# Databeveiliging en AVG

### Databeveiliging

Organisaties genereren steeds meer data. Dit geldt voor onze opdrachtgevers, maar ook voor onszelf. Vaak spelen onze digitale producten een rol in het genereren en opslaan van datastromen. Des te meer reden om de beschikbaarheid, vertrouwelijkheid en integriteit van data te kunnen garanderen.

Hiervoor hebben we onder andere het volgende:

#### **Risico analyse**

Dit is het vertrekpunt van databeveiliging. Het is belangrijk om goed inzichtelijk te hebben waar de risico's zitten, voordat je effectieve beheersmaatregelen kunt bedenken en invoeren. We doen deze risico analyse periodiek opnieuw.&#x20;

#### Helder informatiebeleid

Met een helder informatiebeleid bepaal je *hoe* het zou moeten zijn.&#x20;

Hierin onderscheiden we onder andere de verschillende typen informatie waarmee we te maken hebben. Ook bepalen we hierin wie toegang heeft tot welke informatie. Ten slotte worden de verantwoordelijkheden met betrekking tot informatie en haar beveiliging geregeld.&#x20;

#### Informatie management systeem

Dit is de tool waarmee we garanderen dat ons informatiebeleid gevolgd wordt in de praktijk. Ook gebruiken we deze tool voor het doorlopend evalueren en verbeteren van onze databeveiliging.&#x20;

We gebruiken hiervoor het systeem [Vanta](https://www.vanta.com/).

#### Concrete beheersmaatregelen

We hebben alle benodigde beheersmaatregelen om de beschikbaarheid, vertrouwelijkheid en integriteit van onze data te garanderen. Bijvoorbeeld:

1. Fysieke toegangscontrole. Alleen met toestemming kun je ons kantoor binnen.
2. Verplichte 2FA: je kunt nergens met alleen een gebruikersnaam en wachtwoord inloggen. Overal dien je een extra vorm van beveiliging te gebruiken.&#x20;
3. Verbeterde logging: zodat we bij eventuele problemen de oorzaak gemakkelijker kunnen achterhalen.&#x20;
4. Achtergrond checks van alle teamleden.&#x20;
5. Verplicht SLA voor al onze klanten. Zodat we zeker weten dat de digitale infrastructuur aan onze standaarden voldoet.

#### Jaarlijkse audit

Dit alles wordt jaarlijks geaudit door onafhankelijk certificeer-bureau BSI.&#x20;

### AVG / GDPR

Het hebben van een ISO 27001 certificering helpt mee met AVG / GDPR compliant werken. Zo gebruiken we ons informatiebeveiligingssysteem Vanta ook om AVG-compliant werken af te dwingen.&#x20;

Verder zijn er twee plekken die onze AVG-compliancy aantonen en reguleren:

1. Verwerkersovereenkomst
2. Privacyverklaring

#### **Verwerkersovereenkomst**

Deze sluiten we met iedere partij waarbij wij data van hen verwerken, zij data van ons verwerken, of allebei.&#x20;

#### **Privacyverklaring**

Hier lees je ons algemene beleid rondom het verwerken van data. Ook als die data geen onderdeel is van een overeenkomst met een andere partij.&#x20;

[Je vindt de meest recente versie hier](https://webbio.nl/privacyverklaring).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://orientatiekit.webbio.nl/compliancy/databeveiliging-en-avg.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.