Informatiebeveiliging volgens ISO 27001

Q: Hoe helpt EasyData's ISO 27001 aanpak bij AVG-compliance?

ISO 27001 en de AVG overlappen op vele punten: risicoanalyses, documentatie, incidentmanagement en audits. EasyData's ISMS omvat procedures voor privacy by design, dataminimalisatie, toegangscontrole en dataportabiliteit.

Q: Wat zijn de voordelen van Europese datasoevereiniteit voor informatiebeveiliging?

Europese datasoevereiniteit biedt bescherming tegen buitenlandse surveillancewetten, verkort juridische afhandelingstermijnen en garandeert dat Europese privacyautoriteiten directe bevoegdheid hebben over de dataverwerking.

Q: Hoe vaak worden beveiligingsaudits uitgevoerd bij EasyData?

EasyData voert kwartaallijks interne beveiligingsaudits uit, jaarlijkse management reviews en maandelijkse vulnerability scans voor hoog-risico systemen.

Q: Wat gebeurt er bij een beveiligingsincident bij EasyData?

EasyData heeft een incident response plan volgens ISO 27001. Bij een incident wordt het response team geactiveerd, de impact geanalyseerd en worden klanten binnen 24 uur geinformeerd. Bij datalekken volgen we de AVG-meldplicht richting de Autoriteit Persoonsgegevens.

Q: Hoe kan ik als klant controleren of EasyData's beveiligingsmaatregelen voldoende zijn?

EasyData biedt klanten toegang tot ISMS-documentatie, security attestation rapporten en faciliteert klant-audits op afspraak. We kunnen security questionnaires invullen en deelnemen aan third-party assessments.

Rob Camerlink

Onze aanpak voor informatiebeveiliging

Bij EasyData nemen we de beveiliging van je gegevens bijzonder serieus. Met meer dan 25 jaar ervaring in documentverwerking en AI-oplossingen hebben we een grondige kennis opgebouwd van wat nodig is om gevoelige informatie te beschermen. Onze organisatie werkt volgens de internationale ISO 27001-normen voor informatiebeveiligingsmanagement, waarmee we ervoor zorgen dat jouw data altijd veilig, integer en beschikbaar blijft.

We kiezen bewust voor een pragmatische aanpak door te werken volgens ISO 27001-normen. Deze werkwijze houdt de kosten voor onze klanten beheersbaar, omdat certificeringstrajecten vaak aanzienlijke extra kosten met zich meebrengen zonder dat de daadwerkelijke beveiliging verbetert. Door te werken volgens de normen implementeren we exact dezelfde professionele beveiligingsmaatregelen, procedures en documentatie die de standaard voorschrijft. Lees meer over onze compliance-aanpak.

Wat betekent werken volgens ISO 27001?

ISO 27001 is de internationale standaard voor Information Security Management Systems (ISMS). Deze norm biedt een systematische aanpak voor het beheren van informatiebeveiliging binnen organisaties. Door onze bedrijfsprocessen af te stemmen op deze standaard, waarborgen we dat alle aspecten van informatiebeveiliging, van technische maatregelen tot personeelsbeleid, op een gestructureerde en betrouwbare manier worden georganiseerd.

Werken volgens ISO 27001 betekent dat EasyData een volledig gedocumenteerd beveiligingsbeleid hanteert, regelmatig risicoanalyses uitvoert op alle informatiesystemen, en duidelijke procedures heeft voor het identificeren en behandelen van beveiligingsrisico’s. We passen continue monitoring en verbetering van beveiligingsmaatregelen toe en voeren interne audits uit om de effectiviteit van ons systeem te waarborgen. Dit sluit aan op de eisen die de NIS2-richtlijn stelt aan organisaties. Meer weten over hoe we beveiliging en datasoevereiniteit combineren? Of hoe we scan- en herkensoftware inzetten met ingebouwde beveiligingslagen?

ISO 27001 informatiebeveiligingsmanagement bij EasyData

Ons Quality Management System (QMS)

EasyData beschikt over een volledig uitgewerkt Quality Management System dat is afgestemd op de eisen van ISO 27001:2022. Dit QMS vormt de ruggengraat van onze informatiebeveiliging en omvat alle benodigde beleidsdocumenten, procedures en controles die de norm voorschrijft.

Ons QMS is niet slechts een verzameling documenten; het is een levend systeem dat dagelijks wordt toegepast in alle aspecten van ons werk. Van de manier waarop we met klantgegevens omgaan tot de beveiliging van onze ontwikkelomgevingen: alles is vastgelegd in procedures die voldoen aan internationale best practices. De DPIA-procedures zijn hier een belangrijk onderdeel van.

Risicobeheersing en continue verbetering

Een kernprincipe van ISO 27001 is risicogebaseerd werken. Bij EasyData voeren we systematisch risicoanalyses uit in vier stappen:

Identificeren

We brengen alle bedreigingen en kwetsbaarheden in kaart die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

Onze risicoanalyse omvat IT-systemen, fysieke locaties en menselijke factoren. Start met een AVG quickscan

Evalueren

We beoordelen de waarschijnlijkheid en impact van elk geidentificeerd risico op basis van objectieve criteria.

Risicobeoordeling volgens de Annex A-controls van ISO 27001:2022 met kwantitatieve en kwalitatieve methoden.

Behandelen

Voor elk significant risico implementeren we passende beheersmaatregelen, gebaseerd op de Annex A-controls uit de ISO 27001-norm.

Maatregelen variëren van TLS 1.3 encryptie tot CIS hardening van systemen.

Monitoren

We controleren continu of de geimplementeerde maatregelen effectief blijven en passen deze aan wanneer nodig.

Kwartaallijkse interne audits en maandelijkse vulnerability scans. Bekijk onze beveiligingsscore

Deze cyclus van continue verbetering zorgt ervoor dat onze beveiligingsmaatregelen altijd actueel blijven en inspelen op nieuwe dreigingen en ontwikkelingen.

Pijlers van onze informatiebeveiliging

Toegangscontrole

We hanteren strikte toegangscontroles waarbij medewerkers alleen toegang krijgen tot de informatie die noodzakelijk is voor hun functie. Dit principe van “least privilege” beperkt het risico op ongeautoriseerde toegang tot gevoelige gegevens. Alle toegang wordt gelogd en regelmatig gecontroleerd.

Encryptie en databeveiliging

Gevoelige gegevens worden zowel tijdens transport als in opslag versleuteld met moderne cryptografische methoden. We gebruiken TLS 1.3 encryptie en industry-standard encryptieprotocollen die voldoen aan de nieuwste beveiligingsstandaarden. Onze systemen ondergaan regelmatig CIS hardening.

Fysieke beveiliging

Onze kantoren in Apeldoorn en Yerevan zijn uitgerust met adequate fysieke beveiligingsmaatregelen. Toegang tot kantoorruimten en serverlocaties is beperkt en wordt gecontroleerd. Alle data wordt verwerkt in Europese datacenters.

Incidentmanagement

We beschikken over gedocumenteerde procedures voor het detecteren, rapporteren en afhandelen van beveiligingsincidenten. Ons incidentresponsteam kan snel schakelen bij verdachte activiteiten of daadwerkelijke beveiligingsincidenten.

Back-up en continuiteit

Regelmatige back-ups en een gedocumenteerd business continuity plan zorgen ervoor dat de beschikbaarheid van systemen en gegevens gewaarborgd blijft, ook bij calamiteiten. Dit geldt voor zowel onze cloudservices als on-premise omgevingen. Voor veilige documentopslag bieden we ook Nextcloud-oplossingen aan. Wil je onze beveiligingsaanpak in de praktijk ervaren? Start met een proof of concept.

Personeel en bewustwording

Informatiebeveiliging staat of valt met betrokken en geinformeerd personeel. Alle EasyData-medewerkers ontvangen training over informatiebeveiliging en worden op de hoogte gehouden van actuele dreigingen en best practices. We hebben duidelijke afspraken vastgelegd over de omgang met vertrouwelijke informatie, het gebruik van bedrijfsmiddelen, wachtwoordbeleid en authenticatie, het melden van beveiligingsincidenten, en een clean desk en clear screen policy.

Nieuwe medewerkers doorlopen een uitgebreid inwerkprogramma waarin informatiebeveiliging een belangrijk onderdeel vormt. Jaarlijks wordt het beveiligingsbewustzijn opgefrist met trainingen en awareness-campagnes. Dit geldt voor alle teams, zowel op ons kantoor in Apeldoorn als bij onze documentautomatisering-specialisten.

Compliance en wet- en regelgeving

Door te werken volgens ISO 27001-normen voldoen we ook aan een breed scala aan wet- en regelgeving op het gebied van informatiebeveiliging en privacy, waaronder de AVG (Algemene Verordening Gegevensbescherming), richtlijnen voor netwerk- en informatiebeveiliging (NIS2), wettelijke vereisten voor overheidsopdrachtgevers, en contractuele beveiligingseisen van klanten.

Deze compliance is geen eenmalige inspanning, maar een continu proces waarbij we wet- en regelgeving actief monitoren en onze procedures hierop aanpassen. Lees meer over onze visie op datasoevereiniteit, digitale soevereiniteit en digitale onafhankelijkheid. Voor het verwerken van persoonsgegevens bieden we ook anonimiseringsoplossingen aan.

Transparantie richting klanten

Voor onze klanten betekent onze aanpak volgens ISO 27001-normen:

Vertrouwen

Je kunt erop vertrouwen dat jouw gegevens worden behandeld volgens internationale best practices voor informatiebeveiliging.

Bekijk hoe we klantdata veilig houden met gedocumenteerde procedures.

Transparantie

We kunnen je inzicht geven in onze beveiligingsmaatregelen en procedures, zodat je weet hoe we jouw informatie beschermen.

Lees onze privacyverklaring of vraag toegang tot onze ISMS-documentatie.

Compliance

Onze werkwijze helpt je om te voldoen aan jouw eigen complianceverplichtingen, bijvoorbeeld voor AVG of sectorspecifieke regelgeving.

Start met een AVG quickscan om je compliance-status te bepalen.

Continuiteit

Door onze gestructureerde aanpak van risicomanagement minimaliseren we de kans op beveiligingsincidenten die jouw bedrijfsvoering kunnen verstoren.

Bekijk onze projecten en hoe we beveiliging in elk traject borgen.

Interesse in onze beveiligingsaanpak?

Benieuwd hoe wij ISO 27001-normen hebben geimplementeerd? Plan een gesprek en we delen onze ervaringen, afwegingen en de praktische aanpak die wij hebben gekozen.

Wat je mag verwachten

✓

25+ jaar ervaring Informatiebeveiliging sinds 1999

✓

Europese datasoevereiniteit Servers in Europa, volledige AVG-compliance

✓

Geen vendor lock-in Open standaarden en volledige data-eigendom

✓

ISO 27001 normering Werken volgens internationale best practices

✓

Transparante aanpak Inzicht in alle beveiligingsmaatregelen

✓

Europese compliance AVG-ready met Europese datacenterlocatie

Veelgestelde vragen

Wat is het verschil tussen ISO 27001 certificering en werken volgens ISO 27001-normen?

ISO 27001 certificering is een formele erkenning door een externe certificatie-instelling dat je organisatie volledig voldoet aan de norm. Werken volgens ISO 27001-normen betekent dat je alle procedures, processen en beheersmaatregelen hebt geimplementeerd die de norm voorschrijft, maar (nog) niet formeel geaudit bent. Bij EasyData kiezen we bewust voor deze aanpak om kosten beheersbaar te houden. Lees meer over onze compliance-aanpak.

Hoe helpt EasyData’s ISO 27001 aanpak bij AVG-compliance?

ISO 27001 en de AVG overlappen op vele punten. Beide vereisen risicoanalyses, documentatie van beveiligingsmaatregelen, incidentmanagement en regelmatige audits. Ons ISMS omvat specifieke procedures voor privacy by design, dataminimalisatie, toegangscontrole en dataportabiliteit. Een AVG quickscan is een goede eerste stap om je compliance-status te bepalen.

Wat zijn de voordelen van Europese datasoevereiniteit?

Europese datasoevereiniteit betekent dat al je gegevens binnen Europese grenzen blijven en onderworpen zijn aan Europese wetgeving. Dit biedt bescherming tegen buitenlandse surveillancewetten, verkort juridische afhandelingstermijnen en garandeert dat privacyautoriteiten directe bevoegdheid hebben. Bij EasyData draaien alle systemen in Europese datacenters.

Hoe vaak worden beveiligingsaudits uitgevoerd?

EasyData voert kwartaallijks interne beveiligingsaudits uit om de effectiviteit van onze ISMS-procedures te controleren. Daarnaast doen we jaarlijkse management reviews en maandelijkse vulnerability scans voor hoog-risicosystemen. Deze systematische aanpak zorgt ervoor dat onze beveiligingsmaatregelen altijd actueel blijven.

Wat gebeurt er bij een beveiligingsincident?

EasyData heeft een uitgebreid incident response plan. Bij een beveiligingsincident wordt direct ons response team geactiveerd, de scope en impact geanalyseerd, en worden containment maatregelen genomen. Klanten worden binnen 24 uur geinformeerd indien hun data betrokken is. Bij datalekken volgen we de AVG-meldplicht en informeren we de Autoriteit Persoonsgegevens. Lees meer over onze DPIA-aanpak.

Hoe kan ik als klant de beveiligingsmaatregelen controleren?

Transparantie is een kernprincipe bij EasyData. We bieden klanten toegang tot onze ISMS-documentatie, kunnen security attestation rapporten verstrekken, en faciliteren klant-audits op afspraak. Bekijk ook onze pagina over dataveiligheid of neem contact op voor een persoonlijke toelichting.