Smile
Terug naar hoofdmenu
Terug naar het overzicht

Logo SmileSmile is ISO27001 gecertificeerd en hanteert dit dan ook als kader voor haar privacy – en informatiebeveiligingsbeleid en alle bijbehorende maatregelen. In dit artikel vind je een verkort overzicht van de getroffen maatregelen.

Ben jij een Afnemer/Verantwoordelijke en is Smile voor jou een Verwerker? Dan kun je op afspraak (op locatie van Smile) inzage verkrijgen in het volledige privacy – en informatiebeveiligingsbeleid van Smile inclusief alle technische en organisatorische maatregelen.

Organisatorische Maatregelen

Visie op data privacy

Smile heeft een intrinsieke motivatie voor data privacy. Niet alleen omdat het een wettelijke vereiste is (of wordt), maar omdat we echt begaan zijn met de consequenties van dit urgente maatschappelijk probleem. We zien om ons heen wat er mis kan gaan als gevolg van datalekken. Hoe we nu omgaan met data privacy is bepalend voor hoe toekomstige generaties zich in deze wereld, digitaal én offline, kunnen bewegen. Vanuit deze intrinsieke motivatie wil Smile niet alleen het goede voorbeeld geven maar ook tools bieden om andere organisaties te helpen.

Bewustwording

Smile besteed veel aandacht aan de bewustwording van haar stakeholders. Via een uitgebreid awareness programma worden bestaande en nieuwe medewerkers opgeleid in het privacy bewust omgaan met persoonsgegevens. Contractueel zijn alle benodigde afspraken vastgelegd en worden via een regelmatige cyclus actueel gehouden. Ook zijn gedragscodes aanwezig, zoals bijvoorbeeld deze gedragscode voor leveranciers.

Continue verbetering

Smile gebruikt haar eigen software, de Privacy Suite, als motor achter het borgen van alle processen en activiteiten. Deze suite bevat een AVG-compliancy check waarin Smile exact bijhoudt wat de status is van haar AVG-compliancy. De suite bevat verder nog een verwerkingsregister waarin risico’s, maatregelen, processen, systemen en verwerkingen worden vastgelegd, (D)PIA’s worden gedaan, privacy incidenten zorgvuldig worden beheerd en privacy klachten en aanvragen persoonsgegevens worden verwerkt. Afwijkingen in al deze processen worden via workflowtaken met een eigenaar en deadline overzichtelijk bewaakt. Ook is er een verbeterregister aanwezig om projectmatig te werken aan een groep van gerelateerde afwijkingen.

Technische maatregelen

Algemeen

In aanvulling op de organisatorische maatregelen is uiteraard ook een flinke set van technische maatregelen van toepassing. Van strenge eisen aan wachtwoorden en de verplichting tot het gebruik van een wachtwoord-kluis tot het afdwingen van het gebruik van beveiligde verbindingen en van een streng online én fysiek toegangsbeleid tot pentests en beveiligingsonderzoeken door gecertificeerde ethical hackers: Smile stelt zichzelf tot doel op alle vlakken het goede voorbeeld te geven. Hieronder een kleine greep uit de technische maatregelen.                                                                                      

Toegangsbeleid

Het Smile Platform dat door Smile aan haar opdrachtgevers wordt geleverd, is een gestandaardiseerd personaliseerbaar software platform dat diverse leveringsvormen kent. Het platform wordt ofwel SaaS (als best practice applicatie ‘in de cloud’) ofwel Dedicated (als aanpasbare applicatie ‘in de cloud’ of ‘in house’) geleverd. In geval van in house levering ligt de verantwoordelijkheid bij de Afnemer/Verantwoordelijke.

Het beheer en onderhoud worden uitsluitend door daartoe geautoriseerde personen uitgevoerd. De toegang tot de software en de daarin opgeslagen persoonsgegevens met de handelingen die men uitvoert is ondergebracht in rechtengroepen en beheerrollen. Toegang tot informatie en het bewerken van informatie is beperkt tot hetgeen nodig is uit hoofde van de functie van de medewerker. Enkel gebruikers die zijn geautoriseerd hebben toegang tot de applicatie(s) van Afnemer/Verantwoordelijke.

Binnen de afspraken die daarvoor met Afnemer/Verantwoordelijke zijn gemaakt, kunnen medewerkers van Smile (die support verlenen) toegang krijgen tot de de applicatie van Afnemer/Verantwoordelijke om werkzaamheden te verrichten aan de configuratie of software t.b.v. changes of updates.

Opslag en back up in geval van levering ‘in de cloud’

De beveiliging van de door Smile geleverde software

Externe controles

Smile laat haar softwareplatform jaarlijks door gecertificeerde ethical hackers onderzoeken en neemt de bevindingen mee in de roadmap van productontwikkeling.

T.b.v. ISO27001 voert de certificerende instantie jaarlijks een externe audit uit.

Smile beschikt tevens over een actuele Cyber Security Verzekering met een ruime dekking. De verzekeraar heeft een uitgebreide toets gedaan op alle maatregelen die Smile heeft getroffen en is op basis van de positieve resultaten overgegaan tot acceptatie.