Overslaan naar inhoud

Beveiliging

Informatiebeveiligingsbeleid1. Purpose2. Scope3. Security Objectives4. ResponsibilitiesKernbeveiligingsmaatregelen5A. Access Control5B. Data Protection5C. Secure Development5D. Incident Response5E. Device and Network Security5F. Employee Awareness5G. Third-Party and Cloud Providers5H. Monitoring and AuditingGegevensbeveiligingsmaatregelen6. Data Breach ManagementBeoordelingen en naleving7. Policy Review and Updates8. Compliance and Enforcement

Informatiebeveiligingsbeleid

van ELFAPP Technologies (“ELFAPP”, “wij”, “ons”, “onze”)

1. Doel

Dit Informatiebeveiligingsbeleid definieert de aanpak van ELFAPP Technologies voor het beschermen van informatie-assets, en zorgt voor vertrouwelijkheid, integriteit en beschikbaarheid van gegevens die in zijn software, consultancy en IT-systemen worden verwerkt.

Het beleid ondersteunt de naleving van de EU GDPR (Art. 32), de Nederlandse Cybersecurityrichtlijnen voor Bedrijven (NCSC), en de principes vanISO/IEC 27001(informatiebeveiligingsbeheer).


2. Toepassingsgebied

Dit beleid is van toepassing op:

  • Alle medewerkers, aannemers en derden die ELFAPP-gegevens verwerken;

  • Alle systemen, applicaties en netwerken die eigendom zijn van of worden beheerd door ELFAPP;

  • Alle gegevens die worden verwerkt in het kader van het leveren van softwareontwikkelings- en IT-consultancydiensten.


3. Beveiligingsdoelstellingen

  • Vertrouwelijkheid:Voorkom ongeautoriseerde openbaarmaking van gegevens.

  • Integriteit:Voorkom ongeautoriseerde wijziging of corruptie van gegevens.

  • Beschikbaarheid:Zorg voor tijdige toegang tot gegevens en systemen voor geautoriseerde gebruikers.


4. Verantwoordelijkheden

  • Management:Toezicht op de implementatie en herziening van dit beleid.

  • IT Security Officer / Oprichter:Coördineert dagelijkse beveiligingsoperaties en zorgt voor naleving.

  • Alle medewerkers:Moeten de beveiligingsrichtlijnen volgen, incidenten melden en inloggegevens beschermen.

  • Derden:Moeten zich aan dit beleid houden bij toegang tot ELFAPP-systemen of -gegevens.

Kernbeveiligingsmaatregelen

5A. Toegangscontrole

  • Gebruikrolgebaseerde toegangscontrole (RBAC); verleen toegang op basis van noodzaak.

  • Handhaafsterke wachtwoordbeleidenmulti-factor authenticatie (MFA)voor admin- en productiesystemen.

  • Deactiveer ongebruikte accounts en intrek toegang onmiddellijk na offboarding.

5B. Gegevensbescherming

  • Versleutel alle persoonlijke gegevenstijdens verzending (TLS 1.2+)enin rust (AES-256).

  • Bewaar sleutels veilig en roteer ze periodiek.

  • Gebruiktoegang tot databases met de minste privilegesengeparameteriseerde queriesom injectieaanvallen te voorkomen.

  • Onderhoud regelmatigeback-upsen test herstelprocedures.

5C. Veilige ontwikkeling

  • Volgveilige coderingspraktijken (OWASP Top 10).

  • Voer codebeoordelingen en kwetsbaarheidsscans uit (bijv. GitHub Dependabot, Snyk).

  • Scheiding van ontwikkelings-, test- en productieomgevingen.

  • Houd alle frameworks en afhankelijkheden up-to-date.

5D. Incidentrespons

  • Stel een incidentresponsplan op met duidelijke rapportagelijnen.

  • Onderzoek en documenteer alle beveiligingsincidenten en inbreuken.

  • Informeer klanten zonder onredelijke vertraging als persoonlijke gegevens zijn aangetast (volgens GDPR Art. 33).

5E. Apparaten- en Netwerkbeveiliging

  • Vereis volledige schijfversleuteling en endpointbescherming (antivirus, EDR) op alle bedrijfsapparaten.

  • Gebruik VPN of zero-trust toegang voor remote werk.

  • Onderhoud firewalls en pas systeempatches regelmatig toe.

  • Verbied het gebruik van niet-goedgekeurde USB- of externe schijven.

5F. Medewerker Bewustzijn

  • Biedjaarlijkse beveiligings- en privacytrainingaan al het personeel.

  • Benadruk phishingpreventie en veilige wachtwoordgewoonten.

5G. Derde partijen en Cloudproviders

  • Gebruik alleengerenommeerde cloudproviders(AWS, Azure, GCP) met EU-datacenters.

  • OnderhoudGegevensverwerkingsovereenkomsten (DPA's)met alle subverwerkers.

  • Evalueer leveranciers op GDPR- en ISO 27001-naleving.

5H. Monitoring en Auditing

  • Onderhoudauditlogsvan toegang en systeemgebeurtenissen.

  • Controleer logs regelmatig op ongebruikelijke activiteiten.

  • Voer jaarlijkse interne beveiligingsaudits uit.

Gegevensbeveiligingsmaatregelen

6. Beheer van Gegevensinbreuken

In het geval van een vermoedelijke gegevensinbreuk:

  1. Informeer onmiddellijk de beveiligingsfunctionaris.

  2. Beperk en beoordeel de inbreuk.

  3. Registreer alle bevindingen in het incidentenlogboek.

  4. Informeer de getroffen klanten en de Autoriteit Persoonsgegevens (AP) binnen 72 uur indien nodig.


Beoordelingen en naleving

7. Beleidsevaluatie en updates

Dit beveiligingsbeleid zal worden herzienjaarlijksof na een belangrijke wijziging in de operaties, technologie of wettelijke vereisten.

8. Naleving en handhaving

Niet-naleving kan leiden tot disciplinaire maatregelen, waaronder beëindiging van de arbeidsovereenkomst of contracten.