Veelgestelde vragen

Onze productiesystemen worden gehost door Oxilion (https://www.oxilion.nl), waarbij uitsluitend gebruik wordt gemaakt van eigen datacenters binnen Nederland.

Alle verkeer met onze servers (data-in-transit) loopt via een versleuteld kanaal (HTTPS), waarbij externe toegang tot de data gereguleerd wordt door authorisaties. Gebruikerswachtwoorden worden enkel gehashed opgeslagen en backups naar een externe locatie zijn versleuteld. Om de "Ruwe data" op de harde schijven van de servers zelf (data-at-rest) te bereiken is root-access nodig. Uiteraard nemen wij, samen met onze hosting provider, een veelvoud aan up-to-date maatregelen de data te beschermen.

Wij nemen beveiliging zeer serieus. Onze hosting provider Oxilion (https://www.oxilion.nl), die het beheer van onze servers en infrastructuur doet, beschikt over ISO9001, ISO14001 en ISO27001 certificering (https://www.oxilion.nl/certificeringen). NB Het MVO-Register bevat geen of weinig bedrijfskritische data of (bijzondere) persoonsgegevens. De specificaties van beveiliging, uptime en database gebruik houden hier rekening mee.

Omdat wij beperkt persoonsgegevens opslaan en überhaupt geen bijzondere persoonsgegevens opslaan is een verwerkersovereenkomst met klanten volgens de AVG/GDPR niet nodig. Wij houden zowel een verwerkings- als een datalekken-register bij. Indien een datalek risico met zich meebrengt voor betrokkenen, worden zij - net als de Authoriteit Persoonsgegevens - zo spoedig mogelijk doch binnen 72 uur op de hoogte gesteld.

Wij maken dagelijks een incrementele backup van onze opgeslagen data, en maandelijks een volledige. De retentieperiode is 1 jaar. Alle backups zijn versleuteld en worden opgeslagen op een externe locatie binnen de EU.

Elke deelnemende organisatie is de "eigenaar" van de data die door deze organisatie wordt opgeslagen. De organisatie beheert haar eigen gebruikers, waarbij er onderscheid gemaakt kan worden tussen beheerders, reguliere bewerkers en "read-only" gebruikers. Enkel eigen gebruikers en onze support medewerkers, op basis van noodzaak, kunnen aan deze data komen. Een organisatie bepaalt zelf òf en wanneer zij een rapport publiceren. Alleen deze gepubliceerde rapporten zijn, via het Register, zichtbaar voor andere gebruikers van het platform. Een rapport bevat een strict gedefinieerde deelverzameling van de ingevoerde data en kan, per design, nooit leiden tot manipulatie van data of toegang tot andere gegevens dan die in het rapport.

Op dit moment is het niet mogelijk om gebruik te maken van multi-factor authenticatie. Het vernieuwen van ons authenticatiesysteem staat echter op korte termijn op onze roadmap, waarmee MFA maar bijvoorbeeld ook social login ("Login with Google") een optie zal worden voor bedrijven die aar behoefte aan hebben. Wij verwachten dat in de loop van 2023 aan te kunnen bieden.