Dit artikel legt uit hoe BrynQ AVG-gerelateerde maatregelen ondersteunt, zoals logging, datalocatie, incidentmelding en gegevensverwijdering.
Overzicht gegevensbescherming in BrynQ
BrynQ is zo ingericht dat u persoonsgegevens kunt beschermen en aan wettelijke verplichtingen kunt voldoen. Het ISO 27001-gecertificeerde managementsysteem van Salure beschrijft maatregelen voor logging, toegang, back-up, versleuteling en incidentafhandeling die ook gelden voor BrynQ.
Auditlogging en herleidbaarheid
BrynQ houdt auditlogs bij van stamgegevenswijzigingen en laat zien wat is gewijzigd, door wie en wanneer.
API-transacties en andere belangrijke interacties worden ook gelogd en zijn herleidbaar.
Salure biedt een uitgebreide audittrail voor haar applicaties; klanten kunnen deze zelf inzien. Logs kunnen niet worden verwijderd en worden regelmatig beoordeeld.
Er zijn maatregelen voor event logging, bescherming van logs en beheerlogs.
Datalocatie en opslag in de EU
Gegevens die BrynQ verwerkt, staan in professionele datacenters in Nederland.
Standaard worden gegevens binnen de Europese Unie opgeslagen, tenzij u met Salure een andere locatie afspreekt.
De ISO 27001-scope van Salure omvat de ontwikkeling en levering van software en Business Intelligence-diensten voor de Nederlandse vestigingen, waaronder BrynQ.
Incidentmelding en rapportage
Klanten worden “zonder onredelijke vertraging” geïnformeerd als een beveiligingsincident hun gegevens raakt.
Er zijn maatregelen voor het melden van informatiebeveiligingsincidenten en zwakheden, het beoordelen van incidenten en het leren van incidenten, met duidelijke verantwoordelijkheden en procedures.
Deze processen zorgen voor een gestructureerde aanpak van datalekken en andere ernstige problemen.
Gegevensopvraag en vernietiging bij einde contract
Er zijn vastgelegde procedures voor gegevensopvraag als de samenwerking eindigt.
Er zijn ook procedures voor veilige gegevensvernietiging, gebaseerd op ISO 27001-richtlijnen.
In de BrynQ-architectuur worden klantgegevens opgeslagen in aparte containers en op persistente opslag; de bewaartermijn wordt met de klant afgesproken, of data wordt helemaal niet opgeslagen.
Maatregelen over teruggave van middelen, verwijdering van media en bescherming van archieven ondersteunen deze werkwijze.
Back-ups en beschikbaarheid van gegevens
Database-back-ups worden elke 15 minuten gemaakt en lang bewaard, met extra maandelijkse kopieën.
Back-ups voor de BrynQ-app worden meerdere keren per dag gemaakt; de RPO is daarmee in de praktijk direct, en de RTO is één werkdag.
Deze maatregelen helpen om persoonsgegevens beschikbaar te houden en te kunnen herstellen wanneer dat nodig is.
Procedure:
Maak bij een AVG- of privacytoets een lijst van onderwerpen die u moet controleren: logging, locatie, back-ups, incidentafhandeling en exit-procedures.
Gebruik de sectie “Auditlogging en herleidbaarheid” om vast te leggen hoe BrynQ wijzigingen en interacties registreert.
Gebruik de sectie “Datalocatie en opslag in de EU” om vragen over opslaglocatie te beantwoorden.
Leg met de sectie “Incidentmelding en rapportage” uit hoe Salure u informeert over beveiligingsincidenten en hoe deze worden afgehandeld.
Raadpleeg “Gegevensopvraag en vernietiging bij einde contract” bij het opstellen van een exit-plan en stem dit af met uw eigen beleid.
Neem de informatie uit “Back-ups en beschikbaarheid van gegevens” op in uw interne documentatie, zodat uw risico- en continuïteitsteams de RPO- en RTO-waarden van BrynQ kennen.
Aanvullende informatie:
Veel van deze werkwijzen zijn gekoppeld aan ISO 27001-maatregelen over assetmanagement, toegangsbeheer, operations security, communicatiebeveiliging en incidentmanagement.
U kunt interne auditors ondersteunen met een kopie van het ISO 27001-certificaat en de Statement of Applicability van Salure.