Uw data, onze prioriteit

Privacy & Veiligheid

Bij Drieam heeft veiligheid de hoogste prioriteit bij de exploitatie van ons producten- en dienstenpakket.

Wij streven er voortdurend naar om een robuuste reeks beveiligingsmaatregelen en -praktijken te bieden om de privacy & veiligheid van de gegevens van onze klanten te garanderen. Daarom werken wij altijd in lijn met ons gegevensbeschermingsbeleid. Dit betekent dat wij zorgvuldig omgaan met alle verzamelde en verwerkte gegevens en dat wij voldoen aan de toepasselijke wetgeving, waaronder de Algemene Verordening Gegevensbescherming (GDPR) en de bijbehorende Uitvoeringswet.

Privacy Policy

In onze Privacy Policy vindt u informatie over hoe, of en waarom wij persoonlijke gegevens verzamelen en gebruiken met onze apps en systemen.

Veiligheidsmaatregelen

Bij Drieam nemen we adequate technische en organisatorische maatregelen om ervoor te zorgen dat de gegevens van onze klanten veilig en beschermd zijn. De belangrijkste principes die wij hiervoor hanteren zijn Security by Design (zoals dataminimalisatie) en Security by Default. Bovendien voeren wij periodiek interne audits uit conform de IT-beveiligingsrichtlijnen voor webapplicaties, vastgesteld door het Nationaal Cyber Security Centrum (NCSC).

Openbaar Verantwoord

Ondanks onze toegewijde maatregelen om de veiligheid en privacy binnen onze apps en systemen te waarborgen, kan het toch voorkomen dat er een kwetsbaarheid optreedt. Daarom staan wij bij Drieam, naast onze acties om mogelijke kwetsbaarheden te vinden, altijd open voor meldingen over zwakheden die door anderen gevonden worden. Een kwetsbaarheid in een van onze systemen kan direct aan onze security officer worden gemeld. Wij sluiten onze WordPress hosting uit van het Responsible Disclosure programma. Samen met de melding vragen wij om een uitgebreide beschrijving van de gevonden kwetsbaarheid, zodat wij deze kunnen reproduceren en oplossen. Bovendien verzoeken wij de melder vriendelijk de gevonden kwetsbaarheid niet met anderen te delen; meldingen worden altijd als vertrouwelijke informatie behandeld. Voor elke melding geldt dat elementen niet kunnen worden gedownload, gewijzigd of verwijderd. Wij streven ernaar gevonden kwetsbaarheden zo snel mogelijk op te lossen en ervoor te zorgen dat ze niet meer voorkomen.

Onze Partners

De uitvoering van onze diensten verleent aan onze partners mogelijk toegang tot persoonsgegevens. Zij zijn daarom (sub)verwerkers van persoonsgegevens zoals bedoeld in artikel 4 van de Algemene Verordening Gegevensbescherming (GDPR). Bij Drieam nemen we verschillende maatregelen om ervoor te zorgen dat deze gegevens op een veilige en verantwoorde manier worden verwerkt, in lijn met artikel 28(2) van de GDPR.

Waar mogelijk bewaren we gegevens in Europa en hebben we met elk van onze partners een gegevensverwerkingsovereenkomst (DPA) gesloten. Bovendien werken wij alleen met partners die gevestigd zijn in de Europese Unie, of in de Verenigde Staten, op voorwaarde dat zij de GDPR-regels en -voorschriften naleven bij de verwerking van onze gegevens. Hieronder vindt u de bijgewerkte lijst van de partners, die mogelijk toegang hebben tot de door Drieam verwerkte/verzamelde gegevens:

Sub-processor Purpose Country of processing Certification Remarks Country entity
Amazon Web Services (AWS) AWS is used to host, backup and process Drieam’s web applications and all its data. EEA / US (Qualtrics LTI hosted in US) ISO 27001, 27017, 27018 certification and SOC2 Type II attestation Ireland
Heroku [Salesforce] Cloudplatform as a service (PaaS) to build, run and operate Drieam’s web applications. Europe / US (Qualtrics LTI hosted in US) ISO 27001, 27017, 27018 certification and SOC2 Type II attestation US
Appsignal Application performance monitoring EU Application data stored in ISO 27001 certificated facilities NL
Mailgun Transaction email service to send, receive and track emails EU/US SOC2 Type II attestation Applicable to Eduframe, Portflow and Canvas hosting US
Instructure Learning Management System (LMS) EU www.instructure.com/canvas/security Only applicable when reselling Canvas LMS US
Qualtrics XM Distribution of surveys and saving and reporting of survey results EU ISO 27001 Certification https://www.qualtrics.com/security-statement/ Only applicable when reselling Qualtrics. US
Freshdesk Helpdesk software EU ISO 27001, 27017, 27018 certification and SOC2 Type I attestation Only personal data of Drieam’s direct contact persons at the customer is being processed. US
Google Workspace Used for email communication, calendar events and cloud storage of our team. EU Application data stored in ISO 27001 certificated facilities Only personal data of Drieam’s direct contact persons at the customer is being processed. US
HubSpot Store leads info, establish
communication channels and track progress along the buying lifecycle.
EU SOC2 Type II certification https://legal.hubspot.com/security Only personal data of Drieam’s direct contact persons at the customer is being processed. US
Moneybird Utilized for issuing invoices to customers. NL ISO 27001 Certification Data that is processed is limited Drieam’s direct contact persons at the customer and licence details. NL
QuickBooks Utilized solely for issuing invoices to customers in the US & Canada. US ISO 27001 certification and SOC2 Type II attestation Data that is processed is limited Drieam’s direct contact persons at the customer and license details. US
Microsoft [Azure] AI / LLM Services EU (Sweden) ISO 27001, ISO 27002, ISO 27018, SOC 1, 2 & 3 Only applicable for Portflow customers that opted in. US

SOC2 type II certificering

Drieam is beoordeeld op intern controlebeleid en interne controlepraktijken en heeft een SOC2 type II-certificering ontvangen door te voldoen aan de strenge eisen die zijn opgesteld door de AICPA en CICA.

Drieam heeft procedures voor toegangscontrole en we zijn volledig te vertrouwen met zeer vertrouwelijke informatie zoals wachtwoorden, documenten en beveiligde afbeeldingen.

Lees meer over de SOC 2 type II certificering van Drieam.

SOC2typeII
Cyber Essentials Certified

Cyber Essentials Gecertificeerd

Drieam heeft de juiste maatregelen getroffen om beschermd te zijn tegen een groot aantal van de meest voorkomende cyberaanvallen, zoals gecertificeerd door ons Cyber Essentials Certificaat. Cyber Essentials certificering toont aan dat een organisatie zichzelf beschermt door de belangrijkste cyberbeveiligingscontroles te implementeren.

Product Trust Portals

Lees meer op onze productspecifieke trust portals over beveiliging, privacy en toegankelijkheid en krijg toegang tot documentatie over conformiteit en certificering (in het Engels).

Contact

Neem gerust contact op met onze security officer voor vragen of opmerkingen met betrekking tot Drieam’s (data)privacy & beveiliging: securityofficer@drieam.com

Raadpleeg ons Privacybeleid voor informatie over onze externe functionaris voor gegevensbescherming.