Beveiligingsbeleid
Laatst bijgewerkt: 7 december 2025
Dit beveiligingsbeleid beschrijft de maatregelen, procedures en verantwoordelijkheden die Strad Ulvok hanteert om de veiligheid van haar systemen, diensten en de gegevens van haar gebruikers te waarborgen. Wij nemen de bescherming van informatie serieus en zetten ons in voor voortdurende verbetering van onze beveiligingspraktijken.
1. Toepassingsgebied
Dit beleid is van toepassing op alle digitale infrastructuur, webdiensten, applicaties en gegevensverwerkingsactiviteiten die worden beheerd door of namens Strad Ulvok. Het geldt voor alle medewerkers, contractanten, leveranciers en derden die toegang hebben tot onze systemen of gegevens verwerken namens onze organisatie.
2. Beveiligingsbeginselen
Ons beveiligingsprogramma is gebaseerd op de volgende kernbeginselen:
2.1 Vertrouwelijkheid
Informatie wordt uitsluitend toegankelijk gemaakt voor personen en systemen die daartoe gemachtigd zijn. Toegangsrechten worden verleend op basis van het principe van minimale bevoegdheden, wat inhoudt dat gebruikers en processen enkel toegang krijgen tot de gegevens en functies die strikt noodzakelijk zijn voor de uitvoering van hun taken.
2.2 Integriteit
Wij waarborgen dat gegevens accuraat, volledig en betrouwbaar zijn gedurende de volledige levenscyclus. Technische en organisatorische maatregelen worden getroffen om ongeautoriseerde wijziging, verwijdering of corruptie van gegevens te voorkomen.
2.3 Beschikbaarheid
Onze diensten worden ontworpen en beheerd met het oog op maximale beschikbaarheid. Redundantie, back-upprocedures en herstelplannen zijn aanwezig om continuïteit te garanderen bij technische storingen of incidenten.
3. Technische Beveiligingsmaatregelen
3.1 Gegevensoverdracht
Alle communicatie tussen gebruikers en onze diensten verloopt via versleutelde verbindingen. Wij maken gebruik van actuele transportbeveiligingsprotocollen om afluisteren en manipulatie van gegevensoverdrachten te voorkomen. Verouderde of kwetsbare protocollen worden actief buiten gebruik gesteld.
3.2 Gegevensopslag
Gevoelige gegevens worden in versleutelde vorm opgeslagen, zowel in rust als tijdens verwerking. Wachtwoorden en vergelijkbare authenticatiegegevens worden nooit in leesbare tekstvorm bewaard. Wij maken gebruik van erkende cryptografische standaarden voor alle opslagbeveiligingen.
3.3 Toegangsbeheer
Toegang tot productiesystemen en gevoelige gegevensbronnen vereist meervoudige authenticatie. Sessiebeheer is ingericht met automatisch verlopen sessies, veilige tokenopslag en bescherming tegen sessiehijacking. Alle toegangspogingen worden geregistreerd en gemonitord.
3.4 Netwerkbeveiliging
Onze infrastructuur maakt gebruik van netwerksegmentatie, firewallregels en inbraakdetectiesystemen om ongeautoriseerde toegang te detecteren en te blokkeren. Regelmatige scans en penetratietests worden uitgevoerd om kwetsbaarheden proactief op te sporen.
3.5 Patchbeheer
Besturingssystemen, frameworks, bibliotheken en andere softwarecomponenten worden regelmatig bijgewerkt. Kritische beveiligingsupdates worden met prioriteit verwerkt. Wij volgen actief de bekendmakingen van beveiligingslekken die betrekking hebben op componenten die wij gebruiken.
4. Organisatorische Maatregelen
4.1 Beveiligingsbewustzijn en Training
Alle medewerkers en betrokken contractanten ontvangen regelmatig training op het gebied van informatiebeveiliging. Dit omvat bewustzijnstraining voor social engineering, phishing en veilig omgaan met gevoelige informatie. Beveiligingsbewustzijn wordt beschouwd als een gedeelde verantwoordelijkheid binnen de organisatie.
4.2 Rollen en Verantwoordelijkheden
Verantwoordelijkheden met betrekking tot informatiebeveiliging zijn duidelijk vastgelegd en toegewezen. Er zijn specifieke functies aangewezen die belast zijn met het toezicht op beveiligingspraktijken, het beheer van incidenten en de naleving van dit beleid.
4.3 Leveranciers en Derden
Leveranciers en derde partijen die toegang hebben tot onze systemen of gegevens verwerken namens ons, worden beoordeeld op hun beveiligingspraktijken voordat een overeenkomst wordt aangegaan. Contractuele verplichtingen omvatten beveiligingsvereisten die aansluiten bij de normen van dit beleid. Toegangsrechten van derden worden regelmatig herzien en worden ingetrokken wanneer ze niet langer noodzakelijk zijn.
4.4 Bewaartermijnen en Gegevensverwijdering
Gegevens worden niet langer bewaard dan noodzakelijk voor de doeleinden waarvoor zij zijn verzameld. Na het verstrijken van de bewaartermijn of op verzoek van de betrokkene worden gegevens op veilige en aantoonbare wijze verwijderd of vernietigd, zodat herstel redelijkerwijs niet mogelijk is.
5. Beheer van Beveiligingsincidenten
5.1 Detectie en Respons
Wij beschikken over procedures voor de detectie, beoordeling en afhandeling van beveiligingsincidenten. Bij het vaststellen van een incident worden stappen ondernomen om de impact te beperken, de oorzaak te achterhalen en herhaling te voorkomen. Incidentresponsprocessen worden periodiek getest en bijgesteld op basis van opgedane ervaringen.
5.2 Melding van Incidenten
Indien een beveiligingsincident de gegevens of dienstverlening van gebruikers treft, streven wij ernaar betrokken partijen tijdig en transparant te informeren over de aard van het incident, de mogelijke gevolgen en de genomen maatregelen. Meldingen worden gedaan in overeenstemming met de toepasselijke vereisten voor incidentrapportage.
5.3 Verantwoorde Openbaarmaking
Wij verwelkomen meldingen van beveiligingsonderzoekers en gebruikers die kwetsbaarheden in onze systemen ontdekken. Bevindingen kunnen worden gemeld via het volgende e-mailadres:
Wij verzoeken melders geen misbruik te maken van gevonden kwetsbaarheden, geen gegevens van derden in te zien of te kopiëren, en de bevinding vertrouwelijk te behandelen totdat wij de gelegenheid hebben gehad een oplossing te implementeren. Wij verbinden ons ertoe meldingen serieus te nemen, tijdig te reageren en verantwoorde melders niet juridisch te vervolgen voor goedaardige ontdekkingsactiviteiten.
6. Continuïteit en Herstel
Wij hanteren gedocumenteerde procedures voor bedrijfscontinuïteit en herstel bij calamiteiten. Regelmatige back-ups worden gemaakt en getest op herstelbaarheid. Herstelplannen worden periodiek herzien en geactualiseerd om te waarborgen dat zij aansluiten bij de actuele infrastructuur en risico's.
7. Audits en Naleving
De effectiviteit van onze beveiligingsmaatregelen wordt periodiek beoordeeld door middel van interne reviews en, waar van toepassing, externe audits of beoordelingen door onafhankelijke partijen. Bevindingen worden gebruikt om verbeteringen door te voeren in onze procedures en technische maatregelen.
Wij monitoren actief de ontwikkelingen op het gebied van wet- en regelgeving die betrekking heeft op informatiebeveiliging en passen ons beleid en onze processen hierop aan waar noodzakelijk.
8. Wijzigingen in dit Beleid
Dit beveiligingsbeleid kan van tijd tot tijd worden herzien om ontwikkelingen in onze dienstverlening, technologie of toepasselijke normen te weerspiegelen. Bij wezenlijke wijzigingen zullen wij gebruikers hiervan op de hoogte stellen via de daarvoor geëigende kanalen. De datum van de meest recente herziening is vermeld bovenaan dit document.
Voortgezet gebruik van onze diensten na publicatie van een herziene versie van dit beleid geldt als aanvaarding van de gewijzigde inhoud.
9. Contact
Voor vragen, opmerkingen of meldingen met betrekking tot dit beveiligingsbeleid of onze beveiligingspraktijken kunt u contact met ons opnemen via de onderstaande gegevens:
| Contactwijze | Gegevens |
|---|---|
| [email protected] | |
| Telefoon | +32 50 34 03 41 |
| Postadres | Herkenrodesingel 7, 3500 Hasselt, België |