Skip to Content
Deze website van Noordhoff Uitgevers maakt gebruik van cookies. Lees meer over cookies >
Akkoord   Weigeren

 

Meer informatie over Beveiliging

Maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking.

Organisatie van informatiebeveiliging en communicatieprocessen

  • Noordhoff Uitgevers heeft een privacy- en beveiligingsbeleid vastgesteld waarin de verschillende rollen worden omschreven. Belangrijk zijn onderstaande rollen.
  • Noordhoff Uitgevers heeft een functionaris voor de gegevensbescherming, die hoofdzakelijk verantwoordelijk is voor het informeren en adviseren van Noordhoff Uitgevers over haar verplichtingen uit hoofde van de AVG en houdt toezicht op naleving. De verantwoordelijkheden van deze functionaris (DPO) staan beschreven in het hiervoor bestemde beleid van Infinitas.
  • De Corporate Security Officer (CSO) is verantwoordelijk voor het beveiligingsbeleid van Infinitas.
  • Infinitas heeft per dochteronderneming en per rechtsgebied een lokale privacycontactpersoon ('Privacy Contact') benoemd, die de taak heeft van directies van dochterondernemingen in samenwerking met de DPO het privacybeleid en de procedures van de entiteit uit te voeren en te ontwikkelen.
  • Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
  • Noordhoff Uitgevers heeft een proces ingericht voor omgang met (en communicatie over) informatiebeveiligingsincidenten (datalek procedure).

Medewerkers

  • Met alle medewerkers zijn in hun arbeidsvoorwaarden geheimhoudingsverklaringen overeengekomen.
    - Noordhoff Uitgevers stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
    - Medewerkers hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.

Fysieke beveiliging en continuïteit van de middelen

  • Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf. Er is een toegangsprotocol opgesteld. Toegang wordt bovendien geregistreerd.
  • Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
  • Er worden periodiek back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
  • De locaties waar gegevens worden verwerkt zijn beveiligd door middel van sloten, alarmsystemen en videobewaking en worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico’s. Noordhoff Uitgevers beschikt over bedrijfscontinuïteitsplannen waarin uitwijklocaties zijn opgenomen.

Netwerk-, server- en applicatiebeveiliging en onderhoud

  • De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
  • De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord.
  • De digitale leermiddelen waarbinnen persoonsgegevens worden verwerkt komen tot stand op basis van systeemplanning, beveiligingscontrole en acceptatie (DTAP). Wijzigingen in applicaties worden getest op kwetsbaarheden voordat deze in productie worden genomen.
  • Op systemen worden periodiek de laatste (beveiligings)patches geïnstalleerd op basis van patchmanagement.
  • Gegevens die binnen applicaties worden verwerkt zijn geclassificeerd op risico’s.
  • Penetratietests en vulnerability assessments worden periodiek uitgevoerd.
  • Niet (meer) gebruikte informatie wordt verwijderd.
  • Op wachtwoorden zijn cryptografische maatregelen toegepast om deze gegevens veilig op te slaan.
  • Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen. De uitwisseling van persoonsgegevens aan derden in opdracht van de onderwijsinstelling vindt versleuteld plaats.

Omschrijving van de maatregelen om zwakke plekken te identificeren
De systemen van Noordhoff Uitgevers worden periodiek gecontroleerd op veiligheid. Daarnaast voorziet het beveiligingsbeleid van Noordhoff Uitgevers in interne processen om kwetsbaarheden te identificeren, waaronder een responsible disclosure-beleid (zie hieronder).

Melding van een inbreuk in verband met persoonsgegevens
Noordhoff Uitgevers monitort 24/7 haar dienstverlening en heeft maatregelen getroffen om ongeoorloofde of onrechtmatige toegang tot gegevens te voorkomen en te identificeren. Signalen die duiden op een inbreuk in verband met persoonsgegevens worden beoordeeld door de Corporate Security Officer en functionaris voor gegevensbescherming van Noordhoff Uitgevers, die analyseert of sprake kan zijn van een inbreuk in verband met persoonsgegevens, het type inbreuk en of dit een inbreuk betreft die valt onder haar rol als verwerker of haar rol als verwerkingsverantwoordelijke.

Wanneer zich een inbreuk in verband met persoonsgegevens voordoet ten aanzien van persoonsgegevens die Noordhoff Uitgevers verwerkt als verwerker, wordt de verwerkingsverantwoordelijke door of namens Noordhoff Uitgevers binnen 24 uur na vaststelling dat sprake is van een inbreuk per e-mail geïnformeerd. Afhankelijk van de situatie, kan ook informatie worden gedeeld via onze website en officiële sociale media kanalen en/of officiële distributeurs en/of handelsagenten.

Noordhoff Uitgevers deelt de volgende informatie aan verwerkingsverantwoordelijken wanneer zich een inbreuk in verband met persoonsgegevens voordoet:

  • De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging zit het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens).
  • De oorzaak van het beveiligingsincident.
  • De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen.
  • Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin zij gevolgen kunnen ondervinden.
  • De omvang van de groep betrokkenen.
  • De aard van de persoonsgegevens die door het incident worden getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).

Indien een concrete situatie zich daartoe leent, dan kan Noordhoff Uitgevers een (eerste) melding van een inbreuk in verband met persoonsgegevens doen bij de autoriteit. De verwerkingsverantwoordelijke wordt hierover geïnformeerd en blijft ook in dit geval eindverantwoordelijk voor de melding.

Wanneer zich een inbreuk in verband met persoonsgegevens voordoet ten aanzien van persoonsgegevens die Noordhoff Uitgevers verwerkt als verwerkingsverantwoordelijke:

Wanneer een inbreuk in verband met persoonsgegevens die Noordhoff Uitgevers verwerkt als verwerkingsverantwoordelijke heeft plaatsgevonden, meldt Noordhoff Uitgevers deze uiterlijk 72 uur nadat zij er kennis van heeft genomen, aan de bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt Noordhoff Uitgevers de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.

Responsible disclosure
Een zwakke plek in onze systemen kunt u melden via securityofficer@infinitaslearning.com. Meld de kwetsbaarheid voordat u dit aan de buitenwereld kenbaar maakt. Zo kunnen wij eerst maatregelen treffen. Dit heet responsible disclosure.

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende.
  • Laat uw contactgegevens (e-mailadres of telefoonnummer) achter zodat wij contact met u kunnen opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
  • Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van door bijvoorbeeld malware te plaatsen, gegevens in een systeem te kopiëren, wijzigen of verwijderen, veranderingen aan te brengen in het systeem, herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen, gebruik te maken van ‘bruteforcing’, denial-of-service of social engineering.

Voldoet uw melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan uw melding.

Wat doen wij met uw responsible disclosure melding?
Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? Dan reageren we binnen 3 werkdagen op uw melding. We houden u als melder op de hoogte van de voortgang van het oplossen van het probleem en lossen het beveiligingsprobleem zo snel mogelijk op. We zullen samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. We bieden u verder een beloning als dank voor de hulp en behandelen uw melding vertrouwelijk. We delen uw gegevens niet zonder uw toestemming behalve als dit wettelijk verplicht is. Als u dat wilt, kunnen we uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.