Privacy & informatiebeveiliging


Nieuws & actualiteiten



Citrix-lek

 

  • Vrijdag 24-01-2020, 16.00uur:

    Vandaag zijn er opnieuw patches beschikbaar gekomen die de komende dagen, daar waar van toepassing, op onze systemen worden geïnstalleerd. Uiterlijk woensdag verwachten we alle systemen voorzien te hebben van een update. Tot al onze systemen zijn ge-update hanteren we nog steeds de door het NCSC geadviseerde maatregelen en geldt constante monitoring

  • Maandag 20-01-2020, 15.00 uur:
    Voor de meestgebruikte versies van het systeem heeft Citrix gisteravond een update beschikbaar gesteld die een grote kwetsbaarheid dicht. Hoewel wij geen kwetsbaarheden ervaarden, zijn de systemen waar Unit4 Bedrijfssoftware gebruik van maakt conform de aanbevelingen geüpdatet. Hierdoor zijn diverse systemen voorzien van een structurele oplossing vanuit de leverancier (Citrix). Systemen waar de patch nog niet beschikbaar voor is, blijven conform het advies van Citrix en het NCSC voorzien van de geadviseerde maatregelen en is constante monitoring van kracht.
  • Zaterdag 18-01-2020, 09.00 uur:
    In tegenstelling tot de aanhoudende berichtgeving in de media rondom Citrix ervaren wij geen kwetsbaarheden in de Citrix-producten waar Unit4 Bedrijfssoftware gebruik van maakt. Onze systemen worden actief en voortdurend gemonitord en indien de situatie hierom vraagt worden direct tegenmaatregelen genomen.
  • Vrijdag 17-01-2020, 12.00 uur:
    In de media is de laatste dagen berichtgeving geweest over een security-lek in Citrix-producten waar Unit4 Bedrijfssoftware ook gebruik van maakt. Wij volgen nauwgezet de aanwijzingen van het Nationaal Cyber Security Centrum (NCSC) en de producent en voeren deze uit om kwetsbaarheid te minimaliseren. Met de kennis die wij nu hebben, ondervinden wij geen kwetsbaarheden. Uiteraard volgen wij de berichtgeving vanuit Citrix en de media omtrent dit security-lek op de voet en indien de situatie hierom vraagt worden direct tegenmaatregelen genomen.

Gedragscode



De gedragscode van Unit4 Bedrijfssoftware beschrijft hoe we op een open, transparante, eerlijke en maatschappelijk verantwoorde manier werken. Dit doen wij om het succes van Unit4 Bedrijfssoftware en van onze klanten te waarborgen. Hier vind je de gedragscode van Unit4 Bedrijfssoftware:


Verwerkersovereenkomst



In de Algemene verordening gegevensbescherming (AVG) staat (de bescherming van) privacy centraal. Het is daarom belangrijk dat verwerking van persoonsgegevens goed is vastgelegd. In sommige gevallen is het noodzakelijk om dit vast te leggen in een Verwerkersovereenkomst. Onderstaand een beknopte uitleg wanneer dit het geval is en hoe Unit4 Bedrijfssoftware je hierbij helpt.

 

Wanneer noodzaak

Een Verwerkersovereenkomst is een wettelijk verplichte overeenkomst op het moment dat je als klant aan Unit4 Bedrijfssoftware vraagt om persoonsgegevens voor jouw organisatie te verwerken. Je bent op dat moment verwerkingsverantwoordelijke en Unit4 Bedrijfssoftware is de verwerker. Het afsluiten van een Verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke als voor de verwerker. Besef dat er al snel sprake is van ‘verwerken’ van persoonsgegevens: het opslaan van persoonsgegevens bij een cloudprovider of Software as a Service (SaaS) aanbieder zijn onder andere ook voorbeelden van ‘verwerken’.

 

Unit4 heeft een nieuwe Verwerkersovereenkomst opgesteld die rekening houdt met de AVG en alle producten die Unit4 Bedrijfssoftware aanbiedt.

In dit document richten we ons met name op de zogenaamde ‘verkoop verwerkingsovereenkomst’; dat wil zeggen de situatie waarin Unit4 Bedrijfssoftware persoonsgegevens voor een verwerkingsverantwoordelijke (klant) zal verwerken.

 

Wat zijn persoonsgegevens?

Een goede uitleg hierover kun je vinden via de Autoriteit Persoonsgegevens via onderstaande link:

Autoriteitpersoonsgegevens.nl

 

Hier vind je de Verwerkersovereenkomst van Unit4 Bedrijfssoftware:


Certificeringen voor informatiebeveiliging



Wie gebruik maakt van de cloud- of SaaS-diensten ontkomt er niet aan om goed na te denken over de veiligheid van gegevens die in de cloud worden opgeslagen of verwerkt. Certificeringen voor informatiebeveiliging zijn een belangrijke indicatie voor een goed geregelde informatiebeveiliging. In het algemeen is te stellen dat jouw data bij cloudleveranciers met een certificering veilig zijn. Certificeringen worden alleen toegekend als organisaties werken volgens strikte procedures en hiermee de werkwijze aantoonbaar op orde hebben.

 

ISO27001

 

ISO27001 is een ISO-standaard voor informatiebeveiliging. Deze internationale norm is van toepassing op alle typen organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties). De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie. De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen, die de informatie beschermen en vertrouwen bieden aan belanghebbenden, te waarborgen.

 

Unit4 Bedrijfssoftware heeft voor verschillende onderdelen ISO27001-certificeringen. Voor het ontwerpen, implementeren en onderhouden van datacenterhostingdiensten in Nederland en Azure, inclusief het technisch beheer voor de applicaties en beheerdiensten die Unit4 Bedrijfssoftware aanbiedt op deze omgevingen.

 

Meer informatie ten aanzien van Informatiebeveiliging en ons product Fiscaal Gemak kan je vinden via de volgende link:

Fiscaal Gemak

 

Certificaat en bijbehorende Statement of Applicability kan worden gedownload via de onderstaande knoppen:


ISAE3402 / ISAE3000



De ISAE3402 en ISAE3000 zijn ook internationale standaarden. Bij een ISAE3402-rapportage geeft het management van de serviceorganisatie een formele verklaring (een zogenaamde ‘managementassertion’) af voor zijn verantwoordelijkheid voor de beheermaatregelen uit deze verklaring.

ISAE 3000 rapportage is de internationale standaard voor security en overige niet-financiële informatie.

De ISAE3402 en ISAE3000 standaarden kennen twee types rapportages:

  • Type I: Voor de opzet en het bestaan van beheermaatregelen.
  • Type II: Naast de opzet en het bestaan is ook de effectieve werking van de beheermaatregelen voor een bepaalde periode aangetoond.

Unit4 Bedrijfssoftware heeft verschillende ISAE3xxx-rapportages. Deze zijn alleen beschikbaar voor bestaande klanten of voor auditoren van bestaande klanten. Deze rapportages zijn niet vrij te downloaden, maar worden alleen op aanvraag verzonden. Dit kan je doen via je accountmanager of via support.

 

De volgende ISAE3xxx rapportages zijn beschikbaar:

  • ISAE3402 – Cloudservicediensten, inclusief Salaris Cloud, voor Nederlandse datacenters en Azure
  • ISAE3402 – Managed Payroll Service
  • ISAE3000 – Ontwikkeling van Personeel & Salaris-software

Privacy statement



Unit4 Bedrijfssoftware verwerkt uw persoonsgegevens met de nodige zorgvuldigheid, in overeenstemming met en alle toepasselijke wet- en regelgeving, in het bijzonder de Algemene Verordening Gegevensbescherming (AVG). In onze Privacy Policy wordt uitgelegd welke persoonsgegevens we verwerken, hoe we dat doen en hoe u bezwaar kunt maken tegen de verwerking van uw persoonsgegevens.


Beleid voor Gegevensbescherming



Wanneer er klantgegevens gemigreerd, opgeslagen of verwerkt wordt binnen een Software as a Service (‘Saas’) of Cloud-omgeving, beheerd door Unit4 Bedrijfssoftware gelden er beleidsregels voor de medewerkers van Unit4 Bedrijfssoftware hoe ze met deze data om moeten gaan. Deze beleidsregels vindt u hier.