanzien van het gebruik en de verwerking van persoonsgegevens contractueel zijn vastgelegd.

– iController eist van die leveranciers dat ze een passend niveau van informatiebeveiliging en dienstverlening in stand houden.

Beheer van informatiebeveiligingsincidenten (A.16)

– Er worden verantwoordelijkheden en procedures vastgesteld voor het opsporen en aanpakken van informatiebeveiligingsincidenten en kwetsbaarheden van persoonsgegevens. Indien nodig wordt in rapportagemechanismen voorzien.

– iController zorgt ervoor dat de informatiebeveiligingscel/verwerkingsverantwoordelijke altijd onmiddellijk op de hoogte wordt gebracht van gebeurtenissen en incidenten die de informatiebeveiliging van persoonsgegevens in gevaar kunnen brengen of hebben gebracht.

– iController zorgt ervoor dat de Chief Information Security Officer altijd onmiddellijk op de hoogte wordt gebracht van vastgestelde of vermoede beveiligingsrisico’s in de systemen of diensten voor de verwerking van persoonsgegevens.

– iController beschikt over een formele en geactualiseerde procedure voor het melden van informatiebeveiligingsincidenten, net als over een reactie- en escalatieprocedure voor incidenten met persoonsgegevens.

– De informatiebeveiligingscel/verwerkingsverantwoordelijke wordt systematisch op de hoogte gebracht van alle maatregelen die zijn genomen om informatiebeveiligingsincidenten en kwetsbaarheden van persoonsgegevens aan te pakken.

Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer (A.17)

– Op basis van een risicobeoordeling heeft iController de nodige maatregelen vastgesteld om de continuïteit van de informatiebeveiliging van persoonsgegevens te waarborgen.

– De informatieverwerkingsfaciliteiten zijn voldoende redundant om ervoor te zorgen dat de persoonsgegevens beschikbaar zijn. Er wordt rekening gehouden met extra informatiebeveiligingsrisico’s als gevolg van redundantie.

Compliance (A.18)

– iController volgt de ontwikkelingen op het gebied van regelgeving om de toepasselijke wettelijke en contractuele vereisten te begrijpen en in te voeren en om het risico op niet-naleving te beperken.

Lijst subverwerkers

Laatst bijgewerkt op 4 maart 2022

Om de diensten te ondersteunen die we aan onze klanten leveren, kan iController een beroep doen op verschillende soorten subverwerkers voor verschillende functies, zoals in de onderstaande tabellen wordt uitgelegd.

De volgende Subverwerkers kunnen toegang krijgen tot Persoonsgegevens in de EU voor zover dit nodig is om de bedrijfsactiviteiten van iController te ondersteunen:

 

Naam van de verwerker

Verstrekte dienst

Locatie

Unix Solutions BVBA

Hostingdiensten

België

Salesforce

CRM Software

België

Zendesk

Support ticketing system

België

JIRA (Atlassian)

Development ticketing system

België

Exact Online

Facturatiesysteem

België

Zoho

Wachtwoordenbeheer

België

Postmark

Emailbezorging

United States

Mailchimp

Email marketing service

België

Victus

Call Center

België

Prospex

Call Center

België

Vandelanotte

Extern boekhoudkantoor

België

Billtrust

B2b-betalingsbeheer

Verenigde Staten

Bluewave Marketing

Wifi & telecomoperator

België

 

Capitalized terms used and not defined below have the meaning ascribed to them in the European Union General Data Protection Regulation 2016/679 (the “GDPR”).

Ontdek ook

Cookie policy

Lees meer

Contact

Lees meer

Privacy policy

Lees meer

Great credit management
starts here