Privacy & security

Leukeleu ontwerpt, bouwt, beheert en verzorgt de hosting van maatwerk websites, web apps en mobiele apps.

Onze klanten stellen, net als wij, hoge eisen aan de omgang met bedrijfsgevoelige en vertrouwelijke gegevens, en aan privacy.

Daarom hebben we in 2018 onze ISO 27001-certificering behaald. Dit betekent dat we onze informatiebeveiliging aantoonbaar op orde hebben, en dat we aantoonbaar voldoen aan de huidige wet- en regelgeving. Dit wordt jaarlijks twee keer gecontroleerd tijdens een interne en externe audit.

Een ISO 27001-certificaat is het transparante en wereldwijd aanvaarde bewijs waarmee we als organisatie aantonen dat we serieus en structureel werken aan informatiebeveiliging. Met dit certificaat laten we zien dat we een betrouwbare partner zijn.

Het heeft ons al veel gebracht. We merken dat we met veel vertrouwen kunnen laten zien hoe (goed) we onze werkzaamheden en processen hebben geregeld, en dat we goed kunnen aansluiten bij wat onze klanten daarin van ons verwachten.

Factsheet

Techniek

  • Open Source software, permissive licenses
  • Linux
  • PostgreSQL
  • Python / Django
  • JavaScript / Vue / React

ISO 27001

  • gecertificeerd sinds 2018
  • informatiebeveiliging aantoonbaar op orde
  • jaarlijkse interne en externe audit
  • toeleveranciers (hosting, datacenter) ISO 27001 gecertificeerd

Security

  • Security By Design
  • OWASP Top 10
  • architectuurprincipes
  • security van Open Source software
  • softwareontwikkelbeleid

Security principes

  • data-minimalisatie - vertrouwelijke gegevens die je niet hebt, hoef je ook niet te beveiligen ('need to know')
  • vertrouwelijke gegevens zo weinig mogelijk kopiëren / verplaatsen
  • scheiden van gegevens (accounts, servers, services)
  • alle communicatie via versleutelde verbindingen (TLS, SSH, VPN)
  • veilige data-uitwisseling

Medewerkers

  • geheimhoudingsverklaring, ethische code
  • security awareness
  • wekelijks teamoverleg met aandacht voor security & privacy
  • samenwerken in Scrum teams, wisselende teamsamenstelling (kennisuitwisseling)
  • krijgen op 'need to know' basis toegang tot vertrouwelijke gegevens

Application security

  • pair programming, code reviews, 4-ogen principe
  • test suite, code coverage
  • continuous integration (CI)
  • procedures voor incidentbeheer, wijzigingsvoorstellen (Confluence / JIRA)
  • automated notification of vulnerabilities in dependencies
  • periodieke interne en externe security audits / penetration tests (op aanvraag)
  • gebruikerstoegang via TLS - met moderne certificaten en cipher suite

Account security

  • procedure voor toegangsbeveiliging en autorisatie
  • named accounts voor alles (zoveel mogelijk)
  • rechten, rollen, groepen
  • role-based access control ('need to know')
  • veilige wachtwoorden
  • optioneel: wachtwoordsterkte afdwingen
  • optioneel: automatisch uitloggen na bepaalde periode
  • optioneel: 2FA per rol, groep, gebruiker in te schakelen
  • optioneel: 2FA verplicht voor beheerders
  • optioneel: brute force prevention

Hosting

  • managed hosting (Nederlandse partij)
  • 24x7 monitoring
  • automatische security updates
  • scalable servers
  • dedicated virtual server per klant / project
    • eigen server / cloud mogelijk
    • high-availability mogelijk
  • of shared server met gescheiden users, instances en databases
  • configuration management met Puppet / Ansible
  • firewall: beheertoegang alleen vanaf bekende IP's, via SSH, met keys

Datacenter

  • servers in Nederland
    • Amsterdam (primair datacenter)
    • Rotterdam & Haarlem (secundaire datacenters)
  • 11 years of five 9's (99,999%) availability
  • distributed redundant architecture
  • physical security, o.a.
    • camera / CCTV monitoring
    • smartcards / biometrics
    • visitor identity and authorization

Privacy

  • Privacy By Design
  • AVG (GDPR)
  • persoonsgegevens (PII) alleen op servers in Nederland (of E.E.R.)
  • data protection impact assessment (DPIA) (verantwoordelijkheid klant, wij signaleren & helpen)
  • verwerkersovereenkomst
  • verwerkingsregister
  • privacy statement

Backup

  • off-site naar secundair datacenter
  • elke 2 tot 6 uur (1 dag), elke dag (7-14 dagen)
  • daarna uitgedund (elke 1, 2 of 4 weken), tot max. 90 dagen terug
  • restores periodiek testen

Incidenten & calamiteiten

  • procedure incidentbeheer
  • procedure datalek
  • calamiteitenplan
  • in extreme gevallen: binnen 6 uur uitwijken naar secundair datacenter

ISO 27001

Wat houdt de ISO 27001-certificering in voor ons en onze klanten?

We brengen informatiebeveiligings­risico’s in kaart en nemen maatregelen

Door het maken van een risicoanalyse brengen we alle risico’s in kaart die het verwerken van informatie met zich meebrengt. Door het inspelen op deze risico’s en het treffen van de juiste maatregelen reduceren we de risico’s en verminderen we de kans op (beveiligings)incidenten. Daarnaast denken we vooraf na over een backup-plan mocht er toch onverhoopt iets misgaan. Een prettige gedachte voor onszelf en voor onze klanten.

We implementeren een systeem voor continue verbetering

Een ISO 27001-certificering is niet alleen een groot pluspunt voor onze klanten, het biedt ook een goede ondersteuning voor onszelf. We implementeren een informatiemanagementsysteem waarmee we processen borgen en structuur creëren. Dit zorgt voor continue verbetering van informatiebeveiliging en meer bewustwording omtrent veilig werken bij onze medewerkers.

We voldoen aan de eisen van onze klanten en prospects

Informatiebeveiliging wordt steeds belangrijker. Klanten en prospects stellen hoge eisen aan de omgang met hun bedrijfsgevoelige en vertrouwelijke gegevens en aan privacy. Een ISO 27001-certificering is zelfs steeds vaker een eis van onze klanten en prospects. Een ISO 27001-certificaat is het transparante en wereldwijd aanvaarde bewijs waarmee we als organisatie aantonen dat we serieus en structureel werken aan informatiebeveiliging. Met dit certificaat laten we dus zien dat we een betrouwbare samenwerkingspartner zijn.

We voldoen aantoonbaar aan de huidige wet- en regelgeving

De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening waar organisaties sinds 25 mei 2018 aan moeten voldoen. Deze nieuwe wetgeving is gemaakt om de bescherming van persoonsgegevens te kunnen garanderen binnen de EU. Veel onderwerpen uit de AVG – en uit andere wet- en regelgeving – worden geborgd in ons informatiebeveiligingssysteem op basis van ISO 27001. Het hebben van een ISO 27001-certificering helpt ons om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens. Hiermee voldoen we dus ook aan de AVG. Dit wordt ook getoetst in de jaarlijkse interne en externe audits.

NEN 7510

In 2018 hebben we naast onze ISO 27001-certificering ook de NEN 7510-certificering behaald. In 2020 hebben we (na twee jaar gecertificeerd te zijn) besloten om onze NEN 7510-certificering niet voort te zetten, om de volgende redenen:

  • Een NEN 7510-certificering heeft voor ons als IT-leverancier weinig meerwaarde ten opzichte van een ISO 27001-certificering. De NEN 7510 is namelijke de zorgspecifieke variant van de ISO 27001 en is vooral bedoeld voor zorgaanbieders.
  • De kosten voor de externe audits liepen op doordat de audittijd voor de NEN 7510 verlengd werd. En doordat tijdens externe audits verplicht een extern medisch advocaat en een privacy-advocaat ingeschakeld moeten worden.

We blijven voor onze zorggerelateerde projecten wel aansluiten op de maatregelen die we sinds 2018 hebben geïmplementeerd voor onze NEN 7510-certificering. Hierdoor zijn we dus nog steeds zeer ‘compatibel’ met onze klanten die zorgaanbieder zijn (en waarschijnlijk zelf een NEN 7510-certificering hebben).

AVG

Op basis hiervan mag je persoonsgegevens verzamelen - De grondslag

  • toestemming van de gebruiker
  • vitale belangen
  • wettelijke verplichting
  • overeenkomst
  • algemeen belang
  • gerechtvaardigd belang

Het begint aan de tekentafel - Zorgvuldigheid

  • functionaris gegevensbescherming
  • privacy by design
  • impact assessment

Technische en organisatorische maatregelen - Verplichtingen

  • verwerkingsregister
  • gegevensbeschermingsbeleid
  • (digitale) beveiliging

Mensen moeten controle kunnen uitoefenen - Rechten van betrokkenen

  • recht om in te zien
  • recht om te wijzigen
  • recht om vergeten te worden
  • recht om gegevens over te dragen
  • recht op informatie