.png?width=200&height=82&name=Beeple_Logo_Blue%20(1).png){kind=logo}
Technische en organisatorische maatregelen Beeple
1. Inleiding
Dit document biedt een gedetailleerd overzicht van de beveiligings- en gegevensbeschermingsmaatregelen die Beeple NV heeft geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens te waarborgen. Het beschrijft de technische en organisatorische waarborgen die zijn ingesteld, waarbij belangrijke gebieden aan bod komen zoals gegevensbeschermingsbeginselen, toegangscontrole, versleuteling, incidentrespons, opleiding van medewerkers en de procedures voor de afhandeling van rechten van betrokkenen in overeenstemming met de relevante gegevensbeschermingsregelgeving. Dit document dient als referentie voor klanten en belanghebbenden met betrekking tot Beeple's toewijding aan robuuste
2. Bedrijfsinformatie
- Bedrijfsnaam Name: Beeple NV
- Contact Informatie: support@beeple.eu
- Data Protection Officer (DPO): Wouter Huybrighs
- Security Officer: David Appels
3. Beginselen van gegevensbescherming
3.1 Gegevensminimalisatie
De minimale gegevens die wij verwerken, noodzakelijk voor het gebruik van de applicatie:
- Persoonlijke identificatiegegevens (voor- en achternaam)
- Contactgegevens (e-mailadres)
- Locatiegegevens (coördinaten om de geografische positie van de gebruiker aan te geven), worden alleen verwerkt bij gebruik van de in- en uitcheckmodule met geocoördinatie en wanneer de gebruiker hiervoor toestemming heeft gegeven. Dit wordt gebruikt om:
- De afstand van de locatie van de gebruiker naar het werk te berekenen en te schatten hoe lang het duurt om daar te komen.
- De locatie te verifiëren wanneer de gebruiker via de applicatie in- of uitcheckt op het werk.
Aanvullende persoonsgegevens kunnen worden verwerkt op basis van de wensen van de klant. Dit is ter beoordeling van de klant.
3.2 Doelbinding
Op basis van de in het vorige hoofdstuk genoemde verwerkte gegevens vinden de volgende verwerkingsactiviteiten plaats:
- Het leveren van de dienst
- Ondersteuning en advies
- Het verzamelen van anonieme feedback om de dienst te verbeteren
Het doel van deze verwerkingsactiviteiten wordt noodzakelijk geacht voor het leveren van de dienst.
3.3 Bewaring en verwijdering van gegevens
Gegevens die eigendom zijn van de klant worden binnen 6 maanden na beëindiging van de klantovereenkomst geanonimiseerd.
4. Technische beveiligingsmaatregelen
4.1 Toegangscontrole
Klanten kunnen de volgende beveiligingsmaatregelen in de applicatie configureren:
- Tweefactorauthenticatie, inclusief een instelling om tweefactorauthenticatie af te dwingen voor beheerders
- Externe identiteitsproviders (SSO)
- Microsoft
- Instellingen voor automatische wachtwoordvernieuwing na x maanden (het aantal maanden is configureerbaar in de applicatie).
Voor autorisatie kunnen op rollen gebaseerde toegangscontroles worden geconfigureerd voor beheerders.
4.2 Gegevensversleuteling
- Tijdens verzending: SSL/TSL
- In rust: - AWS KMS - AWS S3-versleuteling - AWS EBS-versleuteling - AWS RDS-versleuteling - Versleutelingsprotocol AES-256
4.3 Netwerkbeveiliging
- AWS Cloud Guardduty
- Cloud Guardian Advanced
- Cyber Threat Intelligence Service
- Bug Bounty Program
- MFA bij toegang tot alle kritieke systemen
- RBAC bij toegang tot alle systemen
- Permanent kwetsbaarheidsscans op AWS-databases
- Sterke API-authenticatie-/autorisatietokens
- BCP wordt jaarlijks geëvalueerd, inclusief gedetailleerde bevindingen en verbetermaatregelen
4.4 Incidentrespons
- Detectie:
- AWS Shield
- Bug Bounty Programma
- Yearly Pentest
- Dynamic Application Security Testing (Aikido)
- Static Application Security Testing
- Escaleren
- Klanten kunnen een incident met betrekking tot een datalek melden via privacy@beeple.eu
- Melding
- Uiterlijk 72 uur nadat het datalek is opgemerkt
- Melding aan getroffen klanten
- Melding aan de autoriteit voor datalekken
- Uiterlijk 72 uur nadat het datalek is opgemerkt
5. Organisatorische beveiligingsmaatregelen
5.1 Certificaten en auditgarantierapporten
- ISO 27001
- ISAE 3402 Type II
5.2 Opleiding van medewerkers
Via een online leerplatform moet elke medewerker van Beeple jaarlijks een opleiding volgen over beveiliging, gegevensbescherming en anticorruptie.
Daarnaast moet elke nieuwe medewerker van Beeple cursussen volgen over wachtwoordbeheer, tweefactorauthenticatie en phishing.
5.3 Leveranciersbeheer
De Data Protection Manager zal de klanten informeren in geval van wijzigingen met betrekking tot productgerelateerde leveranciers.
6. Rechten van betrokkenen
6.1 Toegang en overdraagbaarheid
De klant heeft toegang tot de applicatie en de gegevens tot de einddatum van het contract. Klanten kunnen op elk moment zelf Excel-, PDF- en XML-exporttemplates in de applicatie gebruiken om gegevens te exporteren.
Er zijn standaard exporttemplates beschikbaar en klanten kunnen ook aangepaste exporttemplates toevoegen.
Daarnaast kunnen SQL-datasets worden geconfigureerd in een BI-tool (bijvoorbeeld via onze partner Luzmo.com). Deze datasets blijven eveneens beschikbaar tot het einde van het contract.
6.2 Rectificatie en verwijdering
Beheerders in de applicatie kunnen, afhankelijk van hun toegangsrechten:
- Een gebruiker verwijderen, als de gebruiker geen plannings- of communicatiegegevens heeft en geen beheerder is.
- Een gebruiker archiveren (en anonimiseren), als de gebruiker geen toekomstige planningsgegevens heeft. Als de gebruiker alleen wordt gearchiveerd, blijven de gegevens op sommige schermen in de applicatie beschikbaar. Als een gebruiker wordt gearchiveerd en geanonimiseerd, worden alle gegevens van de gebruiker geanonimiseerd.
Als de instelling waarmee gebruikers hun eigen account kunnen beëindigen actief is, kan elke gebruiker in de applicatie een verzoek tot verwijdering van het account indienen. Hierdoor wordt een e-mail verzonden naar het geconfigureerde e-mailadres van de ontvanger. Beheerders met toegang tot de gebruiker worden ook in de applicatie op de hoogte gesteld van dit verzoek tot verwijdering.