FAQ Security Visma Verzuim

Vragen en antwoorden over de security van Visma Verzuim

Visma Verzuim is de verzuimapplicatie voor het managen van verzuim. Om dit goed te kunnen doen, is het nodig om privacygevoelige informatie en bijzondere persoongegevens vast te kunnen leggen. Uiteraard wil je er verzekerd van zijn, dat de data goed beveiligd is en de privacy is gewaarborgd. De producten van Visma Verzuim maken onderdeel uit van het zeer uitgebreide security-programma van Visma. De belangrijkst informatie hierover vind je op onze website.

Om onze gebruikers zo goed en volledig mogelijk te informeren vind je op deze pagina de meestgestelde vragen over de security van Visma Verzuim. Staat jouw vraag er niet bij? Neem gerust contact op via privacy.vismaverzuim@visma.com

Meestgestelde vragen over de beveiling van Visma Verzuim

Op welke locatie wordt mijn klantdata opgeslagen?

Visma Verzuim VZS (voorheen VerzuimSignaal)

Voor Visma Verzuim VZS wordt de data op twee locaties opgeslagen. De locaties worden beheerd door Equinix en Previder.

Equinix (EN1)

Locatie: Auke Vleerstraat 1, 7521 PE Enschede
Tier: 3+
Functie: data storage
Certificering: ISO 50001:2011 – ISO 9001:2015 – ISO 14001:2015 – SOC2 Type II

Previder (PDC1 en PDC2)

Locatie: Hengelo
Tier: 3+
Functie: data storage en arbiter
Certificering: ISO 27001 – ISO 9001 – NEN7510 – SOC2 Type II

 

Visma Verzuim DWC (voorheen Dotweb)

Voor Visma Verzuim DWC wordt de data op één locatie opgeslagen. De locatie wordt beheerd door Bit.

Bit (BIT-2A)

Locatie: Galileilaan 19, 6716 BP Ede
Tier: 3+
Functie: data storage
Certificering: ISO 27001, ISO 9001, ISO 14001, NEN 7510, VEB (beveiligingsklasse 4)

Hoe wordt de continuïteit van de Visma Verzuim-applicaties gewaarborgd?

Het beschikbaar zijn van onze applicaties, zodat jij ongestoord kunt werken, is misschien wel één van de belangrijkste redenen om voor een applicatie van Visma Verzuim te kiezen. In onze Service Level Agreement (SLA) hanteren wij daarom een gemiddeld beschikbaarheidspercentage van 99,7%.

 

Om deze beschikbaarheid te kunnen garanderen, is onze infrastructuur redundant uitgevoerd. Dat betekent onder andere dat als er een component binnen de infrastructuur defect raakt, de applicatie beschikbaar blijft en jij gewoon door kunt werken.

 

Visma Verzuim heeft de scenario’s en bijbehorende risico’s in kaart gebracht voor die situaties waarbij een volledig datacenter niet meer beschikbaar is. Hoe klein de risico’s voor bepaalde scenario’s ook zijn, Visma Verzuim heeft voor al deze scenario’s een Disaster Recovery Plan opgesteld om zo snel als mogelijk de continuïteit van de service te herstellen.

Hoe is het Security Incident Management geregeld bij Visma Verzuim?

Visma Verzuim stelt alles in het werk om haar applicaties veilig te houden. Hoewel we streven naar een optimale veiligheid van onze applicaties kan een security incident zich in een sporadisch geval toch nog voordoen.

 

Bij het constateren van een (potentieel) security-incident wordt direct het Visma Verzuim security-incident en datalekprotocol gestart. Alle medewerkers zijn bekend met dit protocol en weten hoe te handelen in dergelijke situaties. Op deze manier kunnen we zo snel als mogelijk de relevante interne en externe stakeholders aanhaken om duidelijkheid te verschaffen over oorzaak, impact, mitigerende maatregelen en tijdslijnen.

Hoe is het toegangsbeheer van de Visma Verzuim-systemen geregeld?

Medewerkers van Visma Verzuim werken met systemen en applicaties die gevoelige informatie verwerken. Het is daarom van belang dat niet iedereen toegang heeft tot deze systemen en applicaties. Om die reden hanteert Visma Verzuim het ‘need to know’ principe: heb je geen noodzaak voor toegang tot een systeem, dan heb en krijg je deze toegang ook niet.

 

Visma Verzuim-medewerkers die toegang moeten hebben tot systemen met gevoelige data kunnen deze enkel benaderen via een beveiligde verbinding (VPN). Uiteraard wordt deze beveiligde verbinding gemonitord op ongeautoriseerde toegang en er is alleen toegang mogelijk via 2FA.

 

Ieder kwartaal vindt er een extra controle plaats om vast te stellen dat in- en uitdiensttredingen en wijzigingen in autorisaties correct zijn doorgevoerd in de verschillende systemen en applicaties.

Hoe is encryptie van 'data at rest' en 'in transit' geregeld?

Visma Verzuim hanteert encryptie voor ‘data at rest’ en ‘in transit’ conform geldende industry standaarden:

  • At rest: Rijndael AES 256
  • In transit: TLS 1.3
Wat is de exit-strategie als ik Visma Verzuim wil verlaten?

Wij hechten veel waarde aan langdurige klantrelaties en investeren samen met onze klanten in een sterke samenwerking. Ondanks deze investering kun je als klant ervoor kiezen de dienstverlening met Visma Verzuim B.V. te beëindigen. Gegevens die Visma Verzuim B.V. verwerkt, blijven eigendom van de verwerkersverantwoordelijke.

 

Gedurende het exitproces heb je de mogelijkheid om je data terug te vragen door middel van een zogenaamde datadump. Visma Verzuim levert jouw data via een Secure File Transfer Protocol (SFTP) in een gangbaar bestandsformaat op. Maak je geen gebruik van de mogelijkheid om je data terug te vragen? Na beëindiging van je contract bewaren wij jouw data 30 dagen. Daarna wordt de data door Visma Verzuim B.V. verwijderd.

Hoe verloopt het development- en releaseproces?

Het ontwikkelen van software is onze core business waarmee we continu waarde toevoegen aan onze producten voor onze klanten. Het ontwikkelproces is gebaseerd op Agile scrum, waardoor we in staat zijn snel nieuwe ontwikkelingen aan onze producten toe te voegen. 

 

Ontwikkelingen volgen een gestandaardiseerde OTAP-straat met code reviews, unittesten en statische vulnerability scans, waardoor kwaliteit gewaarborgd wordt. Na diverse uitgebreide testen en het akkoord van de lead tester worden de ontwikkelingen naar productie gebracht door de release manager van Visma Verzuim.

 

Nieuwe ontwikkelingen worden aangekondigd in de releasenotes die een aantal dagen voor de nieuwe release worden verstuurd. 

Hoe meld ik security en/of privacy gerelateerde kwetsbaarheden (Responsible disclosure)?

Voor Visma Verzuim is het belangrijk dat kwetsbaarheden in onze producten gemeld worden, zodat we continu in staat zijn onze producten veilig te houden. Hiervoor is een beleid opgesteld hoe om te gaan met de kwetsbaarheden, op welke wijze je deze kenbaar kunt maken en wat je hierin van Visma Verzuim mag verwachten.

 

Wanneer je met ons samenwerkt volgens dit beleid, kun je van ons verwachten dat we:

 

  • Safe Harbor uitbreiden voor uw kwetsbaarheidsonderzoek dat verband houdt met dit beleid.
  • Samen met je werken om je rapport te begrijpen en te valideren, inclusief een eerste reactie op de indiening binnen 12 kantooruren.
  • Werken om de ontdekte kwetsbaarheden tijdig te verhelpen.

Heb je een kwetsbaarheid gevonden, meld dit dan via security.vismaverzuim@visma.com

 

Meer informatie over onze responsible disclosure beleid, procedure en voorwaarden, vind je hier.

Wat zorgt Visma Verzuim voor bewustwording, training en opleiding wat betreft security en privacy?

Alle medewerkers van Visma Verzuim nemen deel aan het Security Awareness Programma. Eén van de onderdelen van dit programma is een verplichte onboarding van security en privacy voor nieuwe werknemers en contractors. Deze onboarding wordt kort na begin van het dienstverband gegeven. Een ander onderdeel van het Security Awareness Programma zijn drie verplichte awareness trainingen (privacy, security en anti-corruption) die jaarlijks worden herhaald. Daarnaast ontvangen alle technici een jaarlijkse training in veilig coderen. Tot slot zorgt het Security Team voor continue aandacht voor o.a. beveiliging in e-mails, blogberichten en in presentaties tijdens interne evenementen.

Welke certificeringen heeft Visma Verzuim?

Visma Verzuim is ISO 27001: 2013 gecertificeerd voor Informatiebeveiliging. Daarnaast heeft Visma Verzuim het Kiwa AVG certificaat, waarmee wordt aangetoond dat Visma Verzuim als verantwoordelijke en als verwerker voldoet aan de geldende AVG wetgeving.

 

Klik hier voor de certificaten: @certificaten

Hoe heeft Visma Verzuim VZS haar medische data beveiligd?

De medische data in de Visma Verzuim-applicatie wordt gekenmerkt als bijzondere persoonsgegevens en moet daarom met extra maatregelen beveiligd worden om uiteindelijk de privacy van betrokkenen te waarborgen. Visma Verzuim heeft dit voor de applicatie Visma Verzuim VZS op onderstaande wijzen bewerkstelligd.

 

Access control medische gebruikers

Allereerst is toegang tot het medische deel van Visma Verzuim VZS alleen te benaderen via een specifieke URL (medisch.verzuimsignaal2.nl) in tegenstelling tot het niet-medische deel van Visma Verzuim VZS (verzuimsignaal2.nl). Enkel met een medisch gebruikersaccount kun je inloggen op het medische gedeelte van Visma Verzuim VZS.

 

De applicatiebeheerder(s) van Visma Verzuim VZS kunnen medische gebruikers aanmaken in de applicatie. Nadat de medische gebruiker is aangemaakt, wordt deze ter goedkeuring naar Visma Verzuim gestuurd. De Visma Verzuim Servicedesk controleert de aanvraag in combinatie met het BIG-register. Indien de gegevens overeenkomen met de gegevens in het BIG-register wordt de aanvraag goedgekeurd en het medische gebruikersaccount geactiveerd. Op deze manier wordt het risico op onterecht aangemaakte medische account tot een minimum beperkt.

 

Encryptie van medische data

Medische data wordt at rest encrypted opgeslagen in de database van Visma Verzuim VZS. De encryptie is conform de industry standard Rijndael AES 256. Voor het transport tussen de database en de front-end van de applicatie (in transit) wordt de encryptie industry standard TLS 1.3 gehanteerd.

Hoe borgt Visma Verzuim dat haar medewerkers niet zomaar bij klantgegevens kunnen?

Visma Verzuim hanteert strikte toegangsbeveiliging tot klantdata. Dit ligt vastgelegd in een Access control policy. De daadwerkelijke vastlegging wie waartoe toegang heeft wordt vastgelegd in de Access control matrix. In de basis is per functie bepaald waartoe een medewerker toegang heeft en tot welk niveau. Als er om moverende redenen aanvullende toegang gegeven moet worden, wordt dit door de direct leidinggevende geaccordeerd en vastgelegd in de Access control matrix.

 

Ieder kwartaal vindt er een controle plaats op de toegangsrechten. Indien nodig vinden hierop correcties plaats en wordt ongeautoriseerde toegang van de betreffende gebruiker onderzocht.

Waarom kiest Visma Verzuim voor ISAE 3000 en niet voor ISAE 3402?

Zowel een ISAE 3000 verklaring als een ISAE 3402 verklaring wordt opgesteld door een onafhankelijke IT-auditor, die staat ingeschreven in het RE-register. De auditor toetst de opgestelde beheersmaatregelen op de werking ervan; vaak over een periode van één jaar. De uitkomst van de jaarlijkse audit wordt vastgelegd in een assurance rapport dat, na ondertekening van een non-disclosure agreement (NDA), verstrekt wordt.

 

Visma Verzuim B.V. heeft gekozen voor de implementatie van een ISAE 3000 en de implementatie hiervan is op dit moment gaande.

 

Het verschil tussen een ISAE 3000 en een ISAE 3402 verklaring rust in het feit dat een ISAE 3402 verklaring gericht is op het beheersen van financiële processen en voornamelijk van toepassing is op bedrijven waarvan hun core business gericht is op bijvoorbeeld salarisverwerking, pensioenen, vermogens- en/ of debiteurenbeheer, etc. Daarnaast biedt een ISAE 3000 ruimte om buiten de gerenommeerde processen en beheersmaatregelen ook andere processen op te nemen, zoals bijvoorbeeld “privacy”. 

 

Gezien de applicaties en diensten die Visma Verzuim levert (niet financieel gedreven) en met het open karakter van ISAE 3000 om relevante processen toe te voegen, zijn wij als Visma Verzuim in staat om een goede aansluiting te vinden bij de assurance-behoefte van onze klanten gezien de dienstverlening die wij leveren en de contractuele afspraken die daaraan ten grondslag liggen.

 

Om die redenen heeft Visma Verzuim gekozen voor de implementatie van ISAE 3000.

Wat is het verschil tussen ISO 27001:2013 en ISO 27001:2017?

In 2017 zijn de belangrijkste internationale normen voor informatiebeveiliging, ISO 27001 en ISO 27002 overgenomen als Europese normen. Dit betekent dat beide normen in alle Europese landen als nationale norm worden gepubliceerd en conflicterende nationale normen worden ingetrokken. Inhoudelijk zijn de normen niet gewijzigd ten opzichte van de 2013 versie.

 

Omdat beide normen in Nederland al waren overgenomen als nationale NEN-norm in 2013, wijzigt er voor de Nederlandse markt niks. Beide normen zijn in 2017 ook als Europese norm gepubliceerd, waardoor ze beiden vanaf nu verkrijgbaar zijn als NEN-EN-ISO/IEC 27001:2017 en NEN-EN-ISO/IEC 27002:2017. Inhoudelijk is er aan de normen niks gewijzigd, wel bevatten de Europese versies een extra voorwoord, waarin de status van de Europese norm wordt toegelicht.

 

Kortom: de NEN en ISO/IEC 27001:2017 is de NEN en ISO/IEC 27001:2013 inclusief twee technische correcties NEN ISO/IEC 27001/C1 en NEN ISO/IEC 27001/C2 voor de Europese markt. 

 

Visma Verzuim is gecertificeerd sinds 2012 voor ISO 27001 en om die reden staat bij Visma Verzuim ISO 27001:2013 op het certificaat.