ALGEMEEN BELEID

Security & Privacy

Beveiliging van persoonsgegevens en bedrijfsgevoelige informatie kan sinds een aantal jaren rekenen op een toenemende aandacht van overheden en leveranciers. Het grote aantal meldingen van datalekken, de forse toename van slachtoffers van identiteitsfraude, de voortdurende dreiging van cyberaanvallen en de geslaagde gijzelingen met ransomware laten zien dat die aandacht terecht is.

Als leverancier van softwareproducten en diensten als verwerker heeft Centric in de afgelopen jaren maatregelen getroffen voor de beveiliging van gevoelige gegevens. Met deze maatregelen kunnen onze klanten, in combinatie met de maatregelen die intern moeten worden getroffen, voldoen aan de eisen die gesteld worden in wet- en regelgeving zoals de Algemene verordening gegevensbescherming (AVG), het normenkader ICT-beveiligingsassessment DigiD, de Baseline Informatiebeveiliging Overheid (BIO) en de Eenduidige Normatiek Single Information Audit (ENSIA).

Nieuwe wet- en regelgeving en ook nieuwe bedreigingen vereisen steeds weer aanvullende security maatregelen. De BIO met bijbehorende handreikingen en thema-uitwerkingen is een voorbeeld van nieuwe regelgeving. Het beveiligen van onze softwarediensten is daarom geen eenmalige actie, maar een belangrijk onderdeel van ontwikkeling, dienstverlening en beheer. Omdat Centric steeds meer als cloud service provider opereert, mogen onze klanten verwachten dat we proactief onze verantwoordelijkheid nemen om de data van onze klanten te beveiligen.

Hierna vindt u de beschrijving op welke wijze Centric invulling geeft aan het beleid voor informatiebeveiliging en de maatregelen die genomen zijn of worden om de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen voor onze producten en diensten.

 

Security

Centric beleid informatiebeveiliging

Centric heeft een informatiebeveiligingsbeleid opgesteld waarin de uitgangspunten en stuurmechanismen benoemd zijn voor een veilige verwerking van gegevens. Het beleid is uitgewerkt in concrete procedures en maatregelen.

 

Secure Software Development

De basis voor security ligt bij de ontwikkeling van veilige software. Centric gebruikt hiervoor de methode en normenkaders van Secure Software Development (SSD) van het Centrum Informatiebeveiliging en Privacybescherming (CIP). Wij passen daarbij de methode Grip op SSD toe, hierdoor hebben klanten inzicht in onze werkwijze voor het ontwikkelen van veilige software. De security requirements van SSD zijn opgenomen in de Centric Baseline voor secure software development en zijn voorwaarde bij de (door)ontwikkeling van onze software.

Security audits en pentesten

Centric heeft een eigen team van ethical hackers (het Red Team) dat structureel security audits en pentesten uitvoert op onze softwareproducten en -diensten. Bij het testen wordt onder andere gebruik gemaakt van de SSD-normenkaders, de Top 10 Application Security Risks van Open Web Application Security Project (OWASP) en de Nationaal Cyber Security Centrum (NCSC) ICT-Beveiligingsrichtlijnen voor Webapplicaties en mobiele applicaties. De bevindingen van deze pentests leiden tot aanpassingen binnen onze software. Gevonden kwetsbaarheden worden beoordeeld op impact en kans. Op basis van het risico wordt de prioriteit bepaald en worden de kwetsbaarheden verholpen.

 

DigiD-assessments

Logius vereist een jaarlijks ICT-beveiligingsassessment voor applicaties die DigiD gebruiken. Voor deze assessment heeft Logius een normenkader opgesteld. De toetsing moet worden uitgevoerd door een Register EDP-auditor. Voor de betreffende applicaties laat Centric jaarlijks een externe auditor een assessment uitvoeren voor het applicatiegedeelte en het hostingsgedeelte. De Third Party Mededeling (TPM) die we aan onze klanten ter beschikking stellen dekt hiervoor relevante normen af. Elke klant moet daarnaast een audit op het eigen securitybeleid laten uitvoeren. Onze TPM kan samen met het gedeelte van de klant bij Logius ter verificatie worden aangeboden.

 

ISO 27001 Certificering clouddiensten

Centric heeft voor de levering van (cloud)diensten een informatiebeveiligingsbeleid opgesteld en geïmplementeerd conform de beveiligingsnorm ISO 27001. De beheeractiviteiten die worden uitgevoerd voor clouddiensten zijn volgens deze norm gecertificeerd. Op basis van jaarlijkse risicobeoordelingen, audits, wijzigingen in wet- en regelgeving en business requirements scherpen we ons informatiebeveiligingsbeleid continu aan.

 

Privacy

Na het van kracht worden van de AVG in mei 2018 is meer duidelijkheid gekomen over de interpretatie en invulling van deze privacywet. Centric heeft in samenwerking met de Privacy Company een Centric Baseline Product Privacy opgesteld. Hierbij is gebruik gemaakt van het Privacy by Design Framework van de Privacy Company. Deze baseline is gebruikt om de bestaande applicaties te toetsen of voldaan wordt aan de AVG. Naar aanleiding van bevindingen hieruit zijn aanpassingen doorgevoerd. Ook bij nieuwe ontwikkelingen stellen we met behulp van deze baseline de privacy eisen vast.

De AVG stelt rechtmatigheid, behoorlijkheid en transparantie bij de verwerking van persoonsgegevens voorop. Gegevens mogen uitsluitend worden verwerkt in het kader van een gerechtvaardigd doel en dan ook alleen die gegevens die ook echt noodzakelijk zijn. Ook mogen gegevens niet langer bewaard blijven dan noodzakelijk. Tevens hebben rechthebbenden het recht om te weten welke gegevens er van hem/haar bekend zijn en welke verwerkingen er hebben plaatsgevonden.

Centric heeft onderzoek gedaan naar de gegevensverzameling in de verschillende toepassingen. Bij twijfel aan de rechtmatigheid van de opslag van bepaalde gegevens is met de betreffende gebruikersgroep besproken of er maatregelen nodig zijn. Het ging daarbij over het verwijderen van bepaalde gegevens of het beter kunnen autoriseren.

Om de vraag van betrokkenen te kunnen beantwoorden welke gegevens van hen verwerkt worden en welke verwerkingen er hebben plaatsgevonden is de Privacy Workspace ontwikkeld. Al onze applicaties schrijven bij elke verwerking enkele

gegevens weg naar een privacy-logging. Deze gegevens worden versleuteld opgeslagen zodat alleen de Functionaris Gegevensbescherming rapportages kan draaien en burgers inzage kan geven in de verwerkingen.

 

Verwerkersovereenkomst

De AVG schrijft voor dat bij verwerking van persoonsgegevens door een verwerker (in dit geval Centric) de afspraken en maatregelen om een veilige verwerking te garanderen worden vastgelegd in een verwerkersovereenkomst. Centric heeft

meegewerkt aan de standaard verwerkersovereenkomst van de Vereniging van Nederlandse Gemeenten (VNG) en gebruikt deze vanaf januari 2019. Daarnaast heeft Centric meegeholpen aan het opstellen van een Factsheet om te bepalen in welke gevallen Centric een Verwerker is (in de zin van de AVG) en dat daarom een verwerkersovereenkomst moet worden afgesloten.

 

Privacy statement

Centric heeft op haar site een privacyverklaring staan. Naast algemene zaken is hier informatie te vinden over specifieke verwerkingen die Centric voor haar klanten kan uitvoeren. Te denken valt aan het uitvoeren van conversies en het leveren van support.

 

Monitoring kwetsbaarheden en dreigingen

Voor het continu monitoren van nieuwe kwetsbaarheden en mogelijke dreigingen maakt Centric o.a. gebruik van de Dienst Kwetsbaarheid waarschuwingen van de Informatiebeveiligingsdienst (VNG/IBD). De IBD verzamelt informatie over aankomende of acute beveiligingsrisico’s in software en hardware. Aangesloten gemeenten worden door de IBD geïnformeerd als zich een risico bij hen voordoet.

Om optimaal gebruik te kunnen maken van de IBD diensten is het voor de gemeenten van belang dat zij over de gewenste informatie beschikken. De gemeente is daarbij voor een deel afhankelijk van Centric als leverancier van software en eventuele Cloud diensten (Hosting en SaaS). Met de IBD is de afspraak gemaakt dat Centric informatie geeft over de gebruikte softwarecomponenten, IP-adressen en URL’s. Het gaat hier om het publieke deel, dus de software en infrastructuur die vanaf het internet te benaderen of te gebruiken is. De afspraak met de IBD is dat de partijen elkaar zo snel mogelijk informeren over security- en privacy incidenten en kwetsbaarheden. Aan de hand van een risicoanalyse nemen we passende maatregelen in software en hardware om daarmee de risico’s te verminderen.