Veiligheid & privacy
Veiligheid & Privacy gegarandeerd (AVG-proof)
Volledig AVG-proof (privé-data na 8 dagen verwijderd)
Privédata wordt slechts gedurende 8 dagen bewaard. Deze 8 dagen zijn gelijk aan de bezwaartermijn ten aanzien van de verkiezingsuitslag. Op dag 8 na de verkiezing worden de privégegevens verwijderd uit onze systemen. Uw data wordt niet langer bewaard dan strikt noodzakelijk, volledig AVG-proof.
Data opgeslagen in de Europes dataregio
Alle data in onze verkiezingstool wordt opgeslagen binnen de Europese dataregio (AWS Dublin, Ierland). Er vindt geen dataoverdracht plaats met andere dataregio’s (buiten EU).
Ons SaaS-platform (Sofware As A Service) wordt gehost in meerdere datacenters op verschillende locaties. We gebruiken redundante hardware en load balancing. In combinatie met 7/7 monitoring maakt dat we een zeer hoge beschikbaarheid kunnen bieden.
Veilige gecertificeerd platform & hosting (o.a. ISO27001)
De hosting-omgeving waarop wij onze diensten aanbieden is ondergebracht bij AWC (Amazon Web Services) en voorzien van diverse ISO/IEC-vertificeringen: 27001, 27017, 27018, 27701, 22301, 20000-1 en 9001. De datacenters wordt 7/7 gemonitord en is ondergebracht in Klasse-A datacenters (ACS). Als onderdeel van deze beveiliging worden interne accounts na 5 foutieve aanmeldpogingen geblokkeerd. Het SAAS-platform waarop wij onze diensten inrichten is eveneens ISO 27001-gecertificeerd.
Data Privacy Framework Program
Het Data Privacy Framework Program (DPF) biedt een juridische basis voor de overdracht van persoonsgegevens van de EU naar de VS en voldoet aan de EU-AVG. Dit programma is van toepassing omdat data van OnlineORverkiezingen.nl in theorie kan worden ingezien vanuit de VS ten behoeve van technische ondersteuning.
Het SAAS-platform waarvan wij gebruik maken, is aangesloten bij het DPF-programma met (o.a.) het onderdeel EU-U.S. Data Privacy Framework.
Penetratie-testen (PEN-test)
Als onderdeel van de beveiliging worden periodiek zogenaamde PEN-testen uitgevoerd. Deze testen worden uitgevoerd door Cobalt Labs.
Een PEN-test, of penetratietest, is een gecontroleerde aanval op een IT-systeem, netwerk of applicatie om beveiligingslekken te identificeren. Een ethische hacker probeert zwakke plekken te vinden en te misbruiken, net zoals een echte aanvaller zou doen. Het doel is om kwetsbaarheden op te sporen voordat kwaadwillenden dat doen, zodat organisaties hun beveiliging kunnen verbeteren.
TLS 1.2 en het HTTPS-protocol
TLS 1.2 en HTTPS zorgen ervoor dat gegevens veilig worden verzonden via het internet.
TLS 1.2 (Transport Layer Security 1.2) is een beveiligingsprotocol dat ervoor zorgt dat communicatie tussen computers versleuteld en beschermd is tegen afluisteren of manipulatie.
HTTPS (HyperText Transfer Protocol Secure) is de veilige versie van HTTP en maakt gebruik van TLS (zoals TLS 1.2) om websites te beveiligen.
Kort gezegd: TLS 1.2 beveiligt de verbinding, en HTTPS betekent dat een website deze beveiliging gebruikt.
URL-hash
Iedere e-mailuitnodiging is voorzien van een knop naar een persoonlijk stembiljet. De link achter deze knop is bewerkt (versleuteld en gecomprimeerd) tot een unieke ‘hash-URL’ (klik hier voor meer informatie over hashing op Wikipedia). Toegang verkrijgen tot een ander stembiljet door aanpassen van de link (URL) is dus praktisch onmogelijk.
FIPS 140-2
De Federal Information Processing Standard (FIPS)-publicatie 140-2 is een beveiligingsstandaard van de Amerikaanse overheid die de beveiligingsvereisten specificeert voor cryptografische modules die gevoelige informatie beschermen. Het platform waarop onze applicatie wordt uitgevoerd voldoet aan deze standaard.
PCI DSS Level 1
We draaien onze applicaties op een hosted omgeving met een PCI-compatibele technologie-infrastructuur voor het opslaan, verwerken en verzenden van uw en onze gegevens in de cloud. Ook de privacygegevens voor kandidaatstellingen en verkiezingen zijn dus in veilige handen.
SOC 2
Het softwareplatform waarop wij onze services aanbieden is voorzien van SOC 2 certificering. Dit betekent ons softwareplatform voldoet aan strenge eisen op het gebied van beveiliging, beschikbaarheid, privacy en gegevensintegriteit.
SOC 1/SSAE 16/ISAE 3402 (voorheen SAS 70 Type II)
SOC 1 (Service Organization Control 1), SSAE 16 (Statement on Standards for Attestation Engagements No. 16) en ISAE 3402 (International Standard on Assurance Engagements 3402) zijn standaarden voor het controleren van de interne controles van een serviceorganisatie, zoals een IT-dienstverlener of een financieel bedrijf.
Kort gezegd: het is een manier om aan klanten en auditoren te bewijzen dat een organisatie haar processen goed beheert en betrouwbaar is.
AES-256 encryptie
Data wordt op ons platform versleuteld opgeslagen volgens versleutelingsmethode AES-256. AES staat voor Advanced Encryption Standard, en 256 verwijst naar de lengte van de sleutel (256 bits), wat zorgt voor een extreem hoog beveiligingsniveau. AES-256 wordt beschouwd als praktisch onkraakbaar met de huidige technologie en wordt onder andere gebruikt door banken.
CSA-standaarden
De datacentra waar onze data wordt opgeslagen voldoen aan de CSA-standaarden en hebben betrekking op de beveiliging, privacy, compliance en risicobeheer binnen cloudcomputing. Ze omvatten zaken als databeveiliging, toegangsbeheer, incidentrespons, encryptie, naleving van regelgeving (bijv. GDPR/AVG) en transparantie over hoe cloudproviders deze zaken waarborgen.
Twee-factor-authenticatie
Om toegang te krijgen tot onze configuratie-omgeving maken wij gebruik van twee-factor-authenticatie. Dit is een extra beveiligingslaag om ons account te beveiligen. Naast het invoeren van een gebruikersnaam en wachtwoord moet tevens een unieke code worden ingevoerd welke bij ieder inlog wordt gegenereerd met behulp van een speciale authenticator-app (op smartphone). Dit bemoeilijkt toegang door hackers.
Gescheiden domeinen
De digitale kandidaatstellingen en verkiezingen worden verzorgd vanuit een gescheiden domein (dus NIET op het domein https://onlineORverkiezingen.nl). Door het scheiden van domeinen wordt privacy-gevoelige data optimaal afgeschermd.
Eset internet security op laptops en PC's
Alle computer van OnlineORverkiezingen zijn voorzien van up-to-date Eset Internet Security. ESET Internet Security is een uitgebreide beveiligingssoftware ontworpen om PC’s en laptops te beschermen tegen online bedreigingen. Het biedt real-time bescherming tegen virussen, malware, phishing-aanvallen en andere schadelijke software. De software bevat tevens functies zoals een firewall, bescherming tegen ransomware en een veilige webbrowser voor online betalingen.
Administratieve waarborgen
Omwille van klantgerichtheid en veiligheid wordt iedere individuele verkiezing/kandidaatstelling toegewezen aan een vast team. Hierbij zijn specifieke taken en bevoegdheden vastgelegd in ‘rollen’ per functie.
Met specifieke dienstverleners voor technische ondersteuning zijn Verwerkersovereenkomsten afgesloten. Voor het online platform waarop de verkiezing/kandidaatstelling wordt gefaciliteerd is een Data Processing Agreement afgesloten met de faciliteerende partij (SAAS).
VPN-verbinding
Bij het gebruik van laptops wordt standaard gebruik gemaakt van een VPN-verbinding via NordVPN.
Een VPN (Virtual Private Network) zorgt voor een beveiligde verbinding tussen de laptop en het internet. Het internetverkeer wordt door een versleutelde virtuele tunnel gestuurd om het lekken van (privé)data te voorkomen.
OnlineORverkiezingen.nl werkt uitsluitend met haar eigen Verwerkersovereenkomst, specifiek toegespitst op het verwerken van persoonlijke data ten behoeve van de organisatie van digitale OR-verkiezingen en digitale kandidaatstelling