Visma Verzuim / Privacy & Security
Privacy & Security

Jouw gegevens goed beschermd: security

Al je (privacygevoelige) gegevens zijn bij Visma Verzuim veilig. Security heeft bij ons namelijk de hoogste prioriteit. Hiervoor houden we ons aan zeer strenge eisen. Dat moet ook wel, als groot bedrijf met meerdere applicaties, diensten en types klanten – van kleine en grote bedrijven tot gemeenten, en van sanitair tot bankwezen.

 

Informatiebeveiliging en privacy doen we als medewerkers bovendien samen! Check hieronder hoe we dit waarmaken.

 

Bewust van veilige gegevens: overal & altijd

Gegevens af en toe beveiligen of controleren? Dat is natuurlijk een no go. Wij beveiligen en controleren hierop doorlopend; elk uur van de dag, elke dag van de week. Gegevens zijn zo veilig als de zwakste schakel. Dus zorgen we ervoor dat de bescherming in het dna van ons héle bedrijf zit. Omdat jij dat als klant verwacht. Omdat de wet dat van ons vraagt. En vooral omdat we je vertrouwen willen waarmaken in ons en in de manier waarop we je data verwerken.

 

Zo beveiligen we jouw en onze gegevens

  1. Doorlopend verbeteren van het information security management systeem (ISMS)
  2. Werken volgens privacywet (AVG-certificaat)
  3. Beveiligingsprogramma
  4. Audit voor onze beschermingsaanpak en effectiviteit
  5. Information Security & Privacy Officer en Security Engineer
  6. Bewustwordingstrainingen

Hieronder zie je deze punten uitgelicht.

 

1. Doorlopend verbeteren via ISMS

De basis van onze informatiebeveiliging is ons gedegen information security management
systeem, kortweg ISMS. Het ISMS van Visma Verzuim heeft als doel om (vertrouwelijke)
informatie continu te beschermen. Dit houdt in dat wij onze informatiebeveiliging continu
monitoren, evalueren en verbeteren waar mogelijk. Het bestaan en de werking van het ISMS komt tot uiting in het ISO-certificaat 27001, dé industriestandaard voor informatiebeveiliging, ons NEN 7510 certificaat en onze ISAE 3000 type II assurance verklaring.

Download hier het ISO 27001 certificaat en Statement of Applicability.

 

Download hier het NEN 7510 certificaat en Statement of Applicability

 

2. Werken volgens privacywet: AVG-certificaat

Visma Verzuim werkt volgens de regels van de privacywet en beschikken over een AVG-certificaat. Onafhankelijke auditpartij Kiwa beoordeelt Visma Verzuim hier jaarlijks op. Daarnaast zijn ook de belangrijkste privacy-aspecten onderdeel van onze ISAE 3000 type II assurance verklaring.

Download hier het AVG-certificaat.

 

3. Krachtig beveiligingsprogramma

Speciaal voor de brede klantenkring en het brede dienstenaanbod hebben we een uitgebreid beveiligingsprogramma ontwikkeld: Visma Application Security Program, afgekort VASP. Wat de basis is van deze applicatiebeveiliging? Een zeer geavanceerd securityprogramma waarbij cybersecurityteams continu de veiligheid van Visma-applicaties monitoren. Denk hierbij aan vulnerability scanning, penetratietesten en cyber threat intelligence service.

 

Het programma is op maat ontwikkeld en toegepast op onze applicatie.

 

Doel: hele levenscyclus veilig

Het programma zorgt ervoor dat we onze diensten op een veilige en compliant manier beheren, ontwikkelen en exploiteren wat betreft applicatiebeveiliging, gegevensbescherming en privacy. Dat geldt voor de hele levenscyclus van onze diensten. En zowel voor onze gegevens intern als voor de gegevens van jou als klant.

 

Ons securityprogramma bestaat uit de volgende veiligheidsmaatregelen

Om je gegevens en onze applicaties veilig te houden, trekken we alles uit de kast. In VASP zit daarom onder meer:

  • Een jaarlijkse security-assessment met een beoordeling door een onafhankelijke security-expert.
  • Een jaarlijkse privacy-assessment met een beoordeling door een onafhankelijke privacy-expert.
  • Een test op kwetsbaarheden: geautomatiseerd statisch en dynamisch
  • Ethische hacks via handmatige aanvallen (pentesten)
  • Kennis om cyberdreigingen te detecteren en op te acteren (cyber threat intelligence)
  • Testen op kwetsbaarheden in software van derden die in onze applicatie gebruikt wordt (third-party vulnerability scans)
  • Het management rondom security logging om bedreigingen te detecteren en te onderzoeken (Security Log Management)

Zie ook Visma Application Security Programma.

 

4. Audit voor effect van onze beveiligingsaanpak

Wat is het effect van onze security en privacy-aanpak, ons risicomanagement en daarmee ons ISMS? Dat laten we minimaal twee keer per jaar toetsen door LRQA en Hoek & Blok IT via onafhankelijke audits. We slagen hiervoor steevast.

 

5. Information Security & Privacy Officer en Security Engineer

Vanuit het Visma Application Security Programma (VASP) zijn er security teams toegewezen om onze applicaties veilig te houden. Zij staan in nauw contact met de Visma Verzuim Information Security & Privacy Officer en Security Engineer. Dreigt er iets mis te gaan? Dan weten zij dat direct en handelen zij direct, precies volgens de wet, contractuele afspraken en volgens de interne afspraken en procedures.

 

Elke 6 weken houdt de functionaris bovendien een overleg: de information security & privacy committee meeting. Hier nemen alle stakeholders die betrokken zijn bij dit onderwerp aan deel:

  • Algemeen directeur
  • Operationeel directeur
  • Verantwoordelijke R&D
  • Verantwoordelijke Strategie
  • Verantwoordelijke Integratie

 

6. Bewustwording: training & opleiding

Al onze medewerkers zijn verplicht om deel te nemen aan het Security Awareness Programma. Hierin zit onder meer:

  • Verplichte onboarding van security en privacy voor nieuwe werknemers en contractors, kort na de indiensttreding
  • 3 verplichte awarenesstrainingen: privacy, security en anti-corruption – elk jaar op herhaling
  • Jaarlijkse training veilig coderen voor alle ontwikkelaars
  • Doorlopende aandacht voor onder andere beveiliging in e-mails, blogberichten en tijdens interne evenementen

Je ziet het: zo doen we er alles aan om jouw en onze gegevens veilig te houden. Wel zo’n prettig idee.

 

Privacy

De Visma Group en zijn dochterbedrijven (Visma Verzuim) respecteren jouw privacy. In deze privacy-verklaring wordt het recht op privacy en onze inzet voor de bescherming van je persoonsgegevens uiteengezet.

 

Visma is een Europese vennootschap waarvan de rechtspersonen, bedrijfsprocessen, managementstructuren en technische systemen landsgrenzen overschrijden. Visma levert software en diensten aan organisaties in zowel de private als (semi)-publieke sector (klanten) in Europa. Het hoofdkantoor van Visma is gevestigd in Oslo en de Visma Group is onderworpen aan de Europese privacywetgeving, met inbegrip van de General Data Protection Regulation(GDPR).

 

Op alle belangrijke besluiten met betrekking tot privacy bij Visma wordt op centraal niveau toezicht gehouden door de Data Protection Officer (DPO). Deze privacy-verklaring is beschikbaar op Visma.com.

 

Responsible disclosure

Visma Verzuim vindt het belangrijk dat kwetsbaarheden in onze producten gemeld worden zodat we continu in staat zijn onze producten veiliger te maken. Hiervoor is beleid opgesteld hoe om te gaan met de kwetsbaarheden, op welke wijze je deze kenbaar kunt maken en wat je hierin van Visma Verzuim mag verwachten.

 

Wanneer je met ons samenwerkt volgens dit beleid, kun je van ons verwachten dat we:

 

  • Safe Harbor uitbreiden voor uw kwetsbaarheidsonderzoek dat verband houdt met dit beleid.

  • Samen met je werken om je rapport te begrijpen en te valideren, inclusief een eerste reactie op de indiening binnen 12 kantooruren.

  • Werken om de ontdekte kwetsbaarheden tijdig te verhelpen.

Heb je een kwetsbaarheid gevonden, meld dit dan via security@visma.com.

Meer informatie over onze responsible disclosure beleid, procedure en voorwaarden, vind je hier.

 

Vragen?

Mocht je vragen hebben over het security- of privacybeleid van Visma Verzuim? Neem dan gerust contact op via privacy.vismaverzuim@visma.com