Zo’n 2,5 miljoen mensen werken met onze software. En wij voelen een enorme verantwoordelijkheid voor hun digitale veiligheid. Onze systemen moeten waterdicht zijn. En onze medewerkers én onze klanten moeten er op bewezen veilige manieren mee kunnen werken.
Optimale bescherming van alle informatie die klanten toevoegen aan AFAS Online. Dat is het doel van ons informatiebeveiligingsbeleid. Ons beleid staat stevig op drie pijlers: beschikbaarheid, integriteit en vertrouwelijkheid. Die pijlers draaien om drie vragen: is de data beschikbaar op het juiste moment, is ze correct, en hebben alleen de juiste mensen toegang? Voor al deze onderwerpen gebruiken we een meerlaagse beveiliging, volgens een zogenoemde defense in depth strategie. Mocht één van de lagen falen, dan biedt de volgende laag alsnog bescherming.
We hebben een eigen Security Team, met daarin een directielid, een manager, een Security Engineer en de Functionaris gegevensbescherming. Het team houdt zich bezig met alle security vraagstukken die intern en extern worden ingestuurd. Ook kijken de leden proactief en kritisch naar het gedrag en de informatiebeveiliging binnen AFAS, om zo samen AFAS veiliger te maken.
De systemen, processen en gebruikers op AFAS Online worden continu gemonitord. Zo voorkomen we storingen en ongewenst gedrag. En als dat niet lukt, lossen we het snel op. Dit doen we in ons Cyber Operations Center. In ieder geval elk jaar laten we een attack and penetration test uitvoeren door een externe partij, zoals Computest.
Wij verwerken klantdata in datacenters van onze subverwerker, LeaseWeb Netherlands B.V.. Deze datacenters staan in Nederland, bij Schiphol-Rijk en Haarlem. Ze voldoen aan de strenge Nederlandse en Europese wetgeving voor logische en fysieke toegangsbeveiliging en continuïteit. Bovendien zijn deze datacenters zijn minimaal ISO 27001 gecertificeerd. Wij en onze subverwerker, verwerken gegevens alleen binnen de Europese Economische Ruimte. Zo weten ze zeker dat het werk voldoet aan hoge standaarden.
We voldoen aan tientallen certificeringen. Van ISO 27001 en NEN 7510 voor de informatie- en beveiligingsrisico's van AFAS Online tot ISAE 3402 voor de beheersing van de kwaliteit en veiligheid. En van de UPA-certificering voor de veilige geautomatiseerde uitwisseling van gegevens met pensioenfondsen, tot de Data Pro Code voor de Algemene verordening gegevensbescherming. Je vindt alle certificeringen op de speciale AFAS-pagina.
Al een aantal jaren geleden zijn al onze klanten overgegaan op een online omgeving. De reden is dat deze omgeving veel beter te beveiligen is dan de eigen servers van de klant. Ook maken klanten van AFAS Online standaard gebruik van twee-factorauthenticatie. Zo verlagen we het risico om gehackt te worden tot een minimum. Ook helpen we onze klanten bij het inrichten van de juiste autorisatie. Zo beperken ze de toegang van gebruikers tot specifieke omgevingen, functies en gegevens. Ten slotte bieden we onze klanten gratis een basisscan Cyberweerbaarheid.
We nemen tientallen veiligheidsmaatregelen om onze systemen veilig te houden. Onze systemen zijn bijvoorbeeld geïnstalleerd volgens het ‘Least privilege principe’, en natuurlijk hebben we verschillende antivirus en anti-malware maatregelen geïmplementeerd. We hebben ‘Applicatie allowlisting’ ingericht, net zoals alerting op basis van verdachte log-gebeurtenissen. We gebruiken 24x7 netwerkmonitoring op basis van Managed Detection and Response. We hebben patchbeleid om securitypatches zeer snel uit te rollen, en gebruiken VLANscheiding en een zero-trust model.
Veiligheid zit in de vezels van onze cultuur. Ga je van je werkplek? Dan vergrendel je je laptop. Doe je dat niet? Dan kun je er zeker van zijn dat een collega uit jouw naam een mailtje naar de hele afdeling stuurt, dat jij iedereen graag trakteert op iets lekkers. Of je collega stuurt een veel te brutaal mailtje naar de eindbaas. Zo vergeet je het nooit meer. Collega’s laten de laptop niet achter in de auto. Zou je dat wel doen, en wordt er ingebroken? Dan schrijf je er een bericht over op ons intranet. Je begrijpt: dit soort dingen gebeuren bij ons vrijwel nooit meer.
Een groot deel van onze software wordt geïmplementeerd door AFAS-partners. Bedrijven die gespecialiseerd zijn in onze software én die aan onze standaarden voldoen. Ze moeten een certificering halen om zich AFAS-partner te mogen noemen, en worden regelmatig bijgeschoold. Ditzelfde geldt voor partners die specifieke koppelingen voor onze software maken, bijvoorbeeld met andere branchespecifieke software. Ook die koppelingen worden uitvoerig getest en gecertificeerd.
We durven onszelf wel privacy-experts te noemen. Zéker in vergelijking met de meeste van onze klanten. We zien bijvoorbeeld dat niet alle klanten gebruikmaken van wachtwoordmanagers of twee-factor authenticatie. Vandaar dat we hen graag helpen om ook hun privacy beter te beschermen. Dat doen we ieder jaar opnieuw. Met bijeenkomsten en webpagina’s bijvoorbeeld.
Het is onze grootste nachtmerrie: dat ergens in ons systeem een lek zit, waardoor de gegevens van onze klanten op straat komen te liggen. En hierboven las je al wat we allemaal doen om dat te voorkomen. Nu is het tijd voor de volgende extra stap: zorgen dat ook de schil óm onze systemen maximaal beschermd is.
Al onze medewerkers werken in 2023 met een wachtwoordmanager. Óók voor privézaken. Geen ‘hallo123!’-wachtwoorden meer, maar een niet te kraken wachtwoord, gegenereerd door een manager. Voor onze medewerkers betekent dat nogal wat. Alles moet de wachtwoordmanager in. Ook de privézaken. Van de verzekeringen, tot de online winkel en de sportclub.
Hoe grondiger hoe beter. Zo denken wij over digitale veiligheid. Daarom is ons doel om de certificeringen ISO27001, ISO9001 en ISAE 3402 type II voor veilige en effectieve processen te halen.
De KPI’s lees je in ons jaarverslag.