Veiligheid data en bescherming persoonsgegevens

Als dataverwerker voor aanbieders zien wij de veiligheid van ons platform en het beschermen van gebruikersgegevens als kernonderdeel van onze dienstverlening. Gegevens die wij delen met aanbieders dienen alleen gebruikt te worden voor het doeleinde dat de gebruiker zelf specificeert. Dit kan een inschrijving of een informatieaanvraag zijn.

Door veiligheid als prioriteit te stellen helpen we aanbieders op het Springest platform, maar ook organisaties met hun eigen Springest Go platform, te voldoen aan de AVG-wet.

Deze 7 stappen zetten wij om persoonsgegevens te beschermen: 

1. Recht op vergetelheid

In de eerste week van april brengen we een feature uit waarbij gebruikers met één verzoek al hun data kunnen laten verwijderen uit onze databases. Wanneer een gebruiker dit verzoek indient, krijgen de aanbieders die in contact zijn geweest met die gebruiker een melding. Aanbieders hebben dan tot dertig dagen de tijd om die gegevens nogmaals uit onze database op te vragen. Zij hebben deze gegevens nodig om hun contact met de gebruiker te onderhouden, bijvoorbeeld voor het inplannen van een cursus. Bij hetzelfde verzoek wordt transparant weergegeven – aan de gebruiker – welke aanbieders in het bezit zijn van de gegevens waarvan verzocht is ze te verwijderen. Wanneer een gebruiker een verzoek tot vergetelheid indient en in het verleden een ervaring heeft gedeeld, wordt deze ervaring geanonimiseerd en alle gebruikersdata verwijderd. Natuurlijk kan een gebruiker ook verzoeken de gedeelde ervaring volledig te verwijderen.

2. Back-ups

Zoals iedere digitale service maken wij back-ups van onze data. We hebben de leeftijd van back-ups beperkt tot 5 dagen oud. In het onwaarschijnlijke geval dat twee verschillende servers op twee verschillende locaties problemen vertonen, kunnen we ons platform herstellen door middel van deze back-ups. Als dit gebeurt hebben we een algoritme ontwikkeld dat de back-up controleert op aanwezigheid van data die eerder het verzoek kreeg om verwijderd te worden. Als het algoritme deze data tegenkomt, wordt het automatisch verwijderd. Zo voldoen zelfs onze back-ups aan de wensen van onze gebruikers en de AVG-wet.

3. Encryptie van gegevens

Data wordt op twee punten bij Springest verwerkt: bij HTTPS en in opslag. HTTPS wil zeggen: alle data die vanuit de voorkant wordt ingevuld, in de versleutelde omgeving. In opslag wil zeggen: alle reeds ingevoerde data, opgeslagen in een database. In ons geval bevinden deze databases zich bij Amazon als onderdeel van Amazon Web Services (AWS).  Lees hier meer over Amazons veiligheidsbeleid. Deze servers staan op twee verschillende locaties in Duitsland. Ondanks dat dit geen eis is van de AVG-wet, blijven onze gegevens dus binnen de EU.

4. Verwerkingsovereenkomst

Om aanbieder te worden op het Springest platform, moet de self service overeenkomst worden ondertekend. Een belangrijk onderdeel van deze overeenkomst is onze  data verwerkingsovereenkomst.Hierin staan duidelijke afspraken over de beveiliging van gegevens, zoals:

  • Een aanbieder mag gebruikersgegevens niet naar derden verstrekken.
  • De aanbieder is zelf verantwoordelijk voor het geheimhouden van de gegevens. Natuurlijk helpt de versleutelde admin-omgeving hierbij.
  • De aanbieder is verplicht relevante en ware informatie te verstrekken op het aanbiedersprofiel. Hierbij hoort ook verplichte transparantie in prijzen, zoals bijkomende kosten of BTW.
  • We helpen aanbieders met rollenbeheer om zo de toegang tot gegevens te beperken.
  • Aanbieders dienen zich volledig houden aan de Wet Bescherming Persoonsgegevens. Binnenkort verandert dit naar de AVG-wet.

5. Penetratietests

Daarnaast voeren onafhankelijke derde partijen regelmatig pen-testen uit namens klanten. In deze tests proberen ze in feite Springest te ‘hacken’. Deze tests kunnen worden aangevraagd door bijvoorbeeld grote zakelijke klanten voor wie wij een  eigen leerplatform opzetten.

6. Geen gegevens meer via e-mail

Op het moment dat een informatie- of inschrijvingsaanvraag plaatsvindt, worden gegevens niet via e-mail verstrekt. Aanbieders worden doorgestuurd naar de Springest Admin – een beveiligde omgeving waar alle gegevens altijd up-to-date zijn. U leest er hier meer over in  deze blogpost.

Bij het opzetten van een leerplatform zijn immers personeelsbestanden nodig om gebruikersaccounts aan te maken. Het is niet veilig om dit soort gevoelige informatie te delen via e-mail. Daarom worden bestanden die organisaties delen met Springest verzonden via de Springest Admin – een versleutelde omgeving. Na vier dagen worden de bestanden automatisch verwijderd.

7. Beveiliging van ingevoerde gegevens

Het is belangrijk dat persoonsgegevens voldoende beveiligd worden. Springest neemt een aantal maatregelen bij het versturen en opslaan van dit soort gegevens.

ISO 20071
Sinds november 2017 is Springest gecertificeerd volgens de ISO 20071 beveiligingsstandaard. Dit certificaat toont aan dat Springest voldoet aan specifieke eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. 

Beveiligde verbinding
Springest is alleen via een SSL beveiligde verbinding te bereiken. Dat betekent dat ingevulde gegevens dus versleuteld worden verstuurd, en niet door derden kunnen worden gelezen. We ondersteunen de volgende versies: TLS versies 1.0, 1.1 en 1.2 met 256-bit TLS RSA encryptie.

Beveiligde interne infrastructuur
Nadat gegevens van de gebruiker naar Springest zijn verstuurd, komen ze in het servernetwerk van Springest terecht. Dat wordt beheerd door Amazon Web Services, de meest gerenommeerde webhosting provider met veel ervaring op het gebied van beveiliging. Binnen dat netwerk zijn ook alle verbindingen versleuteld met SSL. Ook is dit interne netwerk niet bereikbaar van buitenaf. Daarnaast kunnen onze eigen servers alleen bij de data die zij nodig hebben voor hun specifieke taak, dus een test- of emailserver kan niet bij de gegevens die voor de live-website nodig zijn. Bovendien maken we dagelijkse backups. Die worden opgeslagen in een andere AWS regio (Ierland) dan waar de database staat (Frankfurt) voor veiligheid.

Zie ook:  Amazon Web Services Security Center

Gegevensopslag binnen de EU
Alle servers van Springest staan fysiek in de EU, en zijn dus niet onderhevig aan de Amerikaanse Patriot Act. Voor meer informatie over de Europese wetgeving en de beveiliging van Springest, zie:  Amazon Web Services EU Data Protection FAQ.

Versleutelde database harde schijven
De harde schrijven waarop de databases staan, en waarop de gegevens worden opgeslagen, zijn zelf ook versleuteld. Het ontsleutelen van de databasegegevens vereist een encryptiesleutel die ook alleen op onze eigen servers in het beveiligde netwerk staat. De gegevens in de databases zijn zonder die sleutel dus niet leesbaar.

Heeft dit uw vraag beantwoord? Bedankt voor uw feedback. Als u nog vragen heeft: stel ze gerust hieronder. Sorry, uw feedback kon niet worden verstuurd. Probeer het later nog eens.

Nog hulp nodig? Neem contact met ons op Neem contact met ons op