Beleid Gegevensbeveiliging – Funz.EU (EU-breed)

Laatst bijgewerkt: [datum invullen]
Versie: 1.0

Funz.EU behandelt alle persoonsgegevens en bedrijfsgegevens met de grootst mogelijke zorg.
Ons beleid voor gegevensbeveiliging is erop gericht om verlies, misbruik, onbevoegde toegang, openbaarmaking en wijziging van informatie te voorkomen.
Wij hanteren hierbij de uitgangspunten van de AVG (GDPR), de NIS2-richtlijn, en de best practices van ISO 27001.

1. Doel en reikwijdte

Dit beleid beschrijft de maatregelen die Funz.EU neemt om:

  • persoonsgegevens, klantgegevens en bedrijfsinformatie te beschermen;

  • cyberrisico’s te beheersen;

  • te voldoen aan wettelijke en contractuele verplichtingen;

  • en continuïteit van dienstverlening te garanderen.

Het beleid geldt voor:

  • alle digitale en papieren gegevens die door Funz.EU worden verwerkt;

  • alle medewerkers, partners, verwerkers en leveranciers die toegang hebben tot onze systemen.

2. Principes van gegevensbeveiliging

Onze beveiligingsstrategie is gebaseerd op de volgende kernprincipes:

  1. Confidentialiteit: alleen geautoriseerde personen hebben toegang tot gegevens.

  2. Integriteit: gegevens blijven correct, volledig en up-to-date.

  3. Beschikbaarheid: systemen en data zijn toegankelijk wanneer nodig.

  4. Verantwoordingsplicht: elke verwerking kan worden herleid, gecontroleerd en verantwoord.

  5. Privacy by design & default: systemen worden vanaf het ontwerp privacyvriendelijk ingericht.

3. Beveiligingsorganisatie

  • De directie van Funz.EU is eindverantwoordelijk voor gegevensbeveiliging.

  • De dagelijkse uitvoering ligt bij de Data Protection Officer (DPO) / Security Officer.

  • Alle medewerkers krijgen een jaarlijkse training over dataveiligheid, phishing en AVG.

  • Verwerkers en leveranciers worden periodiek beoordeeld op naleving van beveiligingsnormen.

4. Technische beveiligingsmaatregelen

4.1 Netwerk en infrastructuur

  • Alle verbindingen tussen de gebruiker en onze servers zijn beveiligd met TLS 1.3 / HTTPS.

  • Servers draaien in een ISO 27001-gecertificeerd datacentrum binnen de EER.

  • Inkomend en uitgaand verkeer wordt gefilterd via firewalls en intrusion detection systems (IDS).

  • Wij maken gebruik van load balancers en DDoS-bescherming tegen externe aanvallen.

4.2 Toegangsbeheer

  • Toegang tot systemen is gebaseerd op het least privilege principle (minimale toegangsrechten).

  • Er geldt multi-factor authenticatie (MFA) voor alle beheerdersaccounts.

  • Wachtwoorden worden gehasht met bcrypt of Argon2 en nooit in platte tekst opgeslagen.

  • Inactieve accounts worden automatisch gedeactiveerd.

4.3 Applicatiebeveiliging

  • Alle software-updates en patches worden binnen 7 dagen toegepast.

  • Wij gebruiken web application firewalls (WAF) om aanvallen te blokkeren.

  • Nieuwe functionaliteiten worden getest via penetratietests en vulnerability scans.

  • Er is een secure development lifecycle (SDLC) voor alle eigen code.

4.4 Data-encryptie

  • Persoons- en betaalgegevens worden versleuteld tijdens overdracht (SSL/TLS) en opslag (AES-256).

  • Gevoelige data (zoals klantidentificatie of bankinformatie) worden gescheiden bewaard.

  • Back-ups zijn versleuteld en fysiek gescheiden opgeslagen van productieomgevingen.

4.5 Logging & monitoring

  • Alle toegangen en systeemwijzigingen worden gelogd en bewaard voor auditdoeleinden.

  • Er is 24/7 monitoring op verdachte activiteiten, inbraakpogingen en dataverkeer.

  • Logs worden minimaal 12 maanden bewaard en alleen toegankelijk voor geautoriseerd personeel.

5. Organisatorische maatregelen

5.1 Beveiligingsbeleid voor medewerkers

  • Elke medewerker ondertekent een geheimhoudingsverklaring (NDA).

  • Medewerkers krijgen verplicht cybersecurity- en AVG-training.

  • Er gelden duidelijke procedures voor wachtwoordbeheer, documentopslag en werkplekbeveiliging.

  • USB-apparaten en persoonlijke cloudopslag zijn standaard geblokkeerd.

5.2 Leveranciers en verwerkers

  • Wij werken uitsluitend met verwerkers binnen de EER of landen met een adequaatheidsbesluit.

  • Met elke externe partij is een verwerkersovereenkomst gesloten volgens artikel 28 AVG.

  • Leveranciers worden jaarlijks beoordeeld op beveiliging, continuïteit en naleving.

5.3 Apparatuur en werkplekken

  • Alle werkstations zijn voorzien van versleutelde schijven (BitLocker / FileVault).

  • Automatische schermvergrendeling na 10 minuten inactiviteit.

  • Remote access uitsluitend via beveiligde VPN met MFA.

  • Regelmatige endpoint scans op malware en updates via centraal beheersysteem.

6. Incidentmanagement

6.1 Herkennen en melden

Een incident is elke gebeurtenis die de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens kan beïnvloeden.
Voorbeelden:

  • verloren laptop of telefoon;

  • datalek of ongeoorloofde toegang;

  • ransomware of virusinfectie;

  • foutieve verzending van klantinformatie.

Incidenten worden direct gemeld via het interne meldingsportaal of per e-mail aan security@funze.eu.

6.2 Afhandeling en melding datalekken

  1. Binnen 2 uur: initiële beoordeling door de Security Officer.

  2. Binnen 24 uur: beveiligingsmaatregelen genomen om schade te beperken.

  3. Binnen 72 uur (indien nodig): melding aan de Autoriteit Persoonsgegevens en eventueel betrokken personen.

  4. Alle datalekken worden geregistreerd in een dataleklogboek.

7. Continuïteit en back-upbeheer

  • Dagelijkse automatische back-ups van alle bedrijfs- en klantdata.

  • Back-ups worden 30 dagen bewaard op een aparte, versleutelde locatie.

  • Wekelijkse test van herstelprocedures (restore-tests).

  • Bedrijfscontinuïteitsplan (BCP) en disaster recoveryplan (DRP) beschikbaar.

  • In geval van uitval is herstart van kernsystemen gegarandeerd binnen 24 uur.

8. Fysieke beveiliging

  • Datacentra zijn voorzien van 24/7 bewaking, cameratoezicht en toegangscontrole.

  • Bezoek aan kantoorlocaties wordt geregistreerd en gecontroleerd.

  • Documenten met persoonsgegevens worden veilig vernietigd via gecertificeerde shreddingdienst.

9. Toezicht, audits en naleving

  • Jaarlijkse interne audit op beveiligingsmaatregelen.

  • Externe audit of penetratietest minimaal één keer per twee jaar.

  • Auditresultaten worden besproken met het management en leiden tot verbeteracties.

  • Niet-naleving van dit beleid kan leiden tot disciplinaire maatregelen.

10. Bewustwording en training

  • Nieuwe medewerkers krijgen binnen één week een onboarding-training over databeveiliging.

  • Jaarlijks volgen alle medewerkers een verplichte herhalingstraining met toetsing.

  • Phishing-simulaties worden periodiek uitgevoerd om alertheid te verhogen.

11. Privacy by design & by default

Bij de ontwikkeling van nieuwe producten, diensten of systemen:

  • worden privacyrisico’s vooraf beoordeeld via een Data Protection Impact Assessment (DPIA);

  • worden alleen noodzakelijke persoonsgegevens verwerkt (minimale data);

  • worden instellingen standaard op de hoogste privacybescherming gezet.

12. Evaluatie en herziening

Dit beleid wordt minimaal één keer per jaar herzien of eerder indien:

  • wetgeving verandert (bijv. implementatie NIS2);

  • nieuwe risico’s of technologieën zich voordoen;

  • een incident of audit aanleiding geeft tot aanpassing.

De huidige versie treedt in werking op de datum hierboven en vervangt alle eerdere versies.

13. Contactpersoon gegevensbeveiliging

📧 security@funze.eu
📍 Funz.EU – [volledig adres invullen]
🛡️ Functionaris voor Gegevensbescherming (FG / DPO): [naam invullen]

Wij reageren op beveiligingsmeldingen binnen 48 uur en behandelen alle meldingen strikt vertrouwelijk.