Silvasoft en de Algemene  Verordening Gegevensbescherming (AVG)

De ingangsdatum van 25-05-2018 voor Algemene Verordening Gegevensbescherming (AVG) komt snel dichterbij. Dat betekent dat uw organisatie diverse zaken op orde moet hebben. Wat dat allemaal precies inhoud vind u bijvoorbeeld op de site van de Rijksoverheid. Voor u als klant van Silvasoft betekend het dat u akkoord dient te gaan met een verwerkersovereenkomst tussen u en Silvasoft.

Vanaf vandaag kunt u in de Silvasoft applicatie melding krijgen met de vraag om akkoord te gaan met onze verwerkersovereenkomst.

In het verdere van deze nieuwsbrief vertellen wij u graag meer over de manier waarop wij uw gegevens verwerken en wat daarbij uw en onze verantwoordelijkheid is.

Definities

In Silvasoft slaat u diverse (persoons)gegevens op die onder de AVG regelgeving vallen. Voor deze gegevens bent u zelf de verwerkingsverantwoordelijke. Dat wil zeggen: u bepaalt (of dient te bepalen) waarom u deze gegevens verzamelt en in Silvasoft heeft opgeslagen. Als u dat niet weet dan heeft u ook geen recht om de betreffende gegevens op te slaan. U bepaalt ook welke gegevens u opslaat. Zo mag u niet zomaar bijzondere persoonsgegevens opslaan zoals gegevens over ras, gezondheid, religie, etc. U dient hier gronden voor te hebben om dergelijke gegevens te registeren.

Silvasoft als bedrijf bepaalt niet, en weet niet, met welk doel u gegevens van uw klanten in Silvasoft registreert. Silvasoft faciliteert echter wel de opslag van uw gegevens en is daarmee volgens de AVG een verwerker. De gegevens staan immers op een server die beheert wordt door Silvasoft. Het beheren van deze server doet Silvasoft samen met het bedrijf Mendix, daarover later meer.

Omdat uw gegevens nergens voor gebruikt worden door Silvasoft is Silvasoft geen verwerkingsverantwoordelijke van uw gegevens. Dat bent en blijft u zelf. U heeft wel een verwerkersovereenkomst nodig met Silvasoft, zoals u dat met alle partijen nodig heeft die voor uw organisatie gegevens verwerken.

Meer over Silvasoft (verwerker)

Wij als Silvasoft zijn zeer bewust als het gaat om het veilig opslaan van uw data en het beschermen daarvan. De kernexpertise van Silvasoft is het bouwen van veilige software die voldoet aan de marktbehoeften. Deze softwareontwikkeling doen we in-house en is dus niet uitbesteed aan een andere partij. Er is dus geen derde partij die toegang heeft tot de broncode van Silvasoft. Het ontwikkelen van de software doen we met het Low-Code platform Mendix. Dit betekent dat we op een visuele manier ontwikkelen in plaats van traditioneel programmeren.

Meer over Mendix (subverwerker)

Mendix is al jarenlang één van de snelst groeiende software bedrijven van Nederland en inmiddels ook daarbuiten. U kunt Mendix beschouwen als een legodoos die Silvasoft in staat stelt snel software te ontwikkelen. In tegenstelling tot andere aanbieders die vele Fte’s nodig hebben om de software te onderhouden en door te ontwikkelen heeft Silvasoft maar een kleine ontwikkelafdeling. Deze ‘legodoos’ stelt Silvasoft namelijk in staat om zeer snel software te ontwikkelen, hopelijk heeft u dit zelf ook al eens mogen ervaren doordat één van uw verzoeken snel is geïmplementeerd.

Naast de ontwikkeling van de software dient deze software ook ‘gehost’ te worden. Deze hosting heeft Silvasoft uitbesteed aan Mendix. Silvasoft wordt gehost in de zgn. Mendix Cloud. Deze Mendix Cloud draait in Nederland en de Silvasoft data staat primair in het gecertificeerde datacenter bij XS4ALL in Amsterdam. Daarnaast worden er elke nacht back-ups gemaakt en die worden bewaard in het datacenter van BIT in Ede. Dit is bewust op een geografische locatie zodat in het geval van lokale overmacht (bijv. brand) er altijd een back-up van uw gegevens is.

Mendix is dus eveneens een verwerker van uw gegevens als onderaannemer van Silvasoft. Omdat Silvasoft dit heeft uitbesteed is Mendix volgens AVG de subverwerker. U als verwerkingsverantwoordelijke hoeft niets af te spreken met de subverwerker. Voor de subverwerker gelden dezelfde verplichtingen zoals deze gelden volgens de verwerkersovereenkomst die u heeft met Silvasoft.

Welke maatregelen nemen Silvasoft en Mendix

Hieronder een niet limitatieve opsomming van maatregelen die door Silvasoft wordt genomen om uw gegevens te beschermen:

Organisatorische maatregelen Silvasoft:

  • Binnen Silvasoft werken we o.b.v. een need-to-know basis en hebben een duidelijke functieonderscheiding. Op database niveau betekent dit dat er maar enkele personen zijn die daadwerkelijk bij de productiedatabase kunnen komen (beheerder/ontwikkelaar). De toegang tot de productiedatabase is beveiligt en afgeschermd. Onze support desk kan niet bij de database komen.
  • Op applicatie niveau hebben we ook verregaande beveiliging van uw gegevens doorgevoerd. Silvasoft kent geen ‘superusers’. Er is dus geen enkele medewerker van Silvasoft die via de applicatie in uw ‘mijn-Silvasoft’ kan inloggen. Dat kunt u alleen zelf. U heeft dit wellicht ervaren via de helpdesk: wij kunnen niet bij uw gegevens komen mits u ons toegang geeft waarbij we acteren als administratiekantoor.
  • Op testomgevingen werken we zoveel mogelijk met testdata. De testomgeving draait eveneens in de gecertificeerde Mendix Cloud. Indien het nodig is voor reproductie van issues /bugs kunnen we bij uitzondering gebruik maken van de productiedatabase. Deze wordt dan tijdelijk op een testomgeving geplaatst en weer verwijderd zodra het issue is opgelost.
  • Op de workstations van onze medewerkers worden geen gegevens gedownload. Desondanks zijn ook onze workstations beveiligt en maken we gebruik van o.a. bitlocker voor de encryptie van schijven.
  • We gebruiken binnen Silvasoft geen transferabele media (USB sticks, externe schrijven, etc.).
  • We hebben geschreven procedures voor indiensttreding en uitdiensttreding van medewerkers zodat de toegang respectievelijk correct wordt ingeregeld en correct wordt ontnomen.

Technische maatregelen Silvasoft:

  • Toegang tot de Mendix Cloud is beschermt o.b.v. 2 Factor authentication via Google Authenticator of SMS
  • De Silvasoft website en applicatie draait o.b.v. SSL t.b.v. de beveiliging van al het verkeer tussen uw computer en de Silvasoft server.
  • De Silvasoft applicatie wordt eveneens regelmatig onderworpen aan security testen. Deze zijn niet gericht op het inbreken op de (algemene) Mendix Cloud maar het inbreken op de Silvasoft applicatie. Deze testen worden uitgevoerd door derde partijen en daarbij zijn tot op heden geen lekken geconstateerd.
  • Silvasoft draait op recente versies van het Mendix low-code platform, Unix Debian, NGINX en PostgreSQL. Upgrades naar nieuwere versie gebeuren op regelmatige basis zodat de laatste beveiligingsmaatregelen geïmplementeerd zijn voor uw gegevens.

Organisatorische en technische maatregelen m.b.t. de subverwerker Mendix:

  • Silvasoft werkt alleen met gecertificeerde subverwerkers. Mendix is ISAE 3402 Type II gecertificeerd. Mendix is momenteel de enige subverwerker.
  • De Mendix Cloud wordt maandelijks onderworpen aan zogenaamde penetratietesters waarmee (goedwillende) hackers proberen in te breken op de Mendix Cloud. Als bewijs van de technische en organisatorische maatregelen die Mendix ten aanzien van beveiliging hebben geïmplementeerd beschikt Silvasoft over een ISAE 3402 Type II rapport.
  • Mendix verwacht in 2018 tevens de ISO/IEC 27001:2013 certificering, de ISO 22301:2012 en de SOC 2 attestatie in 2018 af te ronden.
  • Mendix is eigenaar van de servers bij XS4All en BitNet. Beide datacenters zijn ook gecertificeerd.

Veelgestelde vragen

Mijn klant wil weten welke gegevens ik over hem heb opgeslagen. Kan ik dit uit Silvasoft exporteren? Op dit moment kunt u via de module CRM > Instellingen > tabblad ‘Klantenkaart /  adreslabels’ middels een ontwerp uw eigen klantenkaart genereren. Hiermee kan een uitdraai gemaakt worden van een persoon of organisatie. Ook kunt u klantgegevens exporteren naar Excel / CSV.

Heb ik een ondertekende verwerkersovereenkomst nodig met Silvasoft?
Nee, omdat Silvasoft een leverancier is van standaard software volstaat het accorderen via de Silvasoft applicatie.

Kan ik mijn eigen verwerkersovereenkomst gebruiken en die door Silvasoft laten tekenen?
Nee, Silvasoft verwerkt alleen op basis van de overeenkomst zoals door Silvasoft opgesteld. Deze overeenkomst is gebaseerd op het model zoals door de Rijksoverheid is voorgeschreven. Mocht u het onverhoopt toch niet eens zijn met de inhoud van de overeenkomst kunt u uw abonnement opzeggen.