1. Home
  2. Privacy
  3. Privacy voor Partner & Werkgevers
  4. Samenvatting van de Privacy- en security policy

Samenvatting van de Privacy- en security policy

 

 

Johan neemt zowel beveiliging van persoonlijke data als privacy zeer serieus. Hieronder informeren wij u op welke manieren Johan dit borgt.

 

Johan informeert
Johan zegt wat zij doet en doet wat zij zegt. Johan informeert over haar dienstverlening en verankert deze, onder andere door de volgende uitgangspunten:

  1. Bij veel bedrijven is beveiliging en privacy louter een IT aangelegenheid. Niet bij Johan. Bij Johan wordt het beveiligings- en privacybeleid rechtstreeks vanuit de directie bepaald. Een aangestelde Security- en Privacy Officer waarborgt de implementatie van dit beleid in de organisatie. Deze implementatie wordt minimaal ieder kwartaal door de directie gecontroleerd en waar nodig bijgesteld. Lees hier ons security beleid. Lees hier hoe JOHAN voldoet aan de AVG.
  2. Johan streeft naar maximale privacy en optimale beveiliging. (Daarover later meer.)
  3. Johan heeft een privacy statement, dat expliciet gedeeld wordt met de gebruikers van het Johan Portaal , i.c. de werknemers (“betrokkenen”);
  4. De betrokkene (werknemer) is data-eigenaar van zijn/haar persoonlijke data;
  5. De betrokkene heeft volledig inzicht in alle data die over hem of haar is opgeslagen en kan de persoonsgegevens waar nodig zelf (laten) aanpassen;
  6. Betrokkene heeft het recht om vergeten te worden (verwijdering van account, verwijdering van persoonlijke data);
  7. Betrokkene kan zijn of haar account meenemen van de ene naar de andere werkgever; (dataportabiliteit)
  8. Johan verankert haar werkzaamheden juridisch in verwerkersovereenkomsten en service levelagreements (SLA’s) met alle betrokkenen, zoals partners, cliënts en hostingproviders;
  9. Johan past “security-by-design” en “privacy-by-design” principes toe bij de ontwikkeling, implementatie en hosting van haar software;
  10. Johan streeft naar optimale veiligheid en maximale bescherming van de privacy. Om dit te borgen is Johan ISO 27001:2017 gecertificeerd. Welke maatregelen Johan toepast staat beschreven in haar “Verklaring van toepasselijkheid” (VVT). Deze is op verzoek beschikbaar.
  11. Johan heeft een meldnummer bij de Autoriteit Persoonsgegevens, waar incidenten of datalekken gemeld kunnen worden.
Johan past “Privacy by default” en “Privacy-by-design” principes toe
Eenvoudig gezegd betekent “Privacy by default” dat er standaard geen persoonlijke gegevens van de werknemer worden gedeeld met de werkgever, met Johan, met professionals (zoals coaches) of met welke andere partij dan ook. De standaard instellingen in het Johan Portaal bieden hiermee de hoogste mate van privacy. “Privacy-by-design” wil zeggen dat Johan er alles aan doet om het Johan Portaal “privacy proof” te maken en te houden. Niet alleen is privacy bij ons de standaard, gegevensbescherming en beveiliging is volledig geïntegreerd in het ontwerp van het Johan Portaal.

  1. Persoonsgegevens, zoals naam, geboortedatum en e-mailadres worden niet door de werkgever ingevoerd in het Johan Portaal, maar door de betrokkene (lees: medewerker) zelf. Johan heeft hiervoor in haar Johan Portaal een speciale registratieprocedure van accounts voor ontwikkeld. De werkgever heeft geen kennis van deze persoonsgegevens.
  2. Er worden niet meer persoonsgegevens opgeslagen dan strikt noodzakelijk. Welke dit zijn en waarom die worden opgeslagen, wordt kenbaar gemaakt in de privacy statement.
  3. Accountactivatie loopt via de betrokkene, niet via de werkgever. De werkgever heeft derhalve geen inzicht welke werknemers als actieve account in het Johan Portaal geregistreerd staan.
  4. Alle persoonlijke informatie in het portaal komt uitsluitend van de betrokkene (werknemer) zelf, via direct input; In beginsel is persoonlijke data alleen benaderbaar en muteerbaar door de betrokkene.
  5. Professionals, zoals bij coaches, kunnen informatie toevoegen aan het persoonlijke profiel van de betrokkene, maar dat kan alleen nadat daar door de betrokkene expliciet toestemming voor is gegeven. Het verlenen van toestemming verloopt via een procedure in het Johan Portaal: daarmee is gegarandeerd dat de toestemming ook echt door de betrokkene zelf is gegeven en niet door iemand anders.
  6. Alle persoonlijke gegevens die een betrokkene toevoegt aan zijn of haar account profiel, is alleen inzichtelijk voor de betrokkene zelf. Het betreft hier bijvoorbeeld meetwaarden en antwoorden uit survey’s, afgenomen interventies of het gebruik van andere content op het Johan Portaal.
  7. Er wordt geen persoonlijke data gedeeld met werkgever, opdrachtgever of welke andere partij dan ook, tenzij onder uitdrukkelijke toestemming van de betrokkene; deze toestemming loopt via een “opt-in” procedure op het Johan Portaal en kan altijd worden ingetrokken door de betrokkene; Default staan alle privacy settings op “maximaal” (i.c.: niets delen.);
  8. Johan zorgt voor het anonimiseren of pseudonimiseren van persoonsgegevens waar dit noodzakelijk is.
  9. De betrokkene kan zijn persoonlijke gegevens inzien, bewerken, verwijderen of porteren naar een andere werkgever.
  10. Johan heeft een delete policy voor de verschillende type data;
  11. Data wordt in Nederland opgeslagen en verlaat de landsgrens niet; zoals vermeld in de verklaring van geografische opslag.
Johan past “Security-by-design” principes toe

Privacy kun je alleen waarborgen, als je ook de beveiliging van de persoonlijke gegevens waarborgt. Daarom past Johan bij de ontwikkeling van haar Johan Portaal ook “Security-by-design” en “Security- by-default” principes toe. De belangrijkste kernpunten zijn:

  1. Data wordt afgeschermd door rechten- en rollen-beheer;
  2. Toepassing van principle of least privilege bij zowel development als accountmanagement;
  3. Two-factor authenticatie voor aanmelding op het Johan portaal is verplicht voor alle accounts;
  4. Al het data verkeer van- en naar het Johan Portaal verloopt via een beveiligde verbinding; Johan past encryptie toe bij transport én opslag van de data;
  5. Continue logging op systeem- en applicatieniveau informeert Johan over mogelijke bedreigingen;
  6. Voor de techniek en hosting maakt Johan gebruik van eigen (virtual) dedicated servers in een datacenter met dat aan de hoogste eisen voldoet, waaronder ISO27001, NEN7510 en ISO 9001 certificering. Beschikbaarheid wordt mede geborgd door de keuze voor een TIER III datacenter.
  7. Johan heeft het hoogste Service Level Agreement (SLA) bij haar hostingpartij, waardoor beschikbaarheid, beveiliging en support gegarandeerd zijn;
  8. Johan heeft diverse beveiligingslagen aangebracht, in zowel de architectuur van de software als bij de hosting;
  9. Johan ontwikkelt software in een strikt functie gescheiden OTAP straat, past onder meer de OWASP top 25 toe en laat regelmatig PEN testen uitvoeren door derden op haar omgevingen;
  10. Ontwikkeling van het Johan Portaal voldoet aan de normen voor Secure SDLC (secure software development life cycle).

Johan’s ISO27001:2017 Verklaring van Toepasselijkheid (VVT) geeft een opsomming van welke maatregelen Johan heeft geselecteerd en geïmplementeerd.

Wilt u ons volledige privacy statement voor deelnemers zien?

Lees hier onze volledige privacyverklaring. Mocht je nog vragen hebben stel ze gerust via privacy@johan.nl.  

 

 

Updated on March 11, 2024

Article Attachments

Was this article helpful?

Related Articles