Als partner en softwareleverancier van overheidsdiensten is het vanzelfsprekend dat Skryv alles in het werk stelt om deze organisaties te helpen voldoen aan de NIS2- en GDPR-regelgeving. Skryv applicaties bevatten immers vaak privacy gevoelige data. Denk aan adresgegevens, financiële informatie, gegevens over gezinssamenstelling, inkomen of omzet. Uiteraard moet alles in het werk gesteld worden om die gevoelige data veilig te bewaren binnen de scope van de applicatie.
Maar daar stopt het niet: ook de applicatie zelf en de infrastructuur waarbinnen deze draait, moeten bestand zijn tegen cybercriminaliteit en privacyinbreuken.
Welke concrete maatregelen neemt Skryv?
Onderstaand overzicht geeft het beeld van wat Skryv doet op gebied van security en gegevensbescherming.
| Maatregel |
Uitleg |
| Structurele veiligheid |
| Op applicatieniveau |
- Actief up-to-date houden van alle onderliggende componenten om kwetsbaarheden te vermijden.
- Gebruik van tooling in de CI/CD-pipelines om kwetsbaarheden automatisch te detecteren, zodat deze bevinding met de juiste prioriteit behandeld kunnen worden.
- Pentesting minimaal jaarlijks, en bijkomend wanneer relevant of gewenst. Zo sporen we kwetsbaarheden op die mogelijk geïntroduceerd zijn naar aanleiding van een specifieke change.
- Uitgebreide logging om forensische analyse na incidenten te faciliteren.
|
| Op infrastructuurniveau |
Elke Skryv applicatie draait 100% in een cloud omgeving gebaseerd op managed services. We configureren deze infrastructuurcomponenten in lijn met de meest recente Europese veiligheidsstandaarden.
|
| Op organisatieniveau |
Skryv is een product ontwikkeld en beheerd door Vanden Broele. In kader van het behaalde ISO270001-traject zorgen we er via een adequaat ISMS (information security management system) voor dat risico's rond informatiebeveiliging daadwerkelijk aangepakt worden, niet alleen op productniveau, maar eveneens op organisatieniveau. Het ISMS omvat onder andere een systeem dat opgezet is om incidenten te loggen en te rapporteren aan de centrale toezichthouders.
|
| Veilige toegang, opslag en communicatie |
| Geautoriseerde toegang |
Zowel voor frontoffice als backoffice moeten gebruikers zich aanmelden en authenticeren via een identity provider zoals CSAM of ACM/IDM. Bovendien kan je bij het authenticeren ook nog een hoedanigheid meegeven.
|
| Beveiligde communicatie en dataopslag |
De Skryv-applicatie communiceert intern met zowel een frontoffice als een backoffice, en extern met verschillende authentieke databronnen, communicatiesystemen, technische systemen, enzovoort. Om de veiligheid van de informatie te waarborgen, wordt alle data versleuteld en beveiligd opgeslagen volgens Europese standaarden.
|
| Virusscanner |
Virusscanner verhindert upload van door malware geïnfecteerde bestanden.
|
| Privacy |
| GDPR-gegevenspolicy |
Gegevenspolicy is volledig configureerbaar. Zo bepaalt de configurator welke gegevens opgevraagd worden, wat daarmee gebeurt en hoe die gegevens uiteindelijk opnieuw uit de applicatie verdwijnen. In verband met dit laatste is het mogelijk om formulierdata te anonimiseren, alsook procesgerelateerde variabelen te verwijderen.
|
| GDPR-kennisgeving |
Het is mogelijk om de aanvrager via opt-in systeem kennis te laten nemen van de gegevenspolicy binnen de applicatie. De tekstuele uitleg rond de gegevenspolicy is volledig op te stellen door de configurator. Welk soort data verzamelen we? Hoe verwerken we dit en wat doen we ermee? Hoe lang houden we dit bij en hoe kan de aanvrager de gegevens opvragen of wijzigen?
|
| Geen onnodige downloads van formulieren of communicaties uit backoffice of frontoffice. |
Formulieren of communicaties kan je consulteren via een ingebouwde PDF-viewer. Je hoeft ze dus niet te downloaden. Zo blijft alle data binnen de applicatie en raakt deze niet verspreid over een groot aantal pc's.
|
| Geen onnodige ontsluiting van dossierinfo richting dossierbehandelaars |
Dankzij een fijnmazig uitgewerkt rechten- en rollensysteem kan je heel precies gaan bepalen welke dossierbehandelaar toegang krijgt tot welke dossiers. Sterker nog, ook binnen een dossier zelf, kan je bepalen welke specifieke schermen en/of dossierstukken elke dossierbehandelaar te zien krijgt. Dit geldt trouwens ook voor technische gebruikers zoals exposed API consumers.
|
Enkele begrippen nader verklaard
NIS2
NIS2 staat voor Network and Information Systems Directive. Het is Europese wetgeving die gericht is op het verbeteren van de netwerk- en informatieveiligheid binnen de EU, vooral voor vitale sectoren zoals energie, transport, en digitale infrastructuren. De NIS2 richt zich op het verbeteren van de cybersecuritymaatregelen van overheidsorganisaties en bedrijven die kritieke infrastructuur beheren.
ISO27001
ISO 27001 is een internationale norm voor het management van informatiebeveiliging. Het biedt een kader voor het opzetten, implementeren, onderhouden en verbeteren van een Information Security Management System (ISMS). Het doel is om vertrouwelijkheid, integriteit, en beschikbaarheid van informatie te waarborgen.
GDPR
GDPR staat voor General Data Protection Regulation. GDPR is een Europese regelgeving die de bescherming van persoonsgegevens en de privacy van individuen binnen de EU regelt. Het vereist dat organisaties persoonsgegevens op een veilige en transparante manier verwerken en dat ze de privacyrechten van individuen respecteren.
Meer info
Wil je meer te weten komen? Of ben je nieuwsgierig naar wat Skryv te bieden heeft? Neem dan zeker contact met ons op.
