Iris Kwaliteit & Veiligheid

De kwaliteit van onze producten & dienstverlening en de veiligheid van jouw gegevens is voor ons van het grootste belang. Precies daarom conformeren we aan internationale normen, laten we ons platform regelmatig door externen toetsen en nemen we diverse voorzorgsmaatregelen.

Dit is belangrijk, want je wil er zeker van zijn dat de gegevens van jou en je collega’s veilig en goed beschermd zijn.

Hier lees je hoe we dit doen.

ISO-Certificeringen

ISO staat hierbij voor ‘International Organization for Standardization’. Dit is de organisatie die op veel gebieden internationale normen vaststelt. Iris intranet, en onze externe dienstverleners, voldoen aan de volgende ISO-normen:

ISO 9001

Dit is de wereldwijde norm voor kwaliteitsmanagement, gericht op het continu verbeteren van de organisatie.

ISO 27001

Dit is de internationale standaard voor informatiebeveiliging en stelt eisen aan de implementatie van beveiligingsmaatregelen in organisaties.

De bijbehorende Verklaring van Toepasselijkheid (VvT) is beschikbaar op aanvraag, stuur hiervoor een e-mail naar info@irisintranet.com.

Onze naleving van deze normen wordt regelmatig gecontroleerd door certificeringsinstantie Kiwa Nederland.

Aanvullend op de ISO 27001 voldoen we aan de BIO (Baseline Informatiebeveiliging Overheid). Dit is het normenkader voor informatiebeveiliging binnen alle lagen van de overheid. We toetsen dit door het uitvoeren van interne en externe audits.

Toegankelijk door toepassing WCAG-richtlijnen

Ons motto is: ‘Iedereen inclusief met Iris Intranet’. Hier zorgen we voor door te voldoen aan de eisen van de WCAG 2.1 AA-wetgeving. WCAG staat voor Web Content Accessibility Guidelines. Deze internationale leidraad bestaat uit een verzameling richtlijnen voor de toegankelijkheid van webcontent, gericht op mensen met een beperking.

Om aan deze richtlijnen te voldoen is zowel de voor- als achterkant van Iris Intranet zo opgebouwd dat alle elementen zo waarneembaar, bedienbaar, begrijpelijk en robuust mogelijk zijn. Onze opdrachtgevers hoeven enkel nog toegankelijke content te plaatsen, voor de rest hebben wij al gezorgd.

Privacy

Iris Intranet verwerkt enkel persoonsgegevens die noodzakelijk zijn voor het technisch en inhoudelijk laten functioneren van het platform. Daarnaast is het voor gebruikers mogelijk om op vrijwillige basis enkele extra persoonsgegevens op te slaan, zoals je verjaardag.

Ook werken wij volgens het ‘’privacy by default’’ principe: we verwerken standaard alléén persoonsgegevens die noodzakelijk zijn voor het bereiken van het specifieke doel. Samen met onze opdrachtgevers bepalen we welke informatie zichtbaar is en voor wie.

Wanneer een gebruiker uit dienst gaat, wordt het profiel en de bijdragen na verloop van tijd geanonimiseerd.

Cookies

Om optimaal te functioneren maakt Iris Intranet uitsluitend gebruik van functionele cookies. Er wordt in onze software geen gebruik gemaakt van cookies van derde partijen. Voor analytische doeleinden maken we gebruik van de privacy vriendelijke on-premise software van Matomo. En tenzij een opdrachtgever er expliciet om vraagt maken wij geen gebruik van b.v. Google Analytics.

Gegevensverwerking

Als je gebruik maakt van Iris Intranet verwerken wij een beperkte set aan persoonsgegevens. Om ervoor te zorgen dat deze persoonsgegevens goed beschermd zijn nemen we diverse technische en organisatorische maatregelen. Deze leggen we vast in een verwerkersovereenkomst.

Als uitgangspunt werken wij hierbij met de modelovereenkomst van de Informatie Beveiligingsdienst van de overheid. Zij hebben voor dit doel een compact, werkbaar en juridisch sluitend model opgeleverd.

Daarnaast hebben wij natuurlijk ook verwerkersovereenkomsten afgesloten met de ICT-dienstverleners die in onze opdracht gegevens verwerken.

Verantwoordelijkheden bij gegevensverwerking

Zoals beschreven in de Algemene Verordering Gegevensbescherming (AVG) zijn de verantwoordelijkheden van de gegevensverwerking als volgt:

  • De opdrachtgever vervult de rol van Verwerkingsverantwoordelijke;
  • triptic is de Verwerker;
  • In onze opdracht werkende ICT-dienstverleners zijn Subverwerker.

Hosting

Voor de uitvoering van onze dienstverlening maken wij gebruik van een hostingprovider. Jouw Iris Intranet wordt gehost op een voor jou gereserveerd servicecluster in een Nederlands datacenter. De gegevens en back-ups worden uitsluitend in Nederland opgeslagen en verwerkt, we maken geen gebruik van servers buiten de EU.

Het datacenter dat we gebruiken voldoet aan internationale normen en heeft de volgende certificeringen:

  • TIER 3 classificatie
    Dit betekent dat er altijd ongestoord onderhoud verricht kan worden, elk onderdeel dat nodig is om de IT-omgeving te ondersteunen kan worden afgesloten zonder impact op de bedrijfsprocessen;
  • Borgklasse 3
    Dit betekent dat het pand optimaal is beveiligd tegen ongeautoriseerde toegang;
  • ISO 27001 certificering
    Dit betekent dat de hosting partij voldoet aan internationale normen op het gebied van informatiebeveiliging.

We houden het verkeer van en naar de hostingprovider goed is de gaten. Dit doen we door beveiligingsmaatregelen te hanteren, zoals firewalls, virusscanners en applicatie prestatie bewaking. Zo wordt het netwerk voortdurend gemonitord en kunnen we potentiële dreigingen en kwetsbaarheden snel mitigeren.

Kwaliteitsborging Iris Intranet

Om onze kwaliteit te waarborgen laten we ons volgens de ISO 9001 en ISO 27001 normen certificeren. Daarnaast nemen we nemen ook andere voorzorgsmaatregelen:

  • Regelmatige gray- of white-box penetratietests, onder meer uitgevoerd door een gerenommeerde cybersecurity dienstverlener;
  • Periodieke code reviews door een gerenommeerde cybersecurity dienstverlener;
  • Bij de doorontwikkeling van Iris Intranet conformeren we ons onder meer aan de beveiligingsrichtlijnen en adviezen van de NCSC en de OWASP top 10.
  • Doorlopende security awarenss trainingen voor al onze medewerkers.

Aan eventueel gesignaleerde kwetsbaarheden geven we direct opvolging.

Melden van incidenten of zwakke plekken

Ondanks alle voorzorgsmaatregelen kan het voorkomen dat er een (beveiligings)incident plaatsvindt of dat je een zwakke plek ontdekt. Indien je dit constateert, vragen we je dit zo snel mogelijk aan ons te melden volgens de procedure zoals vermeld in ons Responsible Disclosure Statement. We nemen alle meldingen zo spoedig mogelijk in behandeling. Dit doen we samen met onze ontwikkelaars, security officer en privacy officer.

Beschikbaarheid platform

De beschikbaarheid van het platform is vastgelegd in de SLA. Mocht de beschikbaarheid van Iris Intranet onder deze norm komen voeren we verbeteringen door zodat we dit weer kunnen garanderen.

Veilige toegang, inlog en verbinding

Om de toegang, inlog en verbinding zo veilig mogelijk te maken nemen we de volgende maatregelen:

  • In situaties waar geen gebruik wordt gemaakt van SAML/LDAP authenticatie worden wachtwoorden encrypted opgeslagen;
  • Iris Intranet dwingt een hoge mate van password security af, passend bij de rechten van een gebruiker;
  • Om inloggen zo veilig mogelijk te maken is het mogelijk om Iris Intranet te voorzien van twee factor authenticatie (2FA). Dit zorgt voor een extra niveau van beveiliging. Naast het invoeren van een gebruikersnaam en wachtwoord is er nog een authenticatie vereist, zoals een code via een Authenticator app of via een SMS;
  • Mogelijkheden voor site-to-site VPN-tunnel, bijvoorbeeld in on-premise hosting omgevingen;
  • Het is mogelijk om de toegang tot Iris Intranet te beperken tot specifieke IP-adressen. De gebruiker kan dan alleen inloggen als ze vanaf een van deze IP-adressen werken;
  • We maken in alle gevallen gebruik van SSL-certificaten. Dit zorgt voor een veilige verbinding: alle informatie wordt versleuteld verzonden. Zo kunnen je gegevens niet onderschept worden.

Veiligheid bij triptic

Zoals je inmiddels begrepen hebt staan veiligheid en kwaliteit hoog in het vaandel bij triptic, de makers van Iris Intranet. We nemen alle mogelijke voorzorgsmaatregelen om de veiligheid van gegevens en jouw privacy te beschermen. Hier maken de medewerkers ook deel van uit. Daarom verlangen we van al onze collega’s een recente Verklaring Omtrent Gedrag (VOG).

Ook verzorgen we intern trainingen om bewustzijn te creëren over het veilig omgaan met persoonsgegevens en om te werken volgens procedures met Security en Privacy by design als basis.

Wil je meer weten?

Laat het ons weten als je nog vragen of opmerkingen hebt. Dat kan via ons contactformulier. Je mag ons natuurlijk ook altijd bellen op 040 246 30 40.