Wat houdt ISAE 3000 Type II in?

De ISAE 3000-verklaring bouwt verder op onze bestaande ISO 27001-certificering. Waar ISO 27001 een kwaliteitsmanagementsysteem is voor informatiebeveiliging, gaat ISAE 3000 specifiek in op privacymaatregelen in het kader van de Algemene Verordening Gegevensbescherming (AVG).

Er zijn twee varianten:

• Type I: Toetsing op een bepaald moment: zijn de maatregelen goed opgezet?
• Type II: Toetsing over langere tijd ( bijv.12 maanden): werken de maatregelen ook daadwerkelijk in de praktijk?

Met Type II tonen we dus aan dat onze beveiliging niet alleen op papier staat, maar ook dagelijks wordt nageleefd. Ik vergelijk de ISAE (International Standard for Assurance Engagements) vaak met de financiële boekhouding. De accountant controleert deze en wil van elke transactie een bewijs zien zoals een bonnetje of een factuur. De ‘IT-accountants’ doen tijdens de audits van ISAE 3000 hetzelfde. Van 95 privacy-maatregelen die volgens het Privacy Control Framework van Norea zijn opgesteld, moeten wij bewijsstukken aanleveren.

De ISAE 3000-audit, ook vergelijkbaar met SOC 2, richt zich nadrukkelijk op informatiebeveiliging en privacy, en niet op financiële processen zoals bij ISAE 3402 het geval is. De toetsing is gebaseerd op de zogeheten Trust Service Criteria, opgesteld door het American Institute of Certified Public Accountants (AICPA). Deze criteria omvatten vijf gebieden: Security, Availability (Beschikbaarheid), Processing Integrity (Integriteit), Confidentiality (Geheimhouding) en Privacy. Samen vormen zij het toetsingskader voor een veilige en betrouwbare verwerking van data.

Uniek in de Moodle wereld

Avetica is de enige Moodle Partner in Nederland en België met deze onafhankelijke verklaring. Voor onze klanten, van onderwijsinstellingen tot bedrijven en overheden, betekent dit iets heel concreets: zekerheid op het gebied van privacy. Zij weten dat hun gegevens bij ons in veilige handen zijn en dat we voldoen aan alle eisen die de AVG stelt aan gegevensverwerkers.

Blijvend investeren in veiligheid

Onze klanten zijn de Verwerkingsverantwoordelijken. Zij moeten aantonen dat hun leveranciers zorgvuldig omgaan met persoonsgegevens. Met onze ISAE 3000 Type II verklaring leveren wij dat bewijs proactief. Dat scheelt tijd, vermindert risico’s en geeft rust voor onze klanten. Je weet dat je werkt met een partner die zijn zaken op orde heeft.

Databeveiliging is geen eenmalige inspanning, maar een doorlopend proces. We investeren voortdurend in onze systemen, processen en mensen. Deze hernieuwde certificering is daar een tastbaar bewijs van.

“Onze klanten vertrouwen ons hun data toe. Het is onze verantwoordelijkheid om dat vertrouwen elke dag waar te maken. De ISAE 3000 Type II verklaring laat zien dat we dat ook daadwerkelijk doen.” – Arnout Vree, directeur en oprichting Avetica

Vragen of interesse?

Wil je meer weten over onze aanpak rondom privacy en informatiebeveiliging? Of wil je meer weten over ons update- en upgradebeleid, Neem dan gerust contact met ons op. We vertellen je er graag meer over.

Het bericht Wederom ISAE 3000 Type II rapportage voor Avetica: bewijs van AVG-compliance verscheen eerst op Avetica.

In een Moodle omgeving worden (privacy) gegevens verwerkt. Moodle heeft minimaal een gebruikersnaam, email adres en voor- en achternaam nodig. In sommige omgevingen wordt nog meer data opgenomen. Wie is er nu eigenlijk verantwoordelijk voor deze gegevens? Deze vraag wordt helaas niet door elke klant gesteld.

De ‘eigenaar’ van de Moodle omgeving is zelf verantwoordelijk voor de gegevens die worden verwerkt. Ook al wordt de hosting van Moodle uitbesteed aan Avetica, u bent en blijft zelf verantwoordelijk voor de data! Ook dient u er op toe te zien dat wij als Avetica ons werk veilig en binnen de regels van de AVG uitvoeren. Elke organisatie moet kunnen aantonen dat zij de privacy van persoonsgegevens waarborgt. Dat geldt dus ook als een deel van die verwerking is uitbesteed aan Avetica. De Algemene Verordening Gegevensbescherming (AVG) stelt dat de organisatie verantwoordelijk is voor de privacy van persoonsgegevens.

Privacy aantoonbaar op orde? Wat betekent dit concreet?

Avetica verwerkt ondertussen de persoonsgegevens van meer dan 1 miljoen gebruikers in alle Moodle sites. Wij hebben dus een grote verantwoordelijkheid om onze privacy-processen en certificeringen voor informatiebeveiliging op orde te hebben. Het ISO 27001 certificaat is vorig jaar al verlengd. Voor de privacy heeft Avetica wederom een onafhankelijke audit laten uitvoeren. Het resultaat is een ISAE-3000 type II rapportage, waarmee Avetica inzicht geeft in haar privacy-processen. Deze rapportage is altijd opvraagbaar door het management of de Functionaris Gegevensbescherming van uw organisatie.

De hele keten op orde?

Als organisatie bent u verantwoordelijk dat in de gehele keten alle afspraken over de verwerking van persoonsgegevens worden nageleefd. Voor onze klanten ziet deze keten er meestal als volgt uit:

Klant >> Moodle leverancier >> Hosting leverancier >> Datacentrum

Als je de hosting van Moodle onderbrengt bij een partij die dit niet op orde heeft, blijf je nog steeds verantwoordelijk maar heb je totaal geen controle over de verwerking van persoonsgegevens.

Moodle Premium Partner

Avetica wil continue goede Moodle dienstverlening leveren. Met deze nieuwe ISAE 3000 rapportage laten we zien dat we ook echt een premium partner zijn voor onze klanten, ook op het gebied van informatiebeveiliging en privacy. Als klant mag u deze ISAE 3000 rapportage bij ons opvragen.

Wilt u meer weten over privacy in Moodle? Lees dan onze blogs over dit onderwerp.

Het bericht Wie is er verantwoordelijk voor (privacy) gegevens in Moodle? verscheen eerst op Avetica.

Iedere organisatie verwerkt persoonsgegevens en daarom moet zij verantwoording kunnen afleggen over de wijze waarop de data wordt verwerkt en beschermt. Of je nu Gegevensverantwoordelijke bent of Verwerker zoals in ons geval. Onze klanten vertrouwen de Moodle hosting toe aan Avetica en momenteel gaat dat om zo’n 700.000 gebruikers in alle leeromgevingen. Dan moet je je certificeringen en processen goed op orde hebben.

De Autoriteit Persoonsgegevens (AP) kan elke organisatie verplichten om verantwoording af te leggen over de gegevensverwerkingen. De AP zegt het volgende over de verantwoordingsplicht:

De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

Inzicht in privacy processen

In 2019 heeft Avetica een privacy raamwerk met 92 interne beheersingsmaatregelen opgezet en geïmplementeerd. Door een onafhankelijke Register EDP-auditor is daar een ISAE-3000 type II rapportage van opgesteld. De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. ISAE 3000 is een internationale standaard voor het uitvoeren van assurance opdrachten. Nu is over de controleperiode 2021 vastgesteld dat dit privacy raamwerk bij Avetica nog steeds goed geïmplementeerd is en werkt. 

Met de ISAE-3000 rapportage geeft Avetica het management en de Functionaris Gegevensbescherming van onze klanten inzicht in onze processen. Daarmee heeft een klant een middel in handen om de privacy processen op elkaar te laten aansluiten. Bedenk dat als wij de Moodle hosting verzorgen, onze klanten nog steeds de eindverantwoordelijkheid hebben. Je kunt als organisatie niet alleen vermelden dat je datacenter ISO 27001 gecertificeerd is. De hele keten moet aantoonbaar voldoen aan de AVG, dus ook de Moodle dienstverlener die je inhuurt.

Onafhankelijke audits

Jouw organisatie moet ‘accountable’ zijn en als Gegegevensverantwoordelijke moet je bij elke Verwerker een onafhankelijke audit laten uitvoeren om dit aan te tonen. Dit kan een hele dure grap worden voor organisaties. Onze ISAE-3000 type II rapportage voorkomt dat elke klant een onafhankelijke audit moet laten uitvoeren bij Avetica en bespaart dus kosten. Al onze (potentiële) klanten mogen deze rapportage bij ons opvragen.

Premium Moodle Partner

Premium partner zijn van Moodle betekent voor Avetica ook kwaliteit leveren op de domeinen van veiligheid en privacy. Ook daarom vertrouwen onze klanten de hosting van Moodle aan ons toe.

Het bericht Avetica voldoet weer aantoonbaar aan AVG met de ISAE 3000 verklaring verscheen eerst op Avetica.

De datum voor ons volgend webinar is weer gepland op de laatste donderdag van de maand. Reserveer de datum van 28 oktober om 11.00 uur in je agenda. 

Thema: Klant aan het woord over multi-tenancy

Het bedrijf Privacy op School biedt onder andere online trainingen aan over privacy in het onderwijs. Tonny Plas, één van de oprichters, zal vertellen hoe zij gebruik maken van de verschillende tenants in Moodle Workplace zodat elke school goed is afgeschermd van andere scholen en hoe zij dit beheersbaar houden.

Ruimte voor vragen

Er is aan het einde van de webinar voldoende ruimte om vragen van deelnemers te beantwoorden. Dit kan tijdens het webinar of vooraf via de community plugin ‘Hot Questions’ die je kunt vinden in moodle.avetica.academy .

Reserveer datum en tijd

Noteer donderdagochtend 28 oktober 2021 om 11.00 uur in je agenda en doe mee via moodle.avetica.academy . 

Graag tot de laatste donderdag van deze maand.

Het bericht Klant aan het woord over multi-tenancy in Moodle Workplace verscheen eerst op Avetica.

Een klant van Avetica die onlangs van Moodle LMS naar Moodle Workplace is overgestapt vroeg advies over de volgende situatie. Ze hebben één e-learningmodule die ze met negen andere zorginstellingen willen delen. De zorgverleners van ene instellingen mogen niet de deelnemers van de andere instellingen zien vanwege de privacy. Daarnaast moet elke zorginstelling toegang krijgen tot de rapportages zodat zij alleen haar eigen medewerkers kan volgen. Als laatste wens wil onze klant maar op één plek de e-learning beheren.

Centraal contentbeheer

In maart van dit jaar heb ik een serie blogs geschreven over centraal contentbeheer en hierover ook een webinar verzorgd. Dit webinar is terug te kijken op moodle.avetica.academy . Met de combinatie van LTI, gedeelde cursus en de multi-tenant structuur in Moodle Workplace kunnen we deze wens van onze klant realiseren.

Aanpak

We hebben eerst een testsituatie opgebouwd voordat we dit in de productiesite gaan opzetten. De volgende stappen hebben we doorlopen:

1. Maak een Moodle cursus aan, voeg de content toe en stel de cursus in met cursusvoltooiing
2. Maak negen LTI linkjes aan in de LTI-provider
3. Maak negen tenants aan (per zorginstelling één tenant) en upload eventueel per tenant het logo van de betreffende zorginstelling
4. Maak negen dynamische regels aan van het type: als in het domein van het e-mailadres van de gebruiker ‘@umcABC.nl‘ staat, voeg dan deze gebruiker tot de tenant umcABC
5. Maak een rapportage aan voor deze cursus en plaatst deze in ‘gedeelde ruimte’ zodat ze zichtbaar is in alle tenant
6. Geef per tenant één of meerdere gebruikers van de betreffende instelling toegang tot deze rapportage
7. Stel in dat deze gebruikers elke week of elke maand een rapportage van de voortgang krijgen op de e-mail

Indien er vaker op deze manier een e-learning gedeeld gaat worden via LTI dan hoef je stap 3 en 4 alleen uit te voeren voor nieuwe zorginstellingen.

Resultaten

Het zijn een aantal stappen om dit zo in te richten maar dan heb je wel de volgende resultaten:

• Privacy by design:
  • de privacy is gewaarborgd want elke instelling krijgt haar eigen tenant
  • elke zorginstelling ziet alleen de rapportage van haar eigen medewerkers
• Centraal contentbeheer:
  • wijzigingen in de content worden maar op één plek doorgevoerd namelijk in die ene cursus
  • wijzigingen zijn direct zichtbaar voor alle aangesloten zorginstellingen
• Beheer door aanbieder:
  • maximaal aantal deelnemers kan per aangesloten zorginstelling ingesteld worden
  • nieuwe zorginstellingen kunnen binnen een half uur worden aangesloten
  • toegang voor een bepaalde instelling kan makkelijk worden ingetrokken

Het bericht Leuke uitdaging: e-learning delen via LTI met rapportage per zorginstelling verscheen eerst op Avetica.

De laatste jaren is de focus op veiligheid en privacy sterk toegenomen. Uiteraard heeft de invoering van de AVG in mei 2018 daar flink aan bijgedragen. Ook in offertetrajecten en aanbestedingen wordt steeds vaker de vraag gesteld hoe wij omgaan met veiligheid en privacy. Een terechte vraag want ook wij vinden het een bijzonder belangrijk thema en willen niet dat data van onze klanten op straat komt te liggen. Twee hoofdvragen komen steeds terug: 

1. Hoe heeft de Moodle dienstverlener de veiligheid en privacy georganiseerd?
2. Hoe veilig is de applicatie (Moodle) zelf?

In deze blog wil ik ingaan op de veiligheidsmaatregelen die Moodle zelf heeft genomen. Voor ons als Avetica beperk ik mij tot het feit dat wij een ISO 27001 certificaat hebben en een ISAE 3000 type II rapportage. In een eerdere serie blogs lees je nog meer over de privacy en de informatiebeveiliging in Moodle.

Top 10 van OWASP

De stichting Open Web Application Security Project® (OWASP) heeft als missie de verbetering van de veiligheid van software. In 2013 hebben zij een eerste top 10 gepubliceerd van de grootste en meest voorkomende risico’s binnen webapplicaties. Eind 2017 is de lijst geactualiseerd. Deze top 10 is een belangrijk hulpmiddel voor webontwikkelaars om kwetsbaarheden te identificeren en te voorkomen.

De top 10 van bedreigingen

1. Injectie van commando’s
2. Authenticatie fouten
3. Kwetsbaarheid van gevoelige data
4. Externe XML-entiteiten
5. Falende controle op rollen en rechten
6. Configuratiefouten
7. Cross-site scripting (XSS)
8. Onveilige serialisatie
9. Software zoals libraries en frameworks met (bekende) kwetsbaarheden
10. Onvoldoende logging en monitoring

Voor een gemiddelde Moodelaar zijn de meeste punten abracadabra. Voor een Moodle software ontwikkelaar moet dit gesneden koek zijn. 

Wat doet Moodle?

Veiligheidsrisico’s beslaan een zeer breed gebied maar er zijn drie belangrijke onderwerpen die een goed overzicht geven van hoe Moodle dergelijke risico’s beperkt.

1. Inbedden van beveiliging in de ontwikkelingsprocessen

Het ontwikkelproces van Moodle software omvat meerdere stadia van peer reviewing en testen. Bij het testen wordt niet alleen gecontroleerd of de dingen werken zoals bedoeld, maar ook of er geen beveiligingslekken zijn ingeslopen tijdens de ontwikkeling. Dit is een van de gedocumenteerde punten van de checklist voor collegiale toetsing.

Zie de documentatie over informatiebeveiliging en het ontwikkelingsproces.

2. Informatie delen aan sitebeheerders van Moodle 

Moodle heeft uitgebreide documentatie  geschreven met aanbevelingen voor sitebeheerders om hun Moodle site veilig te configureren zodat beveiligingsrisico’s verminderd of geëlimineerd worden. 

Zie de documentatie met beveiligingsaanbevelingen en onze eerder genoemde serie blogs hierover.

3. Procedure omgaan met ontdekte risico’s en kwetsbaarheden 

Moodle heeft een uitgebreide set aan procedures opgesteld hoe ze omgaan met meldingen van beveiligingsproblemen. Belangrijk onderdeel is de Moodle Tracker waar alle meldingen centraal worden geregistreerd en waar de community van Moodle ook toegang toe heeft. Ook is er een speciaal formulier om beveiligingsprobleem te rapporteren.

Zie de documentatie over Vulnerability Disclosure Program van Moodle.

Moodle community

Elke applicatie bevat fouten en moet onderhouden worden en dat geldt ook voor Moodle. Het feit dat de applicatie open source is betekent dat alle ontwikkelaars wereldwijd alle code kunnen zien. Eventuele fouten en onveiligheden kunnen zo sneller ontdekt en gerapporteerd worden. Hierin zie je de kracht van de Moodle community.

Het bericht Hoe gaat Moodle om met OWASP top 10 bedreigingen? verscheen eerst op Avetica.

Vanmorgen bleek uit een nieuwsberichten van Tweakers en Inholland dat de Moodle site van Inholland is gehackt. Van mogelijk 56.000 Moodle accounts zijn de persoonsgegevens gelekt en worden nu te koop aangeboden. Het gaat om zowel studenten als externen met een Moodle account. De Autoriteit Persoonsgegevens is ingelicht en er wordt verder forensisch onderzoek gedaan naar de oorzaak.

Wij krijgen diverse telefoontjes en mailtjes van bezorgde klanten met de vraag wat de impact is op hun eigen Moodle site reden waarom wij hierover berichten. De informatie die bekend is is dat de site gehost wordt bij OpenEdu en dat er een specifieke module is dichtgezet om verdere export van persoonsgegevens te voorkomen. Ook zijn andere beveiligingsmaatregelen rondom het inloggen (authenticatie) aangescherpt.

Blacklist onveilige plugins

De oorzaak is nog niet formeel gecommuniceerd maar op basis van onze Moodle expertise en jarenlange ervaring weten wij dat er bepaalde plugins (modules) zijn die als onveilig kunnen worden bestempeld. Avetica zet dergelijke plugins dan ook op een zogenaamde ‘blacklist’ zodat die nooit geïnstalleerd kunnen worden. Indien een Moodle site van een andere partij wordt overgenomen controleren wij streng op de aanwezigheid van dergelijke onveilige plugins en worden deze direct verwijderd.

De aanwezigheid van een blacklist is een vast onderdeel van onze ISO 27001 certificering en ISAE 3000 rapportage. Beide zijn bedoeld om een veilige omgeving te (blijven) bieden voor onze hostingklanten. Avetica heeft de afgelopen jaren flink geïnvesteerd in beveiliging en privacy en zullen hier altijd scherp op blijven.

Impact op Avetica klanten

Wat is concreet de impact voor onze hostingklanten op basis van wat wij nu weten? Ons antwoord is: ‘geen impact’. Tegelijk laat deze situatie zien dat we altijd alert moeten blijven op het tijdig updaten/upgraden van Moodle en aanvullende plugins.

We blijven dit privacy-issue volgen en mochten er ontwikkelingen zijn, dan informeren wij u weer.

Het bericht Geen impact van hack Moodle Inholland voor Avetica klanten verscheen eerst op Avetica.

Binnen Moodle LMS / Workplace kan je zoeken naar content. Handig als je een cursus zoekt over bijvoorbeeld Timemanagement. De standaard zoekmachine van Moodle doorzoekt alleen gegevens die opgeslagen zijn in de eigen database van Moodle. Je hebt een extern systeem zoals Solr of Elasticsearch nodig om ook documenten te doorzoeken. Een PDF in je cursus zal door de standaard zoekmachine van Moodle niet geïndexeerd worden en door Solr of Elasticsearch wel. Ik ga hier niet verder in of het onderwijskundig wel wenselijk is dat je documenten laat doorzoeken en of je hiervoor extra geld over hebt.

Stel zoekzones in

Het komt regelmatig voor dat sitebeheerders die globaal hebben ingeschakeld, vergeten om de zoekgebieden na te lopen. Want wil je wel dat alles wordt geïndexeerd en dus vindbaar is voor de Moodle gebruikers? Eén van de zaken die naar mijn mening moet uitschakelen is het zoekgebied ‘gebruikers’. Zeker als in jouw Moodle site gebruikers van verschillende organisaties zitten. Of allemaal particulieren die een e-learningmodule hebben gekocht. Met het uitschakelen van de zoekzone ‘Gebruikers’ voorkom je dat gebruikers elkaar al te gemakkelijk vinden.

Proef op de som

Probeer maar eens uit. Configureer globaal zoeken in jouw Moodle site (hulppagina) en zorgt dat de cron aanstaat. Ik vermoed dat na een nacht draaien alle content wel is geïndexeerd. Dit is afhankelijk van de omvang van je Moodle cursussen. Typ maar verschillende zoektermen in van jouw content, maar ook namen van gebruikers of organisaties. Pas naar aanleiding van je bevindingen de zoekzones aan.

Uitleg zoeken in Moodle

Vanaf Moodle 3.5 is het zoeken binnen Moodle actief. Onderstaande video geeft een korte impressie van de mogelijkheden.

Het bericht Moodle Privacy (16): Schakel zoekzone gebruikers uit verscheen eerst op Avetica.

Ruim twee jaar nadat de AVG van kracht is geworden blikken we terug en kijken we naar welke privacy incidenten hebben plaatsgevonden. Avetica registreert elke privacy- en informatiebeveiligingsincident van onszelf en van onze klanten, want dit is een onderdeel van onze ‘privacy-boekhouding’.

Wat zijn de meest opmerkelijke privacy incidenten die klanten van Avetica hebben gemeld bij ons?

Wat opvalt in onderstaande lijst is dat veel gemelde privacy incidenten niet over de code van Moodle zelf gaat, maar over de wijze waarop Moodle is ingericht of wordt gebruikt. Een aantal meldingen gaan over algemene privacyzaken.

Overzicht

• Een opleidingsinstituut gebruikte in Moodle 3.5 het berichtensysteem in cursussen, maar alle 8.000 gebruikers waren in het berichtensysteem vindbaar;
• Global Search was niet goed geconfigureerd. Eén recht van gebruikers stond te ver open waardoor profielen doorzoekbaar waren voor diverse klanten van deze uitgeverij;
• Een opleidingsinstituut wees een gebruiker met rol ‘docent’ toe in cursus i.p.v. rol ‘student’;
• Een school stuurde een lijst met gebruikers om te uploaden met veel te veel gegevens (o.a. BSN nummers);
• Avetica verwijderde een Moodle site een maand te vroeg (i.v.m. opzegging);
• Discussie met een klant over het wel/niet melden van een datalek na serverstoring.

Deze laatste melding heeft mij persoonlijk meer inzicht gegeven in de breedte van het begrip ‘datalek‘. Als een site langdurig niet beschikbaar is door een storing of ransomware, ziet de wetgever dit als een datalek. Ook als is er in de letterlijke betekenis geen data kwijtgeraakt of gekopieerd is.

Bewustwording en training

Eén van de sterke punten uit de AVG is de focus op bewustwording. Een aantal incidenten had voorkomen kunnen worden als er meer bewustwording en training was gegeven. Het opleidingsbeleid met betrekking tot de privacy moet trouwens ook een onderdeel zijn van uw privacy boekhouding.

Passende beveiliging

Een ander belangrijk punt is het principe van passende beveiliging. Wat passend is vertelt de wetgever niet. Maar een Moodle site die niet meer ondersteund wordt met updates en bugfixes valt in ieder geval niet onder passende beveiliging. Elke Gegevensverantwoordelijke moet daarom zorgen dat zijn Moodle site tijdig worden geüpgraded. Zie onze vele berichten over de releases van Moodle.

ISAE 3000 rapportage

Wil je accountable zijn met je privacy boekhouding tegenover jouw klanten? Overweeg dan als organisatie een privacy raamwerk op te stellen. Avetica heeft als basis het NOREA Privacy Controle Framework gebruikt. Hiervan laten wij jaarlijks een audit doen door een onafhankelijke Register EDP-auditor. Het resultaat is een ISAE 3000 rapportage. Deze rapportage geeft het management en de Functionaris Gegevensbescherming (of Data Protection Officer) van onze klanten inzicht in de processen van Avetica. Ook voorkomt deze ISAE-3000 rapportage dat elke klant een onafhankelijke privacy audit moet laten uitvoeren bij Avetica. En dat scheelt weer kosten bij onze klanten.

Het bericht Een greep uit de lijst met privacy incidenten verscheen eerst op Avetica.

Werken aan privacy en informatiebeveiliging is geen momentopname. Dit vergt continue de aandacht van alle werkzaamheden die Avetica uitvoert.

Als Verwerker van vele honderden Moodle (Workplace) sites moeten wij de privacy en informatiebeveiliging goed op orde hebben. Maar waaruit blijkt dat? Hoe toont Avetica aan dat zij accountable is volgens de AVG?

Privacy raamwerk ISAE-3000

Vorig jaar heeft Avetica een privacy raamwerk met 92 interne beheersingsmaatregelen opgezet en geïmplementeerd. Door een onafhankelijke Register EDP-auditor is daar een ISAE-3000 rapportage van opgesteld. De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. ISAE 3000 is een internationale standaard voor het uitvoeren van assurance opdrachten. Nu is over een controleperiode van minimaal 6 maanden de werking vastgesteld van dit privacy raamwerk. 

Inzicht in privacy processen

De persoonsgegevens in elke Moodle (Workplace) site valt onder de verantwoordelijkheid van de eigenaar van de site. Ook als deze op de servers van Avetica staan. Uiteraard is Avetica ook verantwoordelijk voor het goed beheren van de sites, maar de eindverantwoordelijkheid ligt bij onze klanten. Met de ISAE-3000 rapportage geeft Avetica het management en de Functionaris Gegevensbescherming (of Data Protection Officer) van onze klanten inzicht in onze processen. Daarmee hebben de klanten van Avetica een middel in handen om de privacy processen op elkaar te laten aansluiten. Ook voorkomt deze ISAE-3000 rapportage dat elke klant een onafhankelijke audit moet laten uitvoeren bij Avetica. En dat scheelt weer kosten bij onze klanten.

Ook ISO 27001 en 9001

In dezelfde periode heeft Avetica ook de vernieuwde ISO 27001 en 9001 certificaten ontvangen. Met deze internationaal erkende kwaliteitsnormen tonen wij aan dat Avetica staat voor continue verbetering, duurzame bedrijfsvoering en optimale informatiebeveiliging.

Het bericht Privacy en informatiebeveiliging op orde met nieuwe ISAE 3000 & ISO 27001 verscheen eerst op Avetica.