Q & A met onze Security Officer

#Collega #Interview

Door Albert | 06-06-2018

Deel dit bericht

Deze maand staat bij ons in het teken van security en privacy.

Veiligheid en het vertrouwelijk omgaan met data houd ons dagelijks bezig, zoals in dit blog te lezen is. Als hosting bedrijf verwerken we immers jouw gegevens, e-mail en website. Om je een beter beeld te geven hoe VIP Internet hier in de praktijk mee omgaat, heb ik een interview met onze Security Officer Jeroen Boonstra.

 

Jeroen, wat kun je onze lezers over je werkzaamheden binnen VIP Internet vertellen?

Binnen VIP internet vervul ik verschillende rollen; Security Officer, Developer en Systeembeheerder. Hierdoor ben ik actief met een breed scala aan werkzaamheden. Het beheren van onze systemen, ontwerpen van nieuwe toepassingen en natuurlijk het toetsen van onze verschillende beveiligingssystemen. Hierdoor kunnen we borgen dat we onze diensten zo veilig mogelijk kunnen leveren aan onze klanten.


Dat klinkt als een belangrijke allround functie. Kun je toelichten wat jouw rol als Security Officer precies inhoudt?

De Security officer zorgt ervoor dat het beveiligingsbeleid en procedures zoals we deze hebben opgesteld binnen ons ISO certificaat ook daadwerkelijk worden uitgevoerd en geïmplementeerd.

Daarnaast is het belangrijk dat we aan de wet en regelgeving voldoen, dus ook dit wordt scherp in de gaten gehouden. Daarnaast controleer ik dagelijks of er nieuwe beveiliging issues zijn gevonden in software die binnen de organisatie wordt gebruikt. Indien nodig plan ik dan direct updates in.

Ook draag ik er zorg voor dat, al in een vroeg stadium van een project, er wordt gekeken naar de optimale beveiliging. Deze functie is een vereiste vanuit ISO, maar ook zonder ISO is het belangrijk om de veiligheid van de systemen scherp in de gaten te houden in het steeds veranderende landschap op het internet.

 

Je refereert regelmatig naar ons ISO-certificaat. Welke certificering hebben we dan?

Binnen VIP zijn de door de Dekra gecertificeerd met ISO 9001, ISO 27001 en voldoen we aan de NEN 7510 norm.

 

Wat is het belang van ISO 9001, ISO 27001 en NEN 7510 norm voor ons en onze klanten?

Binnen ISO 9001 zijn onze bedrijfsprocessen omschreven, deze processen borgen een stevige fundering voor een duurzame ontwikkeling van onze organisatie. Er wordt bepaald of we voldoen aan wet en regelgeving, daarnaast helpt het ons bij het inspelen op risico’s, kansen en bedreigingen. Voor de klant zorgen deze processen voor een stuk kwaliteitsverbetering en héél belangrijk, een hogere klanttevredenheid.

ISO 27001 en NEN 7510 hebben betrekking over het omgaan met data, een onderwerp wat met de invoer van AVG / GDPR heel actueel is geworden.  Onze procedures zijn zo opgesteld dat data niet in de verkeerde handen valt, ze zorgen voor de maximale bescherming van klantdata.

 

De nieuwe Europe privacywet lijkt grote raakvlakken met onze ISO-certificering te hebben. Is ISO in de hosting branche verplicht?

Een ISO-certificering is geen verplichting binnen de hosting branche, maar het opstellen van duidelijke procedures over het beheer en bewaren van de gegevens van de klanten levert een duidelijke meerwaarde. Doordat de meest voorkomende zaken zijn beschreven zullen werkzaamheden volgens een vooropgestelde procedure worden behandeld. Dit heeft als grote voordeel van de klant dat de kwaliteit gewaarborgd is, ook als het zelfde verzoek meerdere keren wordt gedaan.

 

Je geeft aan dat een certificering, hoe wenselijk ook, niet verplicht is. De nieuwe Europese privacywet geldt wel voor iedereen. Op welke gebieden heb jij te maken gekregen met deze nieuwe wet?

Binnen VIP zijn we al tijdig begonnen met het juist implementeren van de nieuwe wetgeving. Vooral het opstellen van onze verwerkingsovereenkomst heeft veel tijd in beslag genomen. Samen met onze juristen van ICTRecht is er een overeenkomst opgesteld, die voor ons en de klant de juiste bescherming biedt. Naast onze overeenkomst hebben we ook met onze eigen leveranciers overeenkomsten gesloten.

 

Hoe gaat VIP Internet om met de Europese privacywet, wat is er intern veranderd?

Binnen VIP Internet hebben we het voortouw genomen door een verwerkersovereenkomst op te stellen, welke onze klanten gemakkelijk kunnen raadplegen en accepteren. Met deze overeenkomst is de verantwoording voor beide partijen goed geregeld. Er zijn bijvoorbeeld heldere afspraken over het verwijderen van data, indien dit wordt verzocht door de klant. Binnen VIP hebben we hier procedures voor opgesteld, waar al onze medewerkers van op de hoogte zijn. Dit gehele proces is bewaakt zodat we ook voldoen aan de, door de wet gestelde, verwerkingstermijn.

 

Welke wijzigingen, naast het opstellen van relevantie procedures en overeenkomsten, zijn er nog meer geweest? Bijvoorbeeld op onze website of portal.

Technisch hebben we kleine aanpassingen gemaakt. De interne tracking van onze website voldoet aan de nieuwe wet. Ook zijn er formulieren op de website waarbij je als klant het verzoek kunt plaatsen voor inzage in de gegevens die wij bewaren. In onze portal is het mogelijk de verwerkersovereenkomst te lezen en digitaal te ondertekenen. Andere aanpassingen waren niet nodig omdat we hier met onze ISO certificering al aan voldeden.

 

Als VIP Internet voldoen we aan de Europese privacywet en hebben we relevante ISO certificeringen. Maar wat kunnen onze klanten zelf doen met betrekking tot dataveiligheid? Welke concrete tips of adviezen heb je voor ze?

De belangrijkste tip is toch wel het bijhouden van de website. Dit lijkt een open deur maar in de praktijk merken we dat dit toch niet altijd gebeurt, met alle gevolgen van dien. Denk aan niet bijgewerkte Joomla of Wordpress sites die een risico kunnen vormen door ontdekte beveiligingslekken. Dat lijkt relatief onschuldig maar het kan leiden tot een datalek. Controleer dit dus regelmatig.  Updates zijn het gemakkelijkst uit te voeren in WordPress. Dit is wellicht de beste keuze voor mensen die niet veel technische kennis bezitten om alles up-to-date te houden. Maak je gebruik van een extern bureau, vergeet dan ook niet om het onderhoud mee te nemen in de opdracht.

 

Zijn er nog meer actuele ontwikkelingen die te maken hebben met online veiligheid? En wat staat er bij ons op de planning hiervoor?

In het verleden was een SSL-certificaat vooral in gebruik bij webshops, inmiddels is een SSL steeds meer algemeen. Bij de AVG (de Europese privacywet) is dit zelfs een verplichting indien je persoonsgegevens ontvangt van je bezoekers. Gelukkig kunnen we deze certificaten eenvoudig aanbieden aan al onze klanten. Doordat alles via een beveiligde verbinding gaat, wordt het steeds moeilijker om aanvallen te detecteren op sites van onze klanten. Daarom zal in de toekomst de inspectie van het verkeer verplaatst worden naar de webserver in plaats van dit centraal te controleren. DDOS aanvallen gebeuren niet alleen bij banken zoals laatst bij de RABOBANK en ABN AMRO,  ook wij hebben daar regelmatig mee te maken. We zijn bezig met een nog betere beveiliging tegen deze aanvallen zodat we, ondanks deze mogelijke aanvallen, nog steeds een VIP-service kunnen blijven leveren.

 

Als klanten inhoudelijke vragen over onze verwerkersovereenkomst, dataverwerking of het verwijderen van data hebben, waar kunnen ze dan terecht?

Onze support collega’s zijn helemaal op de hoogte van onze processen en procedures. Als klanten vragen of opmerkingen hebben dan staat onze (des)kundige Support afdeling voor ze klaar.

 

Bedankt voor je tijd en het gesprek Jeroen. Ik zal de data van ons gesprek veilig online plaatsen en meteen controleren of alle plug-ins nog up-to-date zijn.