Onze klanten vertrouwen onze organisatie gevoelige informatie en bedrijfskritische processen toe. De kwaliteit en veiligheid van onze diensten en producten voor onze klanten én interne organisatie zijn daarom van het hoogste belang voor onze organisatie.

Quality assurance

xxllnc werkt daarom met een informatiebeveiligingsbeleid en een kwaliteitsbeleid. Ons quality assurance team is verantwoordelijk voor dit beleid en de bijbehorende doelstellingen. xxllnc werkt op basis van zelfsturing. Teams zijn daarom zelf verantwoordelijk voor het doorlopend verbeteren van de kwaliteit en beveiliging van onze producten en diensten binnen de overkoepelende doelstellingen. Onze CISO houdt hier namens de directie toezicht op middels doorlopende controles.

Informatiebeveiliging

Ons informatiebeveiligingsbeleid heeft tot doel om de gegevens, systemen en dienstverlening van onze klanten en onze interne teams te beveiligen.

Wij organiseren onze beveiligingen via een Information Security Management System (ISMS). Om te garanderen dat dit ISMS voldoet, laten wij dit intensief auditen door onafhankelijke auditors en beveiligingsexperts.

Openheid

xxllnc gelooft in openheid. Wij communiceren met vertrouwen met onze klanten. Wij delen daarom veel informatie over de beveiliging en kwaliteit van onze applicaties.

Bereikbaarheid en performance

Om de bereikbaarheid en performance van onze systemen voor klanten te waarborgen, gebruiken wij verscheidene tools en metrics om de status van de systemen te meten. Een samenvatting van deze metrics is voor onze klanten direct beschikbaar op de statuspagina van onze producten op.

Incidenten

Bij het bouwen van software gaat weleens iets fout. Voor ieder incident dat gevolgen heeft voor de beschikbaarheid van klantdata, registreren wij een beveiligingsincident op onze statuspagina. Zo kunnen klanten direct zien wat er speelt. De integriteit en vertrouwelijkheid van onze data houden we ook nauwgezet bij. Hierover rapporteren we bij incidenten altijd direct met de specifieke klant waarbij een incident zich heeft voorgedaan.

Voor alle informatiebeveiligingsincidenten voeren wij een incident-review uit. Op basis van deze review maken wij een incidentrapportage. Deze rapportage delen wij met getroffen klanten. Een samenvatting publiceren wij op. Waar nodig geven wij aanvullende achtergrondinformatie via onze collega's van support.

Compliance

Om onze klanten en partners het vertrouwen te geven dat wij de zaakjes goed op orde hebben, laten wij onze producten, diensten en organisatie regelmatig controleren door onafhankelijke experts en auditors.
xxllnc maakt hierin soms wel eigenwijze keuzes. Niet alle certificeringen zijn van toegevoegde waarde. Waar certificeringen overlappen kiezen we voor een certificering waar we werkelijk iets aan hebben. xxllnc en het xxllnc cloud platform zijn ISO27001/2 gecertificeerd. Waar relevant behalen onze teams aanvullende certificeringen voor hun processen, producten of diensten.

DPIA aanvragen

Wij zijn altijd bereid onze klanten te helpen bij de evaluatie van onze informatiebeveiligingsmaatregelen middels een privacy impact-analyse.
Voor we een DPIA ondersteunen, vragen we onze klanten wel om eerst een eigen beoordeling uit te voeren. Hiervoor verwijzen we primair naar de onafhankelijke audits die op onze systemen worden uitgevoerd. Deze bestaan juist om onze klanten van een onafhankelijke evaluatie van onze informatiebeveiliging te voorzien. Als er toch nog aanvullende vragen bestaan, of een afweging moet worden gemaakt voor introductie van een nieuwe dienst of product, zijn wij altijd bereid om een gezamenlijke evaluatie uit te voeren. Voor producten met een onafhankelijke certificering brengen we hier wel kosten voor in rekening. Een DPIA kun je aanvragen via security@xxllnc.nl of jouw accountmanager.

Pentesting

Al onze applicaties worden door interne en externe experts onderzocht op kwetsbaarheden. Pentests maken daar een verplicht onderdeel van uit. Wij zijn terughoudend met het delen van de resultaten van pentestrapportages. Wel streven we ernaar er zo open mogelijk over te communiceren. Ben je benieuwd naar de resultaten van een uitgevoerde pentest? Neem dan contact op via security@xxllnc.nl.

Pentest aanvragen

Het is ten strengste verboden om zonder toestemming een pentest op de systemen van xxllnc uit te voeren. Dit geldt met nadruk ook voor onze klanten. Voor het uitvoeren van een pentest dient te worden beoordeeld op welke omgeving de pentest wordt uitgevoerd, wat voor test het betreft, welke systemen door de test kunnen worden geraakt, op welke omgevingen de pentest wordt uitgevoerd, op welk tijdstip, en door welke partij. Wij stellen vooraf altijd een vrijwaringsverklaring op voor de pentester, waarin deze informatie wordt opgenomen. Dit dient om de pentester, onze klanten én onze eigen organisatie te beschermen in het geval van incidenten ten gevolge van een pentest. Zonder vrijwaringsverklaring zijn juridische en financiële gevolgen voor een incident volledig de verantwoordelijkheid van de uitvoerder en opdrachtgever. Om samen met ons te beoordelen of en hoe een pentest kan plaatsvinden, kan een verzoek worden ingediend via security@xxllnc.nl.

Responsible disclosure

Als je een beveiligingslek wil melden, ga dan naar onze sectie Responsible disclosure voor . Deze meldingen worden met hoge prioriteit behandeld. Ons beveiligingsteam probeert beveiligingsproblemen zo snel mogelijk te beoordelen en op te lossen. Samen met de melder proberen we het probleem op te lossen. Resultaten worden altijd op verantwoorde wijze aan onze klanten bekendgemaakt.

Als leverancier aan (semi-)overheidsorganisaties, verwerken wij veel persoonsgegevens van burgers, klanten en medewerkers. Het goed beschermen van de vertrouwelijkheid van persoonsgegevens is voor xxllnc dus uitermate belangrijk.Onze klanten vertrouwen onze organisatie gevoelige informatie en bedrijfskritische processen toe. De kwaliteit en veiligheid van onze diensten en producten voor onze klanten én interne organisatie zijn daarom van het hoogste belang voor onze organisatie.

Privacyverklaring

In dit gedeelte leggen we uit welke persoonsgegevens we verwerken, en welke rechten jij hebt als wij persoonsgegevens verwerken.

Voor klantdata die door onze klanten in onze systemen worden verwerkt, gelden aparte contractuele afspraken. Voor alle andere gegevens die wij verwerken, geldt onderstaande verklaring.

Waarom verwerken wij persoonsgegevens?

xxllnc verwerkt persoonsgegevens alleen als je gebruik wilt gaan maken van onze diensten en/of omdat je deze zelf aan ons verstrekt.
xxllnc verwerkt jouw persoonsgegevens voor de volgende processen:

• Het indienen van meldingen via onze webformulieren.
• Het indienen van sollicitaties.
• Het indienen van offerteverzoeken.

Wij gebruiken de gegevens in al deze gevallen om contact met jou op te kunnen nemen. Bijvoorbeeld als we een vraag hebben over de melding, of om een sollicitatiegesprek te plannen.

Welke gegevens verzamelen en gebruiken we?

• Voor- en achternaam
• Adresgegevens
• Telefoonnummer
• E-mailadres
• Werkfunctie
• IP-adres
• Overige persoonsgegevens die je actief verstrekt (bijvoorbeeld door het invullen van een sollicitatieformulier)

Hoe lang bewaren we jouw gegevens?

xxllnc bewaart jouw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor de gegevens worden verzameld. Wij hanteren de volgende bewaartermijnen voor de volgende (categorieën) van persoonsgegevens:

• Sollicitaties gedurende een periode van 6 maanden, tenzij je zelf hebt aangegeven dat deze gedurende een periode van 1 jaar bewaard mogen blijven.
• E-mails worden verwijderd zodra deze niet meer nodig zijn tenzij ze voor een wettelijke verplichting bewaard moeten blijven.

Delen wij jouw gegevens met derden?

xxllnc verkoopt je gegevens niet aan derden en verstrekt deze uitsluitend als dit nodig is voor de uitvoering van onze overeenkomst met jou of om te voldoen aan een wettelijke verplichting. Met bedrijven die jouw gegevens verwerken in onze opdracht, sluiten wij een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van jouw gegevens. xxllnc blijft verantwoordelijk voor deze verwerkingen.

Wij beoordelen al deze leveranciers minimaal een keer per jaar, waarbij de beveiliging van persoonsgegevens ook wordt beoordeeld.

Gegevens van minderjarigen

Onze website en/of dienst heeft niet de intentie gegevens te verzamelen over websitebezoekers die jonger zijn dan 16 jaar, tenzij ze toestemming hebben van ouders of voogd. We kunnen echter niet controleren of een bezoeker ouder dan 16 jaar is. Als je er van overtuigd bent dat wij zonder die toestemming persoonlijke gegevens hebben verzameld over een minderjarige, neem dan contact met ons op via privacy@xxllnc.nl, dan verwijderen wij deze informatie.

Melden datalekken

Wil je een datalek te melden? Neem contact op via ons webformulier Datalek melden.

Recht op inzage en verwijdering

Jij hebt het recht om jouw persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heb je het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door xxllnc en heb jij het recht op gegevensoverdraagbaarheid. Dat betekent dat je bij ons een verzoek kan indienen om de persoonsgegevens die wij van je hebben in een computerbestand naar jezelf of een ander, door jou genoemde organisatie, te sturen.

Je kan een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van jouw persoonsgegevens of verzoek tot intrekking van je toestemming of bezwaar op de verwerking van jouw persoonsgegevens sturen naar privacy@xxllnc.nl.

Klachten

Voor overige klachten omtrent de verwerking van persoonsgegevens kun je een mail sturen naar privacy@xxllnc.nl.

xxllnc wilt jou er ook op wijzen dat je de mogelijkheid hebt om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens door het invullen van het weformulier wat beschikbaar is gesteld.

Cookies

Bezoek je onze website, dan verwerken we enkele gegevens met cookies. xxllnc gebruikt alleen technische en functionele cookies die geen inbreuk maken op jouw privacy.

Ook gebruiken wij een programma (Google Analytics) voor websitestatistieken, maar daarbij anonimiseren we jouw gegevens. Wij registreren dus alleen het bezoektijdstip en de pagina die je bezocht, geen persoonlijk identificerende informatie. De informatie wordt nooit met andere partijen of andere softwarediensten gedeeld. Je kan er voor kiezen om jouw vervolgbezoeken niet te laten registreren door de cookies te weigeren via de cookie-instellingen.

Hosting

Alle softwaresystemen waarvan xxllnc gebruik maakt worden gehost in de EU, of in landen waarvoor de EU een zogenaamde "Adequacy decisions" heeft gepubliceerd.

Toegankelijkheid staat in de kerndoelen van xxllnc. Iedereen moet gebruik kunnen maken van de producten en diensten van overheidsorganisaties. Daarom is ons doel om alle applicaties zo toegankelijk mogelijk te maken voor alle gebruikers.

xxllnc neemt maatregelen om de toegankelijkheid van onze software en diensten te verzekeren:

• xxllnc heeft een toegankelijkheidsbeleid dat geldt voor al onze applicaties
• het toegankelijkheidsbeleid stelt heldere doelen aan al onze teams
• het thema toegankelijkheid is formeel belegd bij een medewerker
• onze developers ondergaan trainingen over toegankelijkheid
• onze diensten worden zelfstandig en extern getoetst aan de WCAG 2.1 toegankelijkheidsstandaard

xxllnc streeft ernaar dat al onze applicaties als AA-toegankelijk zijn beoordeeld binnen het WCAG 2.1 kader. Op dit moment verschilt het behaalde niveau nog per applicatie.

We horen het graag als je denkt dat de toegankelijkheid van onze applicaties kan worden verbeterd. Laat het ons weten als je onvoldoende toegankelijke onderdelen aantreft in onze applicaties.

Op een eerlijke manier zaken doen, geheel in overeenkomst met de wetgeving, dat is de aanpak van xxllnc.

Verwerkersovereenkomst

xxllnc werkt zoveel mogelijk met standaard overeenkomsten. Onze klanten kunnen een verwerkersovereenkomst opvragen via het formulier Verwerkersovereenkomst aanvragen.

Responsible disclosure

Bij xxllnc vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als je een zwakke plek in één van onze systemen hebt gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wij vragen jou:

• Je bevindingen te melden via security@xxllnc.nl.
• Je melding te versleutelen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt,
• Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen,
• De kwetsbaarheid alleen te testen op een eigen deployment, of een van onze testomgevingen. Je kunt ons altijd toegang vragen tot een testomgeving, zie hiervoor 'wij helpen je graag'.
• Het probleem niet te melden als het in onderstaande lijst met uitzonderingen staat.
• Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen,
• Geen gebruik te maken van aanvallen op fysieke beveiliging, door middel van social engineering, distributed denial of service-aanvallen, spam of applicaties van derden.
• Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

• Wij reageren binnen 2 dagen op je melding, bij voorkeur met een beoordeling van de melding en een verwachte datum voor een oplossing.
• Wij zullen geen juridische stappen tegen je ondernemen betreffende de melding, mits je je aan bovenstaande afspraken hebt gehouden.
  Wij behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder je toestemming met derden delen - tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
• Melden onder een pseudoniem is mogelijk,
  Wij houden je op de hoogte van de voortgang van het oplossen van het probleem,
• In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, je naam vermelden als de ontdekker.
• Als dank voor jouw hulp bieden wij een kleine beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding. Wij zijn op dit moment niet in staat om financiële beloningen uit te keren.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Wij helpen je graag!

Als je een urgente melding wil doen, meer informatie nodig hebt om een mogelijke bevinding goed te onderzoeken, of niet zeker weet of een specifieke hackpoging acceptabel is, neem dan contact op met security@xxllnc.nl. Wij willen je graag helpen bij het nader onderzoeken van potentiële kwetsbaarheden.

Service Level Agreement

xxllnc werkt zo veel mogelijk met standaard overeenkomsten. Onze klanten kunnen de huidige versie van hun SLA opvragen via hun vaste accountmanager.