Uw data, onze prioriteit
Privacy & Veiligheid
Bij Drieam heeft veiligheid de hoogste prioriteit bij de exploitatie van ons producten- en dienstenpakket.
Wij streven er voortdurend naar om een robuuste reeks beveiligingsmaatregelen en -praktijken te bieden om de privacy & veiligheid van de gegevens van onze klanten te garanderen. Daarom werken wij altijd in lijn met ons gegevensbeschermingsbeleid. Dit betekent dat wij zorgvuldig omgaan met alle verzamelde en verwerkte gegevens en dat wij voldoen aan de toepasselijke wetgeving, waaronder de Algemene Verordening Gegevensbescherming (GDPR) en de bijbehorende Uitvoeringswet.
Veiligheidsmaatregelen
Bij Drieam nemen we adequate technische en organisatorische maatregelen om ervoor te zorgen dat de gegevens van onze klanten veilig en beschermd zijn. De belangrijkste principes die wij hiervoor hanteren zijn Security by Design (zoals dataminimalisatie) en Security by Default. Bovendien voeren wij periodiek interne audits uit conform de IT-beveiligingsrichtlijnen voor webapplicaties, vastgesteld door het Nationaal Cyber Security Centrum (NCSC).
Openbaar Verantwoord
Ondanks onze toegewijde maatregelen om de veiligheid en privacy binnen onze apps en systemen te waarborgen, kan het toch voorkomen dat er een kwetsbaarheid optreedt. Daarom staan wij bij Drieam, naast onze acties om mogelijke kwetsbaarheden te vinden, altijd open voor meldingen over zwakheden die door anderen gevonden worden. Een kwetsbaarheid in een van onze systemen kan direct aan onze security officer worden gemeld. Wij sluiten onze WordPress hosting uit van het Responsible Disclosure programma. Samen met de melding vragen wij om een uitgebreide beschrijving van de gevonden kwetsbaarheid, zodat wij deze kunnen reproduceren en oplossen. Bovendien verzoeken wij de melder vriendelijk de gevonden kwetsbaarheid niet met anderen te delen; meldingen worden altijd als vertrouwelijke informatie behandeld. Voor elke melding geldt dat elementen niet kunnen worden gedownload, gewijzigd of verwijderd. Wij streven ernaar gevonden kwetsbaarheden zo snel mogelijk op te lossen en ervoor te zorgen dat ze niet meer voorkomen.
Onze Partners
De uitvoering van onze diensten verleent aan onze partners mogelijk toegang tot persoonsgegevens. Zij zijn daarom (sub)verwerkers van persoonsgegevens zoals bedoeld in artikel 4 van de Algemene Verordening Gegevensbescherming (GDPR). Bij Drieam nemen we verschillende maatregelen om ervoor te zorgen dat deze gegevens op een veilige en verantwoorde manier worden verwerkt, in lijn met artikel 28(2) van de GDPR.
Waar mogelijk bewaren we gegevens in Europa en hebben we met elk van onze partners een gegevensverwerkingsovereenkomst (DPA) gesloten. Bovendien werken wij alleen met partners die gevestigd zijn in de Europese Unie, of in de Verenigde Staten, op voorwaarde dat zij de GDPR-regels en -voorschriften naleven bij de verwerking van onze gegevens. Hieronder vindt u de bijgewerkte lijst van de partners, die mogelijk toegang hebben tot de door Drieam verwerkte/verzamelde gegevens:
Sub-processor | Purpose | Country of processing | Certification | Remarks | Country entity |
---|---|---|---|---|---|
Amazon Web Services (AWS) | AWS is used to host, backup and process Drieam’s web applications and all its data. | EEA / US (Qualtrics LTI hosted in US) | ISO 27001, 27017, 27018 certification and SOC2 Type II attestation | – | Ireland |
Heroku [Salesforce] | Cloudplatform as a service (PaaS) to build, run and operate Drieam’s web applications. | Europe / US (Qualtrics LTI hosted in US) | ISO 27001, 27017, 27018 certification and SOC2 Type II attestation | – | US |
Appsignal | Application performance monitoring | EU | Application data stored in ISO 27001 certificated facilities | – | NL |
Mailgun | Transaction email service to send, receive and track emails | EU/US | SOC2 Type II attestation | Applicable to Eduframe, Portflow and Canvas hosting | US |
Instructure | Learning Management System (LMS) | EU | www.instructure.com/canvas/security | Only applicable when reselling Canvas LMS | US |
Qualtrics XM | Distribution of surveys and saving and reporting of survey results | EU | ISO 27001 Certification https://www.qualtrics.com/security-statement/ | Only applicable when reselling Qualtrics. | US |
Freshdesk | Helpdesk software | EU | ISO 27001, 27017, 27018 certification and SOC2 Type I attestation | Only personal data of Drieam’s direct contact persons at the customer is being processed. | US |
Google Workspace | Used for email communication, calendar events and cloud storage of our team. | EU | Application data stored in ISO 27001 certificated facilities | Only personal data of Drieam’s direct contact persons at the customer is being processed. | US |
HubSpot | Store leads info, establish communication channels and track progress along the buying lifecycle. |
EU | SOC2 Type II certification https://legal.hubspot.com/security | Only personal data of Drieam’s direct contact persons at the customer is being processed. | US |
Moneybird | Utilized for issuing invoices to customers. | NL | ISO 27001 Certification | Data that is processed is limited Drieam’s direct contact persons at the customer and licence details. | NL |
QuickBooks | Utilized solely for issuing invoices to customers in the US & Canada. | US | ISO 27001 certification and SOC2 Type II attestation | Data that is processed is limited Drieam’s direct contact persons at the customer and license details. | US |
Microsoft [Azure] | AI / LLM Services | EU (Sweden) | ISO 27001, ISO 27002, ISO 27018, SOC 1, 2 & 3 | Only applicable for Portflow customers that opted in. | US |
SOC2 type II certificering
Drieam is beoordeeld op intern controlebeleid en interne controlepraktijken en heeft een SOC2 type II-certificering ontvangen door te voldoen aan de strenge eisen die zijn opgesteld door de AICPA en CICA.
Drieam heeft procedures voor toegangscontrole en we zijn volledig te vertrouwen met zeer vertrouwelijke informatie zoals wachtwoorden, documenten en beveiligde afbeeldingen.
Lees meer over de SOC 2 type II certificering van Drieam.
Cyber Essentials Gecertificeerd
Drieam heeft de juiste maatregelen getroffen om beschermd te zijn tegen een groot aantal van de meest voorkomende cyberaanvallen, zoals gecertificeerd door ons Cyber Essentials Certificaat. Cyber Essentials certificering toont aan dat een organisatie zichzelf beschermt door de belangrijkste cyberbeveiligingscontroles te implementeren.
Product Trust Portals
Lees meer op onze productspecifieke trust portals over beveiliging, privacy en toegankelijkheid en krijg toegang tot documentatie over conformiteit en certificering (in het Engels).
Contact
Neem gerust contact op met onze security officer voor vragen of opmerkingen met betrekking tot Drieam’s (data)privacy & beveiliging: securityofficer@drieam.com
Raadpleeg ons Privacybeleid voor informatie over onze externe functionaris voor gegevensbescherming.