Header Office stoel Michoe 3

Privacy & Informatie beveiliging

Kaseya Vulnerability en Ransomware (2 juli 2021)

Op 2 juli is er berichtgeving geweest over een security-lek in Kaseya VSA software. Accountancy Gemak & Software Gemak zijn door de leverancier Kaseya en via kanalen van het Nationaal Cyber Security Centrum (NCSC) hierover geïnformeerd. Lees hier ons bericht omtrent dit security-lek.

Gedragscode

De gedragscode van Software Gemak beschrijft hoe we op een open, transparante, eerlijke en maatschappelijk verantwoorde manier werken. Dit doen wij om het succes van Software Gemak en van onze klanten te waarborgen.

Verwerkersovereenkomst

In de Algemene verordening gegevensbescherming (AVG) staat (de bescherming van) privacy centraal. Het is daarom belangrijk dat verwerking van persoonsgegevens goed is vastgelegd. In sommige gevallen is het noodzakelijk om dit vast te leggen in een Verwerkersovereenkomst. Onderstaand een beknopte uitleg wanneer dit het geval is en hoe Software Gemak je hierbij helpt.

Wanneer noodzaak

Een Verwerkersovereenkomst is een wettelijk verplichte overeenkomst op het moment dat je als klant aan Software Gemak vraagt om persoonsgegevens voor jouw organisatie te verwerken. Je bent op dat moment verwerkingsverantwoordelijke en Software Gemak is de verwerker. Het afsluiten van een Verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke als voor de verwerker. Besef dat er al snel sprake is van ‘verwerken’ van persoonsgegevens: het opslaan van persoonsgegevens bij een cloudprovider of Software as a Service (SaaS) aanbieder zijn onder andere ook voorbeelden van ‘verwerken’.

Software Gemak heeft een nieuwe Verwerkersovereenkomst opgesteld die rekening houdt met de AVG en alle producten die Software Gemak aanbiedt. In dit document richten we ons met name op de zogenaamde ‘verkoop verwerkingsovereenkomst’; dat wil zeggen de situatie waarin Software Gemak persoonsgegevens voor een verwerkingsverantwoordelijke (klant) zal verwerken.

Wat zijn persoonsgegevens?

Een goede uitleg hierover kun je vinden via de Autoriteit Persoonsgegevens via onderstaande link: Autoriteitpersoonsgegevens.nl

Hieronder vind je de Verwerkersovereenkomst van Software Gemak.

Bijlagen verwerkersovereenkomst

Certificering voor informatiebeveiliging

Wie gebruik maakt van de cloud- of SaaS-diensten ontkomt er niet aan om goed na te denken over de veiligheid van gegevens die in de cloud worden opgeslagen of verwerkt. Certificeringen voor informatiebeveiliging zijn een belangrijke indicatie voor een goed geregelde informatiebeveiliging. In het algemeen is te stellen dat jouw data bij cloudleveranciers met een certificering veilig zijn. Certificeringen worden alleen toegekend als organisaties werken volgens strikte procedures en hiermee de werkwijze aantoonbaar op orde hebben.

ISO27001

ISO27001 is een ISO-standaard voor informatiebeveiliging. Deze internationale norm is van toepassing op alle typen organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties). De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie. De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen, die de informatie beschermen en vertrouwen bieden aan belanghebbenden, te waarborgen.

Software Gemak heeft een ISO27001-certificering voor het ontwerpen, implementeren en onderhouden van datacenterhostingdiensten in Nederland en Azure, inclusief het technisch beheer voor de applicaties en beheerdiensten die Software Gemak aanbiedt op deze omgevingen.

Certificaat en bijbehorende verklaring van toepasselijkheid van Software Gemak kunnen worden gedownload via de onderstaande knoppen.

Statement of Applicability

ISAE3402

De ISAE3402 is een internationale standaard. Bij een ISAE3402-rapportage geeft het management van de serviceorganisatie een formele verklaring (een zogenaamde ‘managementassertion’) af voor zijn verantwoordelijkheid voor de beheermaatregelen uit deze verklaring.

De ISAE3402-standaard kent twee types rapportages:

  • Type I: Voor de opzet en het bestaan van beheermaatregelen.
  • Type II: Naast de opzet en het bestaan is ook de effectieve werking van de beheermaatregelen voor een bepaalde periode aangetoond.

Software Gemak heeft verschillende ISAE3402-rapportages. De rapportage en de beschrijving van toetsing van interne beheersingsmaatregelen zijn alleen beschikbaar voor bestaande klanten of voor auditoren van bestaande klanten. Deze rapportages zijn niet vrij te downloaden, maar worden alleen op aanvraag verzonden. Dit kan je doen via je accountmanager of via support.

De volgende ISAE3402-rapportages zijn beschikbaar:

  • ISAE3402 – Cloudservicediensten, inclusief Salaris Cloud, voor Nederlandse datacenters en Azure
  • ISAE3402 – Managed Payroll Service

Een statement over de ISAE3402-rapportage van Cloud Services-diensten is beschikbaar.

Informatiebeveiliging

Wie gebruikmaakt van onze cloud- of SaaS-diensten ontkomt er niet aan om goed na te denken over de veiligheid van gegevens die in de cloud worden opgeslagen of verwerkt. Je mag verwachten dat Software Gemak zorgvuldig omgaat met de zijn toevertrouwde gegevens. Aan de andere kant verwacht Software Gemak ten aanzien van informatiebeveiliging ook inspanning van klanten. Informatiebeveiliging is namelijk een gedeelde verantwoordelijkheid.

Wachtwoordgebruik

Wachtwoorden zijn een belangrijk aspect van informatiebeveiliging. Ze vormen de eerste verdedigingslijn in de bescherming van gebruikeraccounts. Een verkeerd gekozen wachtwoord of een gecompromitteerd wachtwoord kan ertoe leiden dat de eerste verdedigingslijn in de bescherming vervalt en de omgeving die het moet beschermen in gevaar brengt.

Software Gemak heeft hiervoor intern wachtwoordbeleid opgesteld. Als je softwarediensten van Software Gemak afneemt, dan heb je te maken met dit wachtwoordbeleid. Hoewel het gebruik van wachtwoorden voor een eindgebruiker soms vervelend is, dient het wel het doel om jouw data veilig te houden.

Privacy statement

Software Gemak verwerkt uw persoonsgegevens met de nodige zorgvuldigheid, in overeenstemming met en alle toepasselijke wet- en regelgeving, in het bijzonder de Algemene verordening gegevensbescherming (AVG). In onze Privacy Policy wordt uitgelegd welke persoonsgegevens we verwerken, hoe we dat doen en hoe u bezwaar kunt maken tegen de verwerking van uw persoonsgegevens.

 

HR & Salaris Gemak

Software Gemak heeft voor het product HR & Salaris Gemak een privacyverklaring opgesteld voor het gebruikte portaal. Deze verklaring heeft als doel transparantie te bieden over welke persoonsgegevens Software Gemak verzamelt bij het gebruik van HR & Salaris Gemak Portaal, hoe Software Gemak met deze gegevens omgaat en welke rechten u heeft met betrekking tot uw gegevens. Software Gemak streeft na om persoonsgegevens die u tijdens het gebruik van HR & Salaris Gemak Portaal achterlaat zo te verwerken en te beheren dat uw privacy wordt beschermd.

Privacy statement HR & Salaris Gemak

Beknopte toelichting AVG

Software Gemak heeft een brochure gemaakt waarin heel beknopt de AVG wordt toegelicht.

Beleid voor gegevensbescherming

Wanneer er klantgegevens gemigreerd, opgeslagen of verwerkt wordt binnen een Software as a Service (‘Saas’) of Cloud-omgeving beheerd door Software Gemak gelden er beleidsregels voor de medewerkers van Software Gemak hoe ze met deze data om moeten gaan. Deze beleidsregels vindt u hier.

Bewustwording informatiebeveiliging

Binnen Software Gemak is het belangrijk dat medewerkers zich bewust zijn van de belangrijke rol die zij vervullen binnen de informatiebeveiliging. Om bewustwording te stimuleren hebben wij 7 vuistregels van informatiebeveiliging opgesteld.

Responsible Disclosure

Binnen Software Gemak vinden wij de veiligheid van onze aangeboden diensten erg belangrijk. Gedurende het ontwikkelproces onderzoeken wij dan ook, zelf en met behulp van derden, actief onze diensten, software en eigen systemen op onvolkomenheden. Ondanks deze zorg en aandacht voor de beveiliging van onze diensten kan het voorkomen dat er toch een onvolkomenheid in onze aangeboden diensten aanwezig is. Als u een onvolkomenheid in één van onze systemen of diensten heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze diensten en klanten beter te kunnen beschermen.

Rechtshandhaving

Software Gemak heeft een vaste procedure voor verzoeken van wetshandhavingsinstanties; (persoons)gegevens worden alleen verstrekt aan handhavingsinstanties die hiervoor bevoegd zijn.

Nieuws/actualiteiten

Microsoft Exchange-lek (15 maart 2021)

In de media is de laatste dagen berichtgeving geweest over een security-lek in Microsoft Exchange waar Accountancy Gemak & Software Gemak ook gebruik van maken. Wij hebben nauwgezet de aanwijzingen van het Nationaal Cyber Security Centrum (NCSC) en de producent Microsoft uitgevoerd voor de omgeving die vatbaar waren voor dit security-lek. Met de kennis die wij nu hebben, ondervinden wij geen kwetsbaarheden.

Naar aanleiding van dit bericht vanuit het NCSC kunnen we als Accountancy Gemak & Software Gemak aangeven dat:

  • wij de Exchange-omgevingen binnen Accountancy Gemak & Software Gemak die kwetsbaar waren voor dit security-lek op aanwijzing van de producent hebben voorzien van tegenmaatregelen;
  • wij controle hebben uitgevoerd of er misbruik is gemaakt van de gevonden security-lek;
  • bij deze update en controle geen onrechtmatigheden zijn aangetroffen.

Wij gaan er door middel van dit statement vanuit voldoende informatie te hebben verschaft over dit onderwerp.