Uw data, onze prioriteit
Privacy & Veiligheid
Bij Drieam heeft veiligheid de hoogste prioriteit bij de exploitatie van ons producten- en dienstenpakket.
Wij streven er voortdurend naar om een robuuste reeks beveiligingsmaatregelen en -praktijken te bieden om de privacy & veiligheid van de gegevens van onze klanten te garanderen. Daarom werken wij altijd in lijn met ons gegevensbeschermingsbeleid. Dit betekent dat wij zorgvuldig omgaan met alle verzamelde en verwerkte gegevens en dat wij voldoen aan de toepasselijke wetgeving, waaronder de Algemene Verordening Gegevensbescherming (GDPR) en de bijbehorende Uitvoeringswet.
Veiligheidsmaatregelen
Bij Drieam nemen we adequate technische en organisatorische maatregelen om ervoor te zorgen dat de gegevens van onze klanten veilig en beschermd zijn. De belangrijkste principes die wij hiervoor hanteren zijn Security by Design (zoals dataminimalisatie) en Security by Default. Bovendien voeren wij periodiek interne audits uit conform de IT-beveiligingsrichtlijnen voor webapplicaties, vastgesteld door het Nationaal Cyber Security Centrum (NCSC).
Openbaar Verantwoord
Ondanks onze toegewijde maatregelen om de veiligheid en privacy binnen onze apps en systemen te waarborgen, kan het toch voorkomen dat er een kwetsbaarheid optreedt. Daarom staan wij bij Drieam, naast onze acties om mogelijke kwetsbaarheden te vinden, altijd open voor meldingen over zwakheden die door anderen gevonden worden. Een kwetsbaarheid in een van onze systemen kan direct aan onze security officer worden gemeld. Wij sluiten onze WordPress hosting uit van het Responsible Disclosure programma. Samen met de melding vragen wij om een uitgebreide beschrijving van de gevonden kwetsbaarheid, zodat wij deze kunnen reproduceren en oplossen. Bovendien verzoeken wij de melder vriendelijk de gevonden kwetsbaarheid niet met anderen te delen; meldingen worden altijd als vertrouwelijke informatie behandeld. Voor elke melding geldt dat elementen niet kunnen worden gedownload, gewijzigd of verwijderd. Wij streven ernaar gevonden kwetsbaarheden zo snel mogelijk op te lossen en ervoor te zorgen dat ze niet meer voorkomen.
Onze Partners
De uitvoering van onze diensten verleent aan onze partners mogelijk toegang tot persoonsgegevens. Zij zijn daarom (sub)verwerkers van persoonsgegevens zoals bedoeld in artikel 4 van de Algemene Verordening Gegevensbescherming (GDPR). Bij Drieam nemen we verschillende maatregelen om ervoor te zorgen dat deze gegevens op een veilige en verantwoorde manier worden verwerkt, in lijn met artikel 28(2) van de GDPR.
Waar mogelijk bewaren we gegevens in Europa en hebben we met elk van onze partners een gegevensverwerkingsovereenkomst (DPA) gesloten. Bovendien werken wij alleen met partners die gevestigd zijn in de Europese Unie, of in de Verenigde Staten, op voorwaarde dat zij de GDPR-regels en -voorschriften naleven bij de verwerking van onze gegevens. Hieronder vindt u de bijgewerkte lijst van de partners, die mogelijk toegang hebben tot de door Drieam verwerkte/verzamelde gegevens:
| Sub-processor | Purpose | Country of processing | Certification | Remarks | Country entity |
|---|---|---|---|---|---|
| Amazon Web Services (AWS) | AWS is used to host, backup and process Drieam’s web applications and all its data. | EEA / US (Qualtrics LTI hosted in US) | ISO 27001, 27017, 27018 certification and SOC2 Type II attestation | – | Ireland |
| Heroku [Salesforce] | Cloudplatform as a service (PaaS) to build, run and operate Drieam’s web applications. | Europe / US (Qualtrics LTI hosted in US) | ISO 27001, 27017, 27018 certification and SOC2 Type II attestation | – | US |
| Appsignal | Application performance monitoring | EU | Application data stored in ISO 27001 certificated facilities | – | NL |
| Mailgun | Transaction email service to send, receive and track emails | EU/US | SOC2 Type II attestation | Applicable to Eduframe, Portflow and Canvas hosting | US |
| Instructure | Learning Management System (LMS) | EU | www.instructure.com/canvas/security | Only applicable when reselling Canvas LMS | US |
| Qualtrics XM | Distribution of surveys and saving and reporting of survey results | EU | ISO 27001 Certification https://www.qualtrics.com/security-statement/ | Only applicable when reselling Qualtrics. | US |
| Freshdesk | Helpdesk software | EU | ISO 27001, 27017, 27018 certification and SOC2 Type I attestation | Only personal data of Drieam’s direct contact persons at the customer is being processed. | US |
| Google Workspace | Used for email communication, calendar events and cloud storage of our team. | US & EU | Application data stored in ISO 27001 certificated facilities | Only personal data of Drieam’s direct contact persons at the customer is being processed. | US |
| HubSpot | Store leads info, establish communication channels and track progress along the buying lifecycle. |
US | SOC2 Type II certification https://legal.hubspot.com/security | Only personal data of Drieam’s direct contact persons at the customer is being processed. | US |
| Moneybird | Utilized for issuing invoices to customers. | NL | ISO 27001 Certification | Data that is processed is limited Drieam’s direct contact persons at the customer and licence details. | NL |
| QuickBooks | Utilized solely for issuing invoices to customers in the US & Canada. | US | ISO 27001 certification and SOC2 Type II attestation | Data that is processed is limited Drieam’s direct contact persons at the customer and license details. | US |
Contact
Feel free to contact our security officer for any question or comment related to Drieam’s (data) privacy & security: securityofficer@drieam.com
For information concerning our external Data Protection Officer (DPO), please consult our Privacy Policy.
