Compliance : voldoen aan alle wettelijke eisen

Je werkt met Emprover Ox. En je wilt er zeker van zijn dat jouw gegevens en die van je collega's veilig en goed beschermd zijn. Dat het gewoon goed geregeld is. Logisch. Jouw vertrouwen is voor ons enorm belangrijk. Dus leggen we onszelf een hoge kwaliteitsstandaard op. Onze processen en producten worden tegen zowel nationale als internationale normen afgezet. Wat dat inhoudt? Dat leggen we je graag uit.

ISO 27001:2017
Wij willen voldoen aan nationale en internationale standaarden. Dus laten wij onze processen en producten controleren en certificeren. Zo beschikken wij over het internationaal erkende ISO 27001:2017 certificaat, dat onze focus op Informatiebeveiliging garandeert. De audits die horen bij de certificeringsprocessen geven ons bovendien de kans om onze processen en producten steeds verder te verbeteren. 

Bekijk het certificaat ISO 27001 of bekijk de Verklaring van Toepasselijkheid ISO 27001

Toegankelijkheid van informatie: WCAG 2.1, niveau AA
Vanaf 23 september 2020 moeten alle overheidswebsites en applicaties voldoen aan de toegankelijkheidsrichtlijnen WCAG 2.1, niveau AA. Hiermee is de digitale toegankelijkheid geborgd op basis van vier principes: waarneembaar, bedienbaar, begrijpelijk en robuust. Wij voldoen al sinds 2016 aan de strenge toegankelijkheidseisen. Tevens laten wij ons platform elk jaar toetsen om er zeker van te zijn dat onze platforms op technisch-functioneel blijven voldoen aan de laatste standaarden. Onze klanten hoeven zich daardoor alleen nog maar bezig te houden met toegankelijke content. Ook de toetsen die zij laten uitvoeren kunnen zich daardoor beperken tot de content. Bekijk ons toegankelijkheidscertificaat. 

BIO, Baseline Informatiebeveiliging Overheid
De BIO is het basis normenkader voor informatiebeveiliging binnen alle overheidsinstellingen. Deze richtlijn is een aanvulling op de ISO 27001. Wij hebben deze norm geïmplementeerd. Momenteel is deze norm niet certificeerbaar, maar we laten hem wel onafhankelijk toetsen. Naast onze eigen interne en externe audits, hebben wij onder andere contact met het Security Operations Center (SOC/CIV) van Rijkswaterstaat over de technische instellingen conform de BIO. Voor de BIO hebben we een Verklaring van Toepasselijkheid opgesteld waarin staat welke beheersmaatregelen wij hebben toegepast middels het comply or explain principe. Op verzoek sturen we dit aan onze klanten.

Privacy
Als je Emprover Ox gebruikt verwerken we persoonsgegevens. Van je medewerkers bijvoorbeeld. Deze slaan we op in onze databaseservers. Deze servers staan op twee locaties in Nederland bij onze hostingprovider. Op grond van de Algemene Verordening Gegevensbescherming (AVG) ben jij als onze klant (als verwerkingsverantwoordelijke) verantwoordelijk voor de verwerking van die persoonsgegevens via Emprover Ox. Emprover geldt daarbij als (gegevens)verwerker. En onze hostingprovider als sub-verwerker.

Bescherming persoonsgegevens 
Wij hechten veel waarde aan de bescherming van persoonsgegevens. Dat is een van de redenen waarom wij conform de hierboven genoemde BIO, ISO en NEN normeringen zijn gaan werken. Daarnaast hebben wij een (sub)verwerkingsovereenkomst met onze hostingprovider afgesloten. Daarin hebben wij verplichtingen voor hen opgenomen, zodat alle persoonsgegevens op een veilige manier worden verwerkt.

Verwerkersovereenkomsten 
De verwerkersovereenkomst vormt altijd een onderdeel van de hoofdovereenkomst met al onze klanten. In de verwerkersovereenkomst staan de afspraken die we hebben gemaakt over de verwerking van persoonsgegevens binnen het Mett platform, of het nu gaat om een intranet, community of website. Wij zijn in verschillende sectoren actief en hanteren, naast onze eigen verwerkersovereenkomst, onder andere de volgende standaarden:
- Bij gemeenten: de standaard VNG verwerkersovereenkomst; 
- Bij de Rijksoverheid: de standaard ARBIT-verwerkersovereenkomst; 
- In de zorgsector: model verwerkersovereenkomst Brancheorganisaties Zorg. 

Privacyverklaring
De privacyverklaring op onze website beschrijft onder meer welke persoonsgegevens wij verwerken. Voor de werking van Emprover Ox zijn geen bijzondere persoonsgegevens nodig. In de beveiliging houden we hier echter wel rekening mee aangezien gebruikers er toch vrijwillig voor kunnen kiezen om bijzondere persoonsgegevens op te slaan. Er worden enkel persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het doel: optimales samenwerking binnen organisaties. 
Lees hier onze privacy verklaring.

Cookiebeleid 
Net als de meeste andere websites gebruiken ook wij cookies. Onder andere voor bepaalde functionaliteiten en het optimaliseren van een website. Ook gebruiken we voor het bijhouden van statistieken en in sommige gevallen voor marketingdoeleinden. Zodra cookies persoonlijke gegevens of voorkeuren bijhouden, dan vrage we de gebruiker eerst dit goed te keuren. Dat is ook wettelijk verplicht. Lees meer over cookies en jouw privacy in ons cookiestatement.

Privacy by Default
In Emprover Ox kunnen beheerders een aantal instellingen zelf aanpassen waardoor enkel de strikt noodzakelijke informatie zichtbaar is. Zo kan vanuit de Ox Console worden bepaald welke Apps er worden gebruikt in onderliggende programma's, afdelingen en teams. Bij de implementatie worden deze configuraties in goed overleg ingesteld. Daarnaast kunnen gebruikers ook zelf hun privacy-instellingen aanpassen, hun gegevens downloaden en hun profiel verwijderen.
Aan elke klant bieden wij bovendien de mogelijkheid om een eigen cookie-verklaring en privacy statement te plaatsen. Hiervoor kan gebruik gemaakt worden van onze standaard verklaringen, maar wij helpen ook bij een eigen op maat gemaakte verklaring.

Hosting en keuzes

Onze Hostingprovider
Met onze hostingprovider hebben wij afspraken gemaakt over beveiliging. Die hebben wij vastgelegd in contracten. Deze afspraken zorgen onder meer voor maatregelen die de hostingprovider zelf neemt, en die we periodiek kunnen (laten) controleren. Daarnaast hebben we op die manier de beveiligingsnormen vastgelegd die wij stellen aan de datacenters waar wij via onze provider gebruik van maken.
 
De gegevens en back-ups worden alleen in Nederland (Eemshaven) opgeslagen en verwerkt. Onze hosting provider is onder andere ISO 9001:2015, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC1, SOC2 & SOC3 compliant en heeft TIER 3 redundantie. 

Penetratie en kwetsbaarheden tests 
Een onafhankelijke partij voert minimaal één keer per jaar een penetratie test uit. Hierbij test een ethische hacker Emprover Ox op de doeltreffendheid van de technische beveiliging tegen de meest voorkomende security kwetsbaarheden (OWASP top 10). Daarnaast voert onze security officer jaarlijks een kwetsbaarheden test uit.

Aansluitend op deze testen reserveren wij tijd in onze tweewekelijkse ontwikkel sprints om maatregelen te treffen tegen eventueel gesignaleerde kwetsbaarheden. Ons beleid is er op gericht om opvolging te geven aan alle gevonden kwetsbaarheden, dus van prioriteit kritisch tot en met laag inclusief verwerking van informatieve tips. Op verzoek kunnen we de rapportage uit de pentest laten zien en toelichten.

Beschikbaarheid en continuïteit 
Hoewel wij doorgaans een hogere beschikbaarheid meten, zal Emprover Ox per jaar minimaal 99,5% beschikbaar zijn. Mocht het om wat voor reden dan ook de beschikbaarheid onder dit niveau komen, dan stellen wij in overleg met onze hostingprovider een concreet verbeterplan op.

Om de continuïteit van de beschikbaarheid van Emprover Ox te waarborgen, heeft onze hosting provider meerdere maatregelen getroffen. Een van de belangrijkste maatregelen is dat op 100 km afstand van het primaire datacenter ook een secundair datacenter staat (Dat wordt een stretched datacenter genoemd).

Zelf hosten
Wanneer u voor Emprover Ox liever zelf de cloud infrastructuur inregeld is dit zeker mogelijk. Wij kunnen u begeleiden om Emprover Ox in uw eigen Azure of Google Cloud te installeren en onderhouden. Daarbij is het voor ons mogelijk om centraal geautomatiseerd updates en patches naar alle 'lokale' installaties uit te sturen zodat u geen zorgen heeft over de actualiteit van uw installatie.

Scoren 100% op internet.nl  
De testtool Internet.nl is een initiatief van het Platform Internetstandaarden. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten. Om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. Het platform is een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid.  Via deze controle wordt het Mett-platform onder meer getoetst op IPv6, DNSSEC, HTTPS en een set aan beveiligingsopties.  
Wij spannen ons tot het uiterste in om voor onze klanten een 100% score te behalen. Doordat het beleid steeds strenger wordt, kan het voorkomen dat we de 100% tijdelijk niet kunnen halen. Als dat zo blijkt te zijn, dan voeren we aanpassingen door zodat we weer op 100% komen. 

Beveiligingsincident
Vindt er, ondanks alle bovenstaande maatregelen toch een (beveiligings)incident plaats? Dan melden uw beheerders dat aan ons via onze helpdesk (support@emprover.nl). Zodra een beveiligingsincident op deze manier is gemeld, komen wij zo spoedig mogelijk in actie om de oorzaak te achterhalen en het incident op te lossen. Bij de incidentafhandeling is altijd een team betrokken van onder meer ontwikkelaars, security officer en privacy officer.