Beveiligingsverklaring ROI Institute Europe

ROI Institute Europe is een onafhankelijk onderzoeksbureau gespecialiseerd in het meten van gedrag en resultaten van mensen en organisaties. De services die ROI Institute Europe biedt omvatten ontwerp, beheer en ondersteuning voor evaluatie van leeropbrengsten, prestaties (competenties), leeruitkomsten en reacties op ontwikkel- en veranderprogramma’s. Binnen deze services wordt gebruik gemaakt van een evaluatie-applicatie, genaamd NavigatorWeb. De applicatie maakt gebruik van verschillende IT-componenten, zoals hardware, besturingssoftware en netwerken. In overeenstemming met de kernactiviteiten van ROI Institute Europe en de toegepaste technologieën, worden diensten geleverd in een genetwerkte organisatiestructuur. Met ROI Institute Europe als hoofdverantwoordelijke en servicemanager voor overeengekomen contracten, wordt de ontwikkeling en het onderhoud van de applicatie en het beheer van de technische infrastructuur uitbesteed aan respectievelijk:

  • Sogyo B.V. (Utrechtseweg 301, 3731 GA De Bilt, tel: 030 220 2216; www.sogyo.nl).
  • NDI ICT Solutions (Strawinskylaan 203, 1077 XX Amsterdam, tel. 088-0884310; www.ndi.nl).

Sinds het ontwerp, de ontwikkeling en de implementatie van de applicatie, werd de “Code voor Informatiebeveiliging” (de Nederlandse versie van de Britse normen 7799, later geëvolueerd als ISO / IEC 17799) door ROI Institute Europe gebruikt als leidende principes voor informatiebeveiliging. De “Code voor Informatiebeveiliging” bestaat tegenwoordig uit twee delen: een norm (NEN ISO 27001) en een “code of practice” (NEN ISO 27002). In dit opzicht zijn alle elementen van bedrijfscontinuïteit verzorgd, gedekt door de Service Level Agreement met leveranciers, aangevuld met beveiligingscontroles door de vtSPN (voorheen de IT-afdeling van de KLPD – Nederlandse politie).

Wij nemen de veiligheid en privacy van onze gebruikers serieus en streven ernaar om ervoor te zorgen dat gebruikersgegevens veilig worden verwerkt. Deze beveiligingsverklaring is bedoeld om transparant te zijn onze beveiligingsinfrastructuur en -praktijken. Ga naar onze Privacyverklaring voor meer informatie over gegevensverwerking.

Gebruikersbeveiliging

  • Gebruikersgegevens in onze database zijn logisch gescheiden door accountgebaseerde toegangsregels. Gebruikersaccounts hebben unieke gebruikersnamen en wachtwoorden die moeten worden ingevoerd telkens wanneer een gebruiker zich aanmeldt;
  • Deelnemers en respondenten van enquêtes ontvangen e-mails met unieke links naar hun persoonlijke enquête;
  • Persoonlijke rapporten met resultaten worden rechtstreeks naar deelnemers verzonden. Alleen als de deelnemers toestemming hebben gegeven, kan het rapport ook naar de manager/leidinggevende worden gestuurd;
  • Organisaties krijgen alleen inzicht in gemiddelde resultaten van groepen werknemers.

Fysieke beveiliging

  • Alle ROI Institute Europe-gebruikersgegevens, worden opgeslagen op servers in Nederland;
  • Het datacenter waar de fysieke infrastructuur wordt gehost, is SOC2 gecontroleerd door EY en heeft certificaten voor ISO / IEC 27001 Informatiebeveiligingsbeheer en ISO 22301 Business Continuity Management;
  • ROI Institute Europe maakt gebruik van Transport Layer Security (TLS)-codering (bekend als HTTPS) voor alle verzonden gegevens. Onze services worden gehost door vertrouwde datacenters die onafhankelijk worden gecontroleerd met behulp van de industriestandaard SSAE-16-methode.

 Organisatorische en administratieve beveiliging

  • ROI Institute Europe heeft de “Code voor Informatiebeveiliging” overgenomen en toegepast sinds het ontwerp, de ontwikkeling en de implementatie van de applicatie (begin 2005);
  • ROI Institute Europe voldoet aan en is gebonden aan de NIP-code (code van professionele normen voor psychologen die is uitgegeven door het Nederlands Instituut van Psychologen (NIP);
  • Elke medewerker en aannemer tekent voor en is gehouden aan een ‘vertrouwelijkheidsverklaring’ die het verbod aangeeft om vertrouwelijke informatie te delen, anders dan overeengekomen met de klant;
  • ROI Institute Europe contracteert leveranciers (d.w.z. Sogyo en NDI) op basis van Service Level Agreements met regelingen die betrekking hebben op behandeling van incidenten, continuïteit, onvoorziene omstandigheden, veerkracht en vertrouwelijkheid;
  • Op het niveau van technische infrastructuur worden de beveiligingsprestatie-indicatoren vastgelegd in de Service Level Agreement met NDI en worden ze maandelijks gemonitord als onderdeel van de onderhoudsrapportcyclus. Dit onderhoudsrapport bevat verschillende indicatoren voor de gezondheid en beheersbaarheid van het systeem, inclusief besturingssysteem, database en netwerk, en ook enkele operationele prognoses met betrekking tot indicatoren zoals schijfgebruik en prestaties. Het onderhoudsrapport bevat ticketinformatie over incidenten en problemen, evenals wijzigingsverzoeken.

Behandeling van beveiligingsovertredingen

Ondanks de beste inspanningen is geen enkele methode van verzending via internet en geen enkele methode voor elektronische opslag perfect beveiligd. We kunnen geen absolute veiligheid garanderen. Als ROI Institute Europe echter kennis neemt van een inbreuk op de beveiliging, zullen we getroffen gebruikers op de hoogte stellen zodat ze de juiste beveiligingsmaatregelen kunnen nemen. Onze meldingsprocedures voor inbreuken zijn in overeenstemming met onze verplichtingen op grond van verschillende nationale en federale wet- en regelgeving, evenals alle industriële regels of normen waaraan wij ons houden. Meldingsprocedures omvatten het verstrekken van e-mailmeldingen of het plaatsen van een kennisgeving op onze website als er een inbreuk plaatsvindt.

Jouw verantwoordelijkheden

Het veilig houden van jouw gegevens hangt ook af van de beveiliging van je e-mailaccount. Zorg voor voldoende beveiliging op eigen systemen, om de vragenlijst die je invult en de rapporten die je ontvangt per e-mail weg te houden van nieuwsgierige blikken.

Vragen over deze verklaring kunnen worden voorgelegd aan onze helpdesk: helpdesk@roiinstitute-europe.com.

Klaas Toes, Groenekan, 19 januari, 2018