Data Security
Voor ons als notariële softwareleverancier is het van het grootste belang om de gegevens van onze klanten te beschermen. We nemen hier technische maatregelen voor zoals versleuteling van gegevens en het maken van back-ups, maar ook organisatorische maatregelen.
Hieronder lees je een aantal van deze maatregelen die wij nemen om de gegevens van onze klanten te beschermen, plus een aantal veelgestelde vragen en antwoorden.
Periodieke pentests
Een pentest is een beveiligingsonderzoek waarbij een onafhankelijke partij probeert in te breken in ons systeem om zo beveiligingsproblemen te identificeren. We laten twee keer per jaar een pentest uitvoeren: zo kunnen we de beveiliging van ons systeem proactief verbeteren en kunnen we onze klanten beter beschermen tegen mogelijke aanvallen.
Hiernaast zie je een taartdiagram met resultaten van de laatste PEN test. Hier zie je dat de meeste onderdelen van Notarisdossier als ‘Positief’ worden geclassificeerd. De bevindingen die een gemiddeld risico kunnen vormen hebben we direct verholpen.
Legenda
Bevindingen die actief een aanvalspoging belemmeren of blokkeren en dus een positieve bijdrage hebben aan de totale veiligheid van het systeem.
Bevindingen die niet direct te misbruiken zin, maar een aanvaller wel kunnen helpen bij het plannen of uitvoeren van een vervolgaanval.
Problemen die zeer lastig te misbruiken zijn of waarbij de effecten een lage impact hebben op het system of de business.
3 – Gemiddeld
Problemen die niet onmiddellijk opgelost moeten worden, maar waar op korte termijn wel aandacht aan moet worden besteed.
ISO-certificeringen
Sinds 2021 zijn wij ISO 27001 gecertificeerd. Dit is de internationale norm voor informatiebeveiliging en certificering gebeurt door een onafhankelijke partij. Het certificaat toont aan dat we als bedrijf voldoen aan de normen voor informatiebeveiliging en de nodige maatregelen hebben genomen om de gegevens van onze klanten te beschermen tegen verlies, diefstal en misbruik. Om de veilige uitvoering van onze diensten te blijven waarborgen worden we jaarlijks (vrijwillig) getoetst via een audit waarbij we gecontroleerd worden op de kwaliteit en de beheersmaatregelen van onze werkzaamheden. Lees hier de post over de ISO 27001 certificering.
Sinds februari 2023 zijn wij ook ISO 9001 gecertificeerd. ISO 9001 is de internationale norm voor kwaliteitsmanagement. Dit certificaat laat zien dat we zijn gericht op continue verbetering van onze processen, producten en diensten.
Security officer (CISO)
Onze collega Erik van Dalen werkt bij Notarisdossier als security officer. Hij is verantwoordelijk voor het ontwikkelen, implementeren en handhaven van beveiligingsmaatregelen en procedures om ons te beschermen tegen bedreigingen zoals hacking, cyberaanvallen en datadiefstal.
Continuïteitsregeling
Notarisdossier heeft via Software Borg / de IT-notaris een SaaS en Cloud continuïteitsregeling. Software Borg onderzoekt welke partijen essentieel zijn voor de continuïteit van onze applicatie en borgt juridisch dat de applicatie zelf en de data van het kantoor daadwerkelijk beschikbaar blijven in het geval van een calamiteit, zoals faillissement van ons. Alle klanten van Notarisdossier zijn verplicht gebruik te maken van deze regeling. In deze video leggen we uit hoe het werkt.
Veel gestelde vragen
Waar staat mijn data?
Onze hostingpartij maakt gebruik van datacenters van ITB2 die in Apeldoorn en Deventer staan. Naast onze primaire applicatie- en databaseservers maken wij voor bepaalde onderdelen gebruik van Microsoft Azure. Hier wordt alle data in de regio West Europa versleuteld opgeslagen.
Wie kan er bij mijn data?
Je bepaalt zelf wie je toegang geeft tot Notarisdossier. Bepaalde medewerkers van Notarisdossier hebben toegang tot de database. Daarnaast kunnen onze supportmedewerkers voor ondersteuningsdoeleinden inloggen. Als je niet wil dat de medewerkers van Notarisdossier inloggen in de omgeving worden daar afspraken over gemaakt.
Hoe wordt mijn data beschermd?
Gevoelige informatie wordt versleuteld opgeslagen. Dat betekent dat zonder een juist account de data niet gelezen kan worden. Dagelijks wordt een back-up gemaakt van de gegevens die volgens ons retentiebeleid bewaard wordt. Met leveranciers spreken we contractueel beveiligingseisen af, hoe de data gemonitord wordt en welke responsetijden er gehanteerd worden als er een incident is.
Wat is het beschikbaarheidspercentage van Notarisdossier?
Het beschikbaarheidspercentage van Notarisdossier is minimaal 99,9%.
Hoe is het toegangsbeheer van medewerkers van Notarisdossier geregeld?
Medewerkers van Notarisdossier werken met gevoelige informatie. Daarom mogen zij alleen inloggen als er een echte noodzaak voor is. Medewerkers kunnen alleen met een beveiligde verbinding inloggen (VPN) vanaf 1 apparaat.
Wat gebeurt er als jullie worden gehackt?
Wij hebben hier een bedrijfscontinuïteitsplan/DRP voor klaarliggen die jaarlijks getest wordt. Digitale aanvallen worden daarbij ook getest. Daarnaast worden back-ups en de logging off-line opgeslagen zodat we er altijd bij kunnen.
Hoe wordt de continuïteit van Notarisdossier gewaarborgd?
Er zijn meerdere maatregelen om de continuïteit te waarborgen. Dit zijn onder andere een overeenkomst met Softwareborg voor de beschikbaarheid van de broncode als Notarisdossier ophoudt te bestaan. Dit is een verplichte deelname voor al onze klanten.
Daarnaast hebben we een Disaster Recovery Plan. In het bedrijfscontinuïteitsplan/DRP staan ook andere dreigingen dan digitale aanvallen. Ook een risico als inbraak of wanneer het pand afbrandt wordt beschreven.
Hoe wordt omgegaan met beveiligingsincidenten en datalekken?
Incidenten over privacy en informatieveiligheid worden allemaal geregistreerd in een register. Hiervoor hebben we een vast protocol. Wanneer er een datalek wordt gemeld wordt eerst bekeken door de CISO en/of het management of dit echt om een datalek gaat. Als dit het geval is wordt communicatie opgesteld voor de gedupeerden. Wanneer de oorzaak, analyse en verbeterplannen op korte- en langetermijn bekend zijn wordt dit gemeld bij de Autoriteit Persoonsgegevens. Dit doen we binnen 72 uur na het melden van de datalek.
Hoe is het security management geregeld bij Notarisdossier?
Securitymanagement gaat over het gehele informatieveiligheidsbeleid. Dit beleid is door onze Security Officer (CISO) gemaakt en goedgekeurd door het management. Hieromheen staan de bedrijfsprocessen waaruit risico’s ontstaan. De risico’s worden door beheersmaatregelen gereguleerd. Voor dit proces hebben wij een ISO27001 certificaat en volgen we het TSS Security Control Framework voor een extra controle op de praktische kant van de beheersmaatregelen die ieder kwartaal wordt gecontroleerd.
Wat gebeurt er met mijn data bij gebruik van AI via Notarisdossier?
We maken gebruik van de Azure OpenAI Service van Microsoft. Microsoft garandeert dat de data die door de gebruiker wordt ingevoerd op geen enkele manier bewaard blijft. Ook de opslag voor filtering op misbruik is door Microsoft op ons verzoek uitgezet. Voor je gebruik kunt maken van AI via Notarisdossier moet je akkoord gaan met de gebruikersvoorwaarden. Gebruik van AI is optioneel.
Hoe regelt Notarisdossier de bewustwording onder medewerkers?
Alle medewerkers volgen bij indiensttreding een verplicht security en privacy awareness programma. Deze wordt gegeven door onze Security Officer (CISO). Regelmatig worden er nep-phising mails verstuurd om de medewerkers te testen en worden awareness sessies gegeven door onze CISO. Persoonsgevoelige data van cliënten van onze klanten slaan wij niet op.
Hoe gaan jullie om met de gedragscode informatiebeveiliging van de KNB?
Wij haken hier proactief op in door klanten te helpen met vragen over de gedragscode.
Wat kan een kantoor zelf doen?
Bekijk de KNB richtlijnen voor tips. Denk bijvoorbeeld aan het gebruik van persoonlijke mailadressen, deel geen accounts, gebruik 2FA, enz. Daarnaast bieden wij een opfriscursus informatieveiligheid bij onze klanten. Onze CISO kan digitaal of bij jou op kantoor ondersteuning bieden bij deze vraagstukken. Neem contact met ons op voor de mogelijkheden.