De veiligheid en privacy van uw gegevens is voor ActivaSZ hoge prioriteit. We geven u graag een overzicht van de maatregelen die we daarvoor treffen op het gebied van privacy, security en certificering.

Beveiligingsmaatregelen

Privacy

Algemene Verordening Gegevensbescherming

Om de privacy van uw data te waarborgen en uw persoonsgegevens te beschermen hanteert ActivaSZ verschillende maatregelen. De Algemene Verordening Gegevensbescherming (AVG) vormt de basis voor ons informatiebeveiligingsbeleid. Daarbij voldoet ActivaSZ aan de Nederlandse en Europese privacywetgeving en richtlijnen met betrekking tot de verwerking van persoonsgegevens.

De AVG heeft ActivaSZ aangesteld als ‘verwerkingsverantwoordelijke’. Hieruit volgt dat ActivaSZ in de uitvoering van de dienstverlening daadwerkelijk en zelfstandig beslissingen neemt over de verwerking van persoonsgegevens en daarmee feitelijk bepaalt wat er met die persoonsgegevens gebeurt. Met andere woorden: ActivaSZ bepaalt het doel en (de wezenlijke aspecten van) de middelen van de verwerkingen. De AVG stelt maatregelen voor ActivaSZ als verwerkingsverantwoordelijke. Dit betreft de volgende maatregelen:

 • ActivaSZ en haar leveranciers houden zich te allen tijde aan de wet;
 • ActivaSZ treft voldoende maatregelen ten behoeve van haar technische en organisatorische beveiliging;
 • ActivaSZ heeft een functionaris gegevensbescherming aangesteld die dient als interne toezichthouder en adviseur;
 • ActivaSZ zorgt ervoor dat uw gegevens vertrouwelijk worden behandeld;
 • ActivaSZ meldt een datalek bij het AP na constatering. ActivaSZ heeft een meldpunt voor het melden van datalekken. Constateert u een datalek? Meld dit dan direct bij privacy@activasz.nl;
 • ActivaSZ hanteert bij het ontwikkelen van haar software het ‘privacy by design’ en ‘privacy by default’ principe;
 • ActivaSZ maakt verwerkersafspraken met de verwerkingsverantwoordelijken en subverwerkers;
 • ActivaSZ heeft een privacy impact assessment opgesteld die elk kwartaal wordt herzien.
 • Alle bovenstaande punten zijn getoetst conform ISO27001 en ISO9001 normenkader.

Security

Data - verwerking

Wij gebruiken uw herleidbare klantgegevens niet voor andere doeleinden dan de uitvoering van onze dienstverlening. Bij de uitvoering van onze werkzaamheden hebben wij te maken met verschillende soorten persoonsgegevens. De soorten persoonsgegevens die wij van u verwerken variëren. Dit is afhankelijk van de dienstverlening die u bij ActivaSZ afneemt én afhankelijk van uw verwerkersovereenkomst met ActivaSZ. In de verwerkersovereenkomst zijn om deze redenen verschillende soorten persoonsgegevens opgenomen. Indien u uw verwerkersovereenkomst met ActivaSZ beëindigd, is ActivaSZ niet in staat uw gegevens te verwijderen ten gevolge van de wettelijke bewaarplicht. Alle gegevens worden binnen Klout7 opgeslagen conform de ISO27001 en ISO9001 standaarden. De maatregelen die hieraan gekoppeld zijn, zijn conform de richtlijnen van Beveiliging van Persoonsgegevens van de Nederlandse Autoriteit Persoonsgegevens.

Data - beveiliging (encriptie)

De data in Klout7 kan worden onderverdeeld in twee categorieën:

 • Fysieke bestanden (bijvoorbeeld Word documenten)
 • Data opgeslagen in een database.

Om deze data in Klout7 te beveiligen hebben we een zes stappenplan opgesteld:

 1. Real-time I/O encryption and decryption of the data and log files (TDE)
 2. Encrypting Connections to SQL Server (SSL, settings, IPSec)
 3. Encrypt/decrypt files stored on the file system
 4. Change file names and extensions on disk
 5. Windows security (file system user rights)
 6. Encrypt a Column of Data

Wat betekent dit?

 1. Hierbij wordt de volledige database gecodeerd volgens Transparant Data Encryption.
 2. In deze stap beveiligen wij de verbinding tussen de database en de applicatie met extra beveiliging zoals specifieke certificaten en IP-beveiliging.
 3. Fysieke bestanden worden opgeslagen en gecodeerd zodat deze zonder sleutel niet bruikbaar zijn.
 4. De namen van de bestanden worden gecodeerd met een sleutel om herkenning te voorkomen.
 5. Op bestandsniveau wordt als extra maatregel binnen de serveromgeving specifieke rechten ingesteld.
 6. Er wordt symmetric encryption (AES/DES/SSL) gehanteerd om te voorkomen dat een database administrator (onderhoud) die toegang heeft tot de database alle gegevens kan inzien. De database is dus wel bereikbaar voor onderhoud, maar administrators kunnen de data niet inzien.

Data - wijzigingsbeheer

ActivaSZ documenteert de wijzigingsbeheerprocedure voor (database-) wijzigingen. De procedure omvat de volgende onderdelen:

 • Alle databasewijzigingen worden vastgelegd, worden voorzien van een versienummer en zijn herleidbaar naar individuele personen;
 • Alle handelingen die mensen verrichten in het systeem worden gelogd;
 • Ontwikkelingen in de automatisering verlopen altijd via OTAP;
 • Proceswijzigingen of ontwikkelverzoeken gaan altijd via het ISMS (information security management systeem);
 • De testomgeving is volledig geanonimiseerd.

Data - datacenter

ActivaSZ neemt virtualisatie platform resources en virtual private servers af voor haar dienstverlening. Housing geschiedt in de geconditioneerde Private Suite bij Telecity III of Level (3) te Amsterdam. Het primaire datacenter (TeleCity III) in Amsterdam is daarnaast ISO 27001:2013 gecertificeerd. Het datacenter hanteert een streng beveilingsbeleid.

Klout7 - toegang

U heeft enkel toegang tot uw gegevens in Klout7 met een geldige gebruikersnaam en wachtwoord. Het wachtwoord van systeemgebruikers moet aan verschillende specificaties voldoen. Klout7 maakt daarnaast gebruik van cryptografische maatregelen: tweezijdige authenticatie, versleuteling en encryptie via een beveiligde SSL verbinding. Hiermee wordt geheime en gevoelige informatie beschermd en versleuteld. De beveiliging van uw data wordt actief gemonitord. De autorisaties van gebruikers zijn zodanig ingesteld dat personen die bepaalde (medische) gegevens niet mogen verwerken, deze gegevens ook niet kunnen inzien.

Klout7 - virussen

Klout7 wordt beschermd door malware en door het gebruik van virusprotectie zorgt ActivaSZ ervoor dat haar gebruikers niet besmet worden met virussen. Voor de bescherming van uw eigen gegevens vertrouwen wij erop dat uw systemen in bezit zijn van virusdetectie en malware-protectie.

Klout7 - meldingen kwetsbaarheden

ActivaSZ neemt de beveiliging van Klout7 zeer serieus. De veiligheid van het systeem wordt dan ook actief bewaakt. Als u desondanks kwetsbaarheden ontdekt binnen Klout7, neemt u dan direct contact met ons op via privacy@activasz.nl. Kwetsbaarheden gemeld via dit mailadres worden direct in behandeling genomen.

Subverwerkers

Per kwartaal wordt een leveranciersselectie uitgevoerd op gebied van de AVG en alle leveranciers die persoonsgegevens verwerken worden in detail beoordeeld door middel van een risicoanalyse op beschikbaarheid, vertrouwelijkheid en integriteit. Tevens is met alle leveranciers een subverwerkersovereenkomst afgesloten.

Certificering en toetsing

ISO27001 en ISO9001 certificaat

ActivaSZ heeft haar informatiebeveiligingsmanagementsystemen onlangs gecertificeerd conform de internationale ISO normen voor kwaliteit en waarborging. Hiermee wordt aangetoond dat ActivaSZ voldoet aan ISO27001 en ISO9001 en streeft naar voortdurende verbetering.

Penetratietest

Klout7 wordt jaarlijks, of incidenteel na grote wijzigingen binnen het systeem, getest op kwetsbaarheden. Deze test wordt uitgevoerd door een onafhankelijke externe partij. De penetratietest wordt uitgevoerd volgens de black box en de grey box methode.

 • Bij de black box methode worden de webportalen en de infrastructuur getest door ethische hackers op basis van minimale informatie en zonder vooraf bekend gemaakte inloggegevens. De kwetsbaarhedenscans worden op twee niveaus uitgevoerd: op webserver- en webapplicatieniveau.
 • Bij de grey box methode beschikken ethische hackers over testcredentials, zoals bijvoorbeeld gebruikersnamen en wachtwoorden. Hiermee wordt onder andere onderzocht of autorisaties binnen de applicaties correct gewaarborgd zijn. Met grey box testen wordt meer nadruk gelegd op de werking van de functionele beveiligingsmaatregelen.

Mogelijke verbeterpunten die uit de penetratietest komen nemen wij serieus en worden opgelost

Continuïteit

Om alle data binnen Klout7 veilig te stellen, worden er dagelijks meerdere back-ups van het systeem gemaakt. Alle back-ups zijn bedoeld om gegevens terug te kunnen halen in het geval van een calamiteit. Indien er een dergelijke calamiteit voorvalt, wordt de meest recente back-up gebruikt om het systeem weer te herstellen.

Borging

ActivaSZ beschikt over gedragsregels waarbij de focus wordt gelegd op vertrouwelijkheid, integriteit en beschikbaarheid van informatie zodat deze zo goed mogelijk worden beschermd. Elke medewerker dient deze gedragsregels voor akkoord te ondertekenen. In het kader van ISO9001 en ISO27001 worden er jaarlijks bewustwordingsessies georganiseerd ten aanzien van informatiebeveiliging en de AVG. Deze bewustwordingsessies zijn verplicht voor alle medewerkers. De beleidsregels die op 21 april 2016 zijn gepubliceerd door de Autoriteit Persoonsgegevens inzake “de zieke werknemer” worden strikt in acht genomen door de medewerkers van ActivaSZ.