Beveiligingsverklaring ROI Institute Europe

ROI Institute Europe is een onafhankelijk onderzoeksbureau gespecialiseerd in het meten van gedrag en resultaten van mensen en organisaties. De services die ROI Institute Europe biedt omvatten ontwerp, beheer en ondersteuning voor evaluatie van leeropbrengsten, prestaties (competenties), leeruitkomsten en reacties op ontwikkel- en veranderprogramma’s. Binnen deze services wordt gebruik gemaakt van een research platform genaamd Crowdtech.

In overeenstemming met de kernactiviteiten van ROI Institute Europe en de toegepaste technologieën, worden diensten geleverd in een genetwerkte organisatiestructuur. Met ROI Institute Europe als hoofdverantwoordelijke en servicemanager voor overeengekomen contracten, wordt de ontwikkeling en het onderhoud van de applicatie, ontwikkeling en onderhoud van databases en reporting applicatie, en het beheer van de technische infrastructuur uitbesteed aan respectievelijk:

  • Crowdtech B.V. (Rijnsburgstraat 9, 1059 AT Amsterdam, tel: 020 412 0812; crowdtech.nl).
  • 2TCI (Torenstraat 31, 4811 XV Breda, tel: 076 785 1023; 2tci.nl).
  • NDI ICT Solutions (Strawinskylaan 203, 1077 XX Amsterdam, tel. 088 088 4310; ndi.nl).

Wij nemen de veiligheid en privacy van onze gebruikers serieus en streven ernaar om ervoor te zorgen dat gebruikersgegevens veilig worden verwerkt. Deze beveiligingsverklaring is bedoeld om transparant te zijn onze beveiligingsinfrastructuur en -praktijken. Ga naar onze Privacyverklaring voor meer informatie over gegevensverwerking.

Beveiliging van apparatuur en systemen

ROI Institute Europe kent 3 niveaus om de toegang tot de data te beveiligen: fysieke beveiliging, gebruikersbeveiliging en organisatorische en administratieve beveiliging. Data wordt niet gedeeld met derden, tenzij dit specifiek is aangegeven door de opdrachtgever.

Gebruikersbeveiliging

  • Gebruikersgegevens in onze database zijn logisch gescheiden door accountgebaseerde toegangsregels.
  • Gebruikersaccounts hebben unieke gebruikersnamen en wachtwoorden die moeten worden ingevoerd telkens wanneer een gebruiker zich aanmeldt;
  • Deelnemers en respondenten van surveys ontvangen e-mails met unieke links naar hun persoonlijke survey;
  • Persoonlijke rapporten met resultaten worden rechtstreeks naar deelnemers verzonden. Alleen als de deelnemers toestemming hebben gegeven, kan het rapport ook naar de manager/leidinggevende/trainer worden gestuurd;
  • Organisaties krijgen alleen inzicht in gemiddelde resultaten van groepen werknemers.

Fysieke beveiliging

  • Alle ROI Institute Europe-gebruikersgegevens, worden opgeslagen op servers in Nederland;
  • Het datacenter waar de fysieke infrastructuur van ROI Institute Europe wordt gehost, is SOC2 gecontroleerd door EY en heeft certificaten voor ISO / IEC 27001 Informatiebeveiligingsbeheer (dd. 2020) en ISO 22301 Business Continuity Management;
  • Het datacenter waar leverancier Crowdtech gebruik van maakt is tevens ISO 27001 gecertificeerd (dd. 2020).

 Organisatorische en administratieve beveiliging

  • ROI Institute Europe voldoet aan en is gebonden aan de NIP-code (code van professionele normen voor psychologen die is uitgegeven door het Nederlands Instituut van Psychologen (NIP);
  • Elke medewerker en aannemer tekent voor en is gehouden aan een ‘vertrouwelijkheidsverklaring’ die het verbod aangeeft om vertrouwelijke informatie te delen, anders dan overeengekomen met de klant;
  • ROI Institute Europe contracteert leveranciers (d.w.z. Crowdtech, 2TCI en NDI) op basis van Service Level Agreements met regelingen die betrekking hebben op behandeling van incidenten, continuïteit, onvoorziene omstandigheden, veerkracht en vertrouwelijkheid;
  • Daarnaast maakt Crowdtech gebruik van incident detection tools: PTRG en ManageEngine. Crowdtech bezit geen SOC center maar doet periodieke audits op logs (IIS, Application) en laat jaarlijks een pen-test uitvoeren;
  • Op het niveau van technische infrastructuur worden de beveiligingsprestatie-indicatoren vastgelegd in de Service Level Agreement met NDI en worden ze maandelijks gemonitord als onderdeel van de onderhoudsrapportcyclus. Dit onderhoudsrapport bevat verschillende indicatoren voor de gezondheid en beheersbaarheid van het systeem, inclusief besturingssysteem, database en netwerk, en ook enkele operationele prognoses met betrekking tot indicatoren zoals schijfgebruik en prestaties. Het onderhoudsrapport bevat ticketinformatie over incidenten en problemen, evenals wijzigingsverzoeken.

Behandeling van beveiligingsovertredingen

Ondanks de beste inspanningen is geen enkele methode van verzending via internet en geen enkele methode voor elektronische opslag perfect beveiligd. We kunnen geen absolute veiligheid garanderen. Als ROI Institute Europe echter kennis neemt van een inbreuk op de beveiliging, zullen we getroffen gebruikers op de hoogte stellen zodat ze de juiste beveiligingsmaatregelen kunnen nemen. Onze meldingsprocedures voor inbreuken zijn in overeenstemming met onze verplichtingen op grond van verschillende nationale en federale wet- en regelgeving, evenals alle industriële regels of normen waaraan wij ons houden. Meldingsprocedures omvatten het verstrekken van e-mailmeldingen of het plaatsen van een kennisgeving op onze website als er een inbreuk plaatsvindt.

Jouw verantwoordelijkheden

Het veilig houden van jouw gegevens hangt ook af van de beveiliging van je e-mailaccount. Zorg voor voldoende beveiliging op eigen systemen, om de vragenlijst die je invult en de rapporten die je ontvangt per e-mail weg te houden van nieuwsgierige blikken.

Vragen over deze verklaring kunnen worden voorgelegd aan onze helpdesk: helpdesk@roiinstitute-europe.com.

Klaas Toes, Groenekan, 24 Augustus, 2021