Op de Dag van de Gegevensbescherming worden we herinnerd aan het belang van het beschermen van onze persoonlijke en professionele gegevens. Met meer dan 25 jaar ervaring in oplossingen voor medewerkersonderzoeken hebben we bij Effectory, een toonaangevend SaaS-bedrijf, specifieke beveiligingsmaatregelen ontwikkeld die passen bij onze unieke dienstverlening.
7 essentiële beveiligingsmaatregelen bij Effectory: Een kijkje achter de schermen met onze Chief Information Security Officer
Wij geven je een exclusief kijkje achter de schermen. We spraken met Wouter Buzing, onze Chief Information Security Officer, voor een verhelderend gesprek. Ontdek samen met ons de verschillende beveiligingslagen die jouw gegevens en die van je medewerkers veilig houden.
- #1: ISO-gecertificeerd & AVG en GDPR-conform
- #2: Rolgebaseerde toegang in My Effectory
- #3: Veilige authenticatie-maatregelen
- #4: Veilige dataopslag in Europa
- #5: Training en bewustwording van medewerkers
- #6: Gespecialiseerd team voor informatiebeveiliging en gegevensprivacy
- #7: Adoptie van innovatieve technologie conform met AVG en GDPR
#1: Volledig ISO-gecertificeerd & AVG en GDPR-conform
ISO is een wereldwijde organisatie die een breed scala aan niet-eigen standaarden ontwikkelt en publiceert. Het is een maatstaf voor kwaliteit en vertrouwen in verschillende velden, waaronder informatiebeveiliging. In april 2023 werd Effectory een van de eerste organisaties in Europa die overstapte naar de ISO 27001:2022 standaard. Dit is een belangrijke stap voorwaarts in de door ISO vastgestelde normen voor informatiebeveiliging.
“Wat Effectory onderscheidt,” zegt Wouter, “is dat we naast de ISO 27001 standaard, die alleen over beveiliging gaat, ook hebben gekozen voor de ISO 27701 certificering, een aanvulling die specifiek gericht is op gegevensprivacy.” En daarnaast hebben we ook de SOC 2 Type II badge (een kader voor dienstverlenende organisaties dat passende controles voor criteria voor gegevensbeveiliging aantoont). Deze prestaties benadrukken onze expertise in de SaaS-branche.
Effectory neemt ook maatregelen om te voldoen aan de AVG (en GDPR). Volgens Wouter, “is onze ISO 27701 aanvulling het bewijs van AVG-naleving in onze rol als Verwerker voor onze klanten.” Om verder te verzekeren dat alle processen in lijn zijn met de nieuwste regelgeving, hebben we binnen Effectory een toegewijd team dat zich richt op het voldoen aan deze normen.
#2: Rolgebaseerde toegang in het My Effectory-platform
My Effectory is ons klantenplatform, de plek waar klanten enquêtes kunnen opzetten en beheren, resultaten analyseren en meer. Het platform maakt gebruik van toegangscontroles op basis van rollen. Wouter benadrukt het belang van deze functie door uit te leggen dat specifieke rollen binnen het platform, zoals de centrale coördinator en projectcoördinator, standaard toestemmingen krijgen toegewezen. Dit zorgt ervoor dat elke rol alleen toegang heeft tot de noodzakelijke gegevens, zodat iedereen zijn of haar werk op de juiste manier en in overeenstemming met gegevensprivacy kan uitvoeren.
Effectory ondersteunt klanten op het platform met de gegevensprivacy van hun werknemers. Meer dan 20 jaar ervaring met privacy en vertrouwelijkheid heeft geresulteerd in een uitgebreide set bedrijfsregels die specifiek zijn voor oplossingen voor medewerkersfeedback, zodat klanten zich geen zorgen hoeven te maken over dit aspect.
Wouter wijst er ook op dat My Effectory het uploaden van gevoelige persoonsgegevens voorkomt. Dit betekent dat als een gebruiker probeert informatie over religieuze overtuigingen of etniciteit te uploaden, wat als gevoeliger wordt beschouwd dan basisgegevens zoals e-mailadressen, het platform onmiddellijk een waarschuwing geeft. Op deze manier worden klanten begeleid om alleen passende gegevens te verwerken in werknemersenquêtes.
#3: Veilige authenticatiemaatregelen
Er zijn meer beveiligingsmaatregelen van kracht voor het klantenplatform, zoals Wouter uitlegt.
Effectory heeft haar eigen identiteits- en toegangsbeheersysteem ontwikkeld met multi-factor authenticatie (MFA) voor de rollen die toegang hebben tot de meest vertrouwelijke gegevens. Dit betekent dat voor rollen zoals centrale coördinatoren en coördinatoren van medewerkers, MFA altijd is ingeschakeld, wat hun accounts extra veilig maakt. Voor andere rollen, zoals project- of lokale coördinatoren, is er de optie om MFA in te schakelen indien nodig, waardoor gebruikers meer controle krijgen.
Effectory biedt ook een alternatief voor zijn eigen identiteitsbeheersysteem: de mogelijkheid van Single Sign-On (SSO). Dit betekent dat de authenticatie wordt beheerd door de klanten zelf voordat ze het ‘My Effectory’ platform betreden. Het is een populaire keuze, omdat het zowel veilig als praktisch is, en de controle in handen van onze klanten legt.
#4: Veilige dataopslag in Europa
Wouter vestigt de aandacht op een kernaspect van dataopslag bij Effectory: de exclusieve opslag van alle verwerkte data in Europese datacentra. Dit vormt een fundamenteel onderdeel van onze dienstverlening en is van groot belang voor onze klanten.
Met onze keuze voor dataopslag binnen de Europese grenzen waarborgen we volledige naleving van de strenge Europese normen en wetgeving. Dit sluit naadloos aan bij de verwachtingen en vereisten van onze klanten in Europa, die veel waarde hechten aan gegevensbescherming en privacy.
#5: Training en bewustwording van medewerkers
Bij Effectory is het begrijpen en respecteren van gegevensprivacy fundamenteel. Vanaf het begin wordt elke nieuwe medewerker ondergedompeld in gegevensbeveiliging als onderdeel van hun introductieprogramma. Binnen hun eerste zes maanden (en daarna elk jaar) moeten zij een toets voor bewustwording van informatiebeveiliging halen.
Ter voorbereiding hierop doorloopt elke nieuwe collega een proces van inwerking in informatiebeveiliging met Wouter:
Bij Effectory worden alle nieuwe medewerkers ingewerkt in een maandelijkse sessie met mij. Dit is de plek om interactief te zijn, veel vragen te stellen, bewustzijn te verhogen en een open cultuur te creëren: wat doe ik hier, welke gegevens verwerk ik, is dit een incident, enzovoort.
Deze trainingssessies zijn meer dan alleen een opsomming van regels. Ze zijn boeiend en bedoeld om iedereen bewust te maken van de fijnere punten van gegevensprivacy – zoals de eenvoudige maar cruciale handeling van het niet open laten staan van je laptop wanneer je van je bureau wegloopt. Het gaat om het inbedden van een mentaliteit van voorzichtigheid en verantwoordelijkheid bij elk teamlid, vooral bij degenen die direct met klantgegevens werken.
#6: Een gespecialiseerd beveiligings- en privacyteam
Bij Effectory hebben we een gespecialiseerd team dat zich uitsluitend richt op taken gerelateerd aan informatiebeveiliging en gegevensprivacy. Deze groep bestaat uit medewerkers van verschillende afdelingen binnen Effectory. Samen vormen zij ons toegewijde Privacy- en Beveiligingsteam. Hun rol is om ervoor te zorgen dat elk aspect van onze gegevensverwerking voldoet aan de hoogste normen van privacy en beveiliging.
#7: Adoptie van innovatieve technologie in lijn met AVG en GDPR
Een subtiel en belangrijk, maar vaak over het hoofd gezien aspect van informatiebeveiliging is het updaten van de huidige beveiligingstechnologieën, zoals Wouter aanstipt.
Effectory is continu op zoek naar innovatieve technologieën op het gebied van beveiliging. De AVG verplicht organisaties om technische en organisatorische maatregelen te treffen die de nieuwste ontwikkelingen op het gebied van beveiliging weerspiegelen.
Wij zijn er trots op dat we tot de eerste gebruikers behoren van nieuwe, opkomende beveiligingstechnologieën. Dit is essentieel om te voldoen aan de geavanceerde beveiligingseisen van de AVG en om onze systemen bestand te maken tegen hedendaagse bedreigingen.
Deze vooruitziende benadering zorgt ervoor dat we niet alleen de huidige standaarden halen, maar ook klaar zijn voor de uitdagingen van de toekomst, zoals die voortkomen uit Kunstmatige Intelligentie (AI). Onze inzet voor het adopteren van de nieuwste beveiligingstechnologie zorgt ervoor dat zowel wij als de gegevens die we beschermen altijd een stap voor zijn.
Leer meer over informatiebeveiliging bij Effectory
Duik nog dieper in de beveiligingsmaatregelen die door Effectory worden toegepast. We nodigen je uit om ons beveiligingscentrum te bezoeken.