Q&A met onze Security Officer

Deze maand staat bij ons in het teken van security en privacy.

Veiligheid en het vertrouwelijk omgaan met data houdt ons dagelijks bezig, zoals in dit artikel te lezen is. Als hostingbedrijf beheren we immers jouw gegevens, e-mail en website. Om je een beter beeld te geven hoe VIP Internet hier in de praktijk mee omgaat, heb ik een interview met onze Security Officer Jeroen Boonstra.

Jeroen, wat kun je onze lezers over je werkzaamheden binnen VIP Internet vertellen?
Binnen VIP Internet vervul ik verschillende rollen; Security Officer, Developer en Systeembeheerder. Hierdoor ben ik actief met een breed scala aan werkzaamheden. Het beheren van onze systemen, ontwerpen van nieuwe toepassingen en natuurlijk het toetsen van onze verschillende beveiligingssystemen. Hierdoor kunnen we borgen dat we onze diensten zo veilig mogelijk kunnen leveren aan onze klanten.

Dat klinkt als een belangrijke allround-functie. Kun je toelichten wat jouw rol als Security Officer precies inhoudt?
De Security officer zorgt ervoor dat het beveiligingsbeleid en de procedures, zoals we deze hebben opgesteld binnen onze ISO-certificaten, ook daadwerkelijk worden uitgevoerd en geïmplementeerd.
Daarnaast is het belangrijk dat we aan de wet- en regelgeving voldoen, dus ook dit wordt scherp in de gaten gehouden. Daarnaast controleer ik dagelijks of er nieuwe beveiligingsissues zijn gevonden in software die binnen de organisatie wordt gebruikt. Indien nodig plan ik dan direct updates in.
Ook draag ik er zorg voor dat er, al in een vroeg stadium van een project, wordt gekeken naar de optimale beveiliging. Deze functie is een vereiste vanuit ISO 27001 maar ook zonder ISO-certificaat is het belangrijk om de veiligheid van de systemen scherp in de gaten te houden in het steeds veranderende landschap op het internet.

Je refereert regelmatig naar ons ISO certificaat. Welke ISO certificering hebben we dan?
Binnen VIP Internet zijn we door de DEKRA gecertificeerd voor ISO 9001, ISO 27001 en voldoen we aan de beheersmaatregelen van de NEN 7510-norm.

Wat is het belang van ISO 9001, ISO 27001 en NEN 7510 voor ons en onze klanten?
Vanuit ISO 9001 zijn onze bedrijfsprocessen omschreven, deze processen borgen een stevige fundering voor een duurzame ontwikkeling van onze organisatie. Er wordt bepaald of we voldoen aan wet en regelgeving, daarnaast helpt het ons bij het inspelen op risico’s, kansen en bedreigingen. Voor de klant zorgen deze processen voor een stuk kwaliteitsverbetering en héél belangrijk, een hogere klanttevredenheid.
ISO 27001 en NEN 7510 hebben onder andere betrekking over het omgaan met data, een onderwerp wat met de invoer van AVG / GDPR heel actueel is geworden. Onze procedures zijn zo opgesteld dat data niet in de verkeerde handen valt, ze zorgen voor de maximale bescherming van klantdata.

De nieuwe Europe privacywet lijkt grote raakvlakken met onze ISO certificering te hebben. Is een ISO certificering in de hostingbranche verplicht?
Een ISO certificering is geen verplichting binnen de hosting branche, maar het opstellen van duidelijke procedures over het beheer en bewaren van de gegevens van de klanten levert een duidelijke meerwaarde. Doordat de meest voorkomende zaken zijn beschreven zullen werkzaamheden volgens een vooropgestelde procedure worden behandeld. Dit heeft als grote voordeel voor de klant dat de kwaliteit gewaarborgd is, ook als hetzelfde verzoek meerdere keren wordt gedaan.

Je geeft aan dat een certificering, hoe wenselijk ook, niet verplicht is. De nieuwe Europese privacywet geldt wel voor iedereen. Op welke gebieden heb jij te maken gekregen met deze nieuwe wet?
Binnen VIP Internet zijn we al tijdig begonnen met het juist implementeren van de nieuwe wetgeving. Vooral het opstellen van onze verwerkersovereenkomst heeft veel tijd in beslag genomen. Samen met juristen van ICTRecht is er een overeenkomst opgesteld, die voor ons en de klant de juiste bescherming biedt. Naast onze overeenkomst hebben we ook met onze eigen leveranciers overeenkomsten gesloten.

Hoe gaat VIP Internet om met de Europese privacywet, wat is er intern veranderd?
Binnen VIP Internet hebben we het voortouw genomen door een verwerkersovereenkomst op te stellen, welke onze klanten gemakkelijk kunnen raadplegen en accepteren. Met deze overeenkomst is de verantwoording voor beide partijen goed geregeld. Er zijn bijvoorbeeld heldere afspraken over het verwijderen van data, indien dit wordt verzocht door de klant. Binnen VIP hebben we hier procedures voor opgesteld, waar al onze medewerkers van op de hoogte zijn. Dit gehele proces is bewaakt zodat we ook voldoen aan de, door de wet gestelde, verwerkingstermijn.

Welke wijzigingen, naast het opstellen van relevante procedures en overeenkomsten, zijn er nog meer geweest? Bijvoorbeeld op onze website of portal.
Technisch hebben we kleine aanpassingen gemaakt. De interne tracking van onze website voldoet aan de nieuwe wet. Ook zijn er formulieren op de website waarbij je als klant het verzoek kunt plaatsen voor inzage in de gegevens die wij bewaren. In onze portal is het mogelijk de verwerkersovereenkomst te lezen en digitaal te ondertekenen. Andere aanpassingen waren niet nodig omdat we hier met onze ISO certificering al aan voldeden.

Als VIP Internet voldoen we aan de Europese privacywet en hebben we relevante ISO-certificeringen. Maar wat kunnen onze klanten zelf doen met betrekking tot dataveiligheid? Welke concrete tips of adviezen heb je voor ze?
De belangrijkste tip is toch wel het bijhouden van de website. Dit lijkt een open deur maar in de praktijk merken we dat dit toch niet altijd gebeurt, met alle gevolgen van dien. Denk aan niet bijgewerkte Joomla of WordPress sites die een risico kunnen vormen door ontdekte beveiligingslekken. Dat lijkt relatief onschuldig maar het kan leiden tot een datalek. Controleer dit dus regelmatig. Updates zijn het gemakkelijkst uit te voeren in WordPress. Dit is wellicht de beste keuze voor mensen die niet veel technische kennis bezitten om alles up-to-date te houden. Maak je gebruik van een extern bureau, vergeet dan ook niet om het onderhoud mee te nemen in de opdracht.

Zijn er nog meer actuele ontwikkelingen die te maken hebben met online veiligheid? En wat staat er bij ons op de planning hiervoor?
In het verleden was een SSL certificaat vooral in gebruik bij webshops, inmiddels is een SSL-certificaat steeds de standaard. Bij de AVG (de Europese privacywet) is dit zelfs een verplichting indien je persoonsgegevens ontvangt van je bezoekers. Gelukkig kunnen we deze certificaten eenvoudig aanbieden aan al onze klanten. Doordat alles via een beveiligde verbinding gaat, wordt het steeds moeilijker om aanvallen te detecteren op sites van onze klanten. Daarom zal in de toekomst de inspectie van het verkeer verplaatst worden naar de webserver in plaats van dit centraal te controleren. DDOS aanvallen gebeuren niet alleen bij banken zoals laatst bij de Rabobank en ABN AMRO,  ook wij hebben daar regelmatig mee te maken. We zijn bezig met een nog betere beveiliging tegen deze aanvallen zodat we, ondanks deze mogelijke aanvallen, nog steeds een VIP-service kunnen blijven leveren.

Als klanten inhoudelijke vragen over onze verwerkersovereenkomst, dataverwerking of het verwijderen van data hebben, waar kunnen ze dan terecht?
Onze support collega’s zijn helemaal op de hoogte van onze processen en procedures. Als klanten vragen of opmerkingen hebben dan staat onze deskundige Support afdeling voor ze klaar.

Bedankt voor je tijd en het gesprek Jeroen. Ik zal de data van ons gesprek veilig online plaatsen en meteen controleren of alle plug-ins nog up-to-date zijn.

 

Albert Popken - Accountmanager Als Accountmanager en Marketeer weet Albert de vertaalslag te maken tussen Sales & Marketing.

Reacties op dit artikel

  • After research just a few of the weblog posts on your website now, and I really like your way of blogging. I bookmarked it to my bookmark web site list and will be checking again soon. Pls take a look at my web site as well and let me know what you think.

    • Door: Tijolinho
  • Om je een beter beeld te geven hoe VIP Internet hier in de praktijk mee omgaat, heb ik een interview met onze Security Officer Jeroen Boonstra. Jeroen, wat kun je onze lezers over je werkzaamheden binnen VIP Internet vertellen?

Reageer op dit artikel