Weet jij of jouw data veilig is?
Veel bedrijven op het Internet hebben persoonlijke gegevens van je nodig. Denk aan je naam, je contactgegevens, je adres, geboortedatum. Hoe vaak vul je die wel niet in? Soms gaat het om gegevens die nog belangrijker zijn om privé te houden. Zoals medische gegevens: welke medicijnen je slikt, hoe het met je bloedwaarden is gesteld, welke aandoeningen je hebt.
Niet alleen laten we vaker onze persoonlijke gegevens achter, het worden er ook steeds meer. Daar kan van alles mee mis gaan. Denk bijvoorbeeld aan het grote datalek bij Bevolkingsonderzoek Nederland, dat in augustus 2025 aan het licht kwam. Hierbij kwamen medische gegevens van bijna een half miljoen Nederlandse vrouwen op straat te liggen. Het Nederlanse laboratorium Clinical Diagnostics NMDL, dat uit naam van Bevolkingsonderzoek Nederland medische tests uitvoerde, bleek onvoldoende beveiligd bij een cyberaanval.
Nu zeggen alle bedrijven dat “privacy voor hen belangrijk is”. Maar doen zij er voldoende aan om dat ook waar te maken? Tussen “zeggen” en “doen” zit soms een te groot verschil.
Hoe zit dat dan bij Johan?
Uiteraard vinden wij bij Johan het ook belangrijk dat jouw gegevens veilig bij ons zijn. Maar we willen niet alleen roepen dat privacy belangrijk is, we willen ook vertellen wat wij daaraan doen. Dat leggen we graag hieronder uit.
Allereerst: gegevens goed beveiligen is geen éénmalig iets. Er zijn immers altijd nieuwe bedreigingen waar je als bedrijf mee te maken krijgt. Om die reden zijn wij bij Johan altijd met beveiliging bezig. En om te zorgen dat de beveiliging op orde is, zijn we er ook allemaal mee bezig, dus niet alleen “die ene IT-er in zijn hok”. Directie, developers, software testers, techies, support medewerkers: iedereen draagt bij ons bij om jouw data optimaal te beveiligen.
Beveiliging begint bij de directie. Die committeert zich aan strenge eisen. Die zorgt voor een stevig beleid, met heldere procedures voor iedereen. De directie van Johan geeft sturing en ziet er op toe dat het beveiligingbeleid en de eisen die zij stelt goed worden geïmplementeerd. Minimaal vier maal per jaar kijkt de directie uitgebreid of het beleid werkt en stuurt bij waar nodig.
Informatiebeveiliging verankerd vanaf de start
Al vanaf de start heeft de directie een CISO aangesteld: een Chief Informatie Security Officer. Die persoon zorgt ervoor dat alle risico’s met betrekking tot informatiebeveiliging in kaart worden gebracht. Deze risico’s worden vervolgens afgedekt door een groot aantal maatregelen. Die bestaan uit mensgerichte, functionele en technische maatregelen. De CISO ziet er ook op toe dat iedereen weet wat die maatregelen zijn en daar naar handelt. Bewustwording hoe belangrijk jouw data voor je is, zit diep in onze genen.
De CISO houdt zich vooral bezig met de technische kant van informatiebeveiliging. Daarnaast heeft Johan een privacy-officer en een Functionaris Gegevensbescherming aangesteld. Zij zien er op toe dat jou persoonsgegevens met de grootste zorg worden bewaard, en dat Johan voldoet aan de AVG.
Dankzij deze continue en gezamenlijke aandacht voor beveiliging, zorgen wij ervoor dat alle aspecten van onze dienstverlening veilig zijn. Dat geldt voor de hele keten. Dat begint bij de ontwikkeling van de software en het testen daarvan, tot en met de hosting en netwerkbeveiliging. Ook bieden wij onze gebruikers tools om hun account veilig te houden, zoals twee-factor authenticatie.
Certificeringen Johan b.v.
We willen niet alleen zeggen dat we veilig zijn en daar alles voor doen. We willen het ook aantonen. Om die reden is Johan zowel ISO 27001 als NEN 7510 gecertificeerd. Deze internationale en nationale norm behoren tot strengste op het gebied van informatiebeveiliging. Tweemaal per jaar wordt Johan beoordeeld op deze normen. Dat Johan al sinds 2017 ieder jaar aantoonbaar aan deze normen voldoet, toont aan dat onze beveiliging op orde is.
Je kunt onze certificaten vinden op johan.nl/iso27001 en johan.nl/nen7510
Nog niet helemaal overtuigd?
Misschien is bovenstaand voor jou voldoende om duidelijk te maken dat Johan jouw privacy echt serieus neemt. Maar als je iemand bent die op zoek is naar het naadje van de kous, lees dan nog even door. Daar vertellen we wat we zoal doen om jouw data veilig te houden.
Let wel: dit is slechts een greep uit onze maatregelen toolbox. We doen nog veel meer. Bekijk al onze maatregelen in onze “Verklaring van Toepasselijkheid”
Aandachtsgebied: veilig houden van uw account
Wat doen we? | Wat levert dat op? |
Versleuteling | Uw gegevens slaan wij versleuteld op. Ook worden uw gegevens versleuteld wanneer u die over Internet naar ons verzend. Zelfs als ons systeem gehackt zou worden, dan nog hebben de hackers er niets aan: de versleuteling is zo sterk dat het honderden jaren kost om deze te kraken. |
Multi factor authenticatie | 2 factor authenticatie is verplicht voor ieder account. Ook als u uw wachtwoord verliest, is uw account nog steeds veilig. U heeft namelijk uw telefoon ook nodig om bij ons in te loggen. |
Beveiligde hosting omgeving. | Uw gegevens worden alleen in Nederland opgeslagen, in een zeer streng beveiligd en bewaakt datacenter. Dit datacenter voldoet aan de strengste eisen. Wij controleren hen minimaal jaarlijks op naleving. |
Backup’s | Ook onze backup’s staan uitsluitend in Nederland, eveneens in een streng beveiligd datacenter, op een andere locatie. Ook als er een calamiteit is in het productie datacenter, kunnen wij uw data altijd terughalen. Uiteraard zijn onze backups meervoudig versleuteld volgens de strengste normen. |
Dedicated servers | Op onze eigen servers draait alleen Johan. Niets en niemand anders. Je wilt toch ook niet dat vreemden in je eigen huis wonen? Zo weten we precies wat er op onze servers gebeurt en houden we die veilig. We houden onze servers uiteraard up-to-date, om ze beschermen tegen aanvallen. |
Monitoring | Al onze systemen worden 24x7 gemonitord. Niet alleen onze servers, ook ons netwerk. Zodra er een afwijking is, reageren wij daarop. |
Netwerkbeveiliging | Ons netwerk wordt op diverse manieren actief beveiligd. Indringers worden actief geweerd. |
Logging | Al onze systemen houden bij wat er gebeurt. We monitoren onze logs; afwijkingen gaan we direct mee aan de slag. |
Aandachtsgebied: Organisatie en onze mensen
Wat doen we? | Wat levert dat op? |
Directie bemoeit zich met alles als het op beveiliging aankomt. | Gedegen beleid, actieve sturing, maximale ondersteuning. Iedereen bij Johan krijgt maximaal de ruimte om met de veiligheid van jouw data bezig te zijn. (En dat verwacht de directie ook.) |
We leggen rollen en verantwoordelijkheden vast. | Iedereen bij Johan draagt bij aan informatiebeveiliging. Iedereen weet wat er van hem of haar verwacht wordt. Iedereen kan jou vertellen welke inspanning jij mag van hem of haar mag verwachten. |
We houden onze kennis op peil. | Iedere dag ontstaan er nieuwe dreigingen. Door aan te sluiten bij de juiste kanalen, kennisinstituten en fora, blijft onze kennis up-to-date. Zo kunnen wij direct reageren op nieuwe bedreigingen. |
We screenen ons personeel. | De “background” van iedereen die bij Johan komt werken wordt vooraf gescreend. Voor onze “techies” is informatiebeveiliging logisch, fundamenteel en noodzakelijk. |
Wij houden elkaars bewustzijn scherp. | Regelmatig krijgt iedereen training op het gebied van privacy en informatiebeveiliging. We houden regelmatig een meeting met het hele team, waarin informatiebeveiliging centraal staat. We durven spreken elkaar aan te spreken op elkaars verantwoordelijkheden. |
Iedereen is gehouden aan geheimhouding. | Onze arbeidsovereenkomsten zijn duidelijk: geheimhouding is verplicht. Commitment aan je verantwoordelijkheden met betrekking tot informatiebeveiliging wordt niet verwacht, maar ook geëist. Voldoe je daar niet aan? Dan is er helaas geen plek voor jou bij Johan. |
Clear screen, clear desk. | Breek rustig bij ons in op kantoor: u zult er niets van waarde vinden, want de bureaus zijn leeg. Ook overdag beveiligen wij uw data: we locken onze PC zodra we even weg moeten van onze werkplek. |
Aandachtsgebied: Onze software ontwikkeling
Wat doen we? | Wat levert dat op? |
Security-by-design | Bij iedere stap in de software ontwikkeling houden we rekening met de vraag: op welke manier kunnen we privacy en security maximaal borgen? Oplossing die hier niet aan voldoen gooien we overboord. |
Veilig coderen | Alleen senior software developers die de regels der kunst kennen mogen bij Johan aan de bak. Onze developers zijn goed opgeleid en weten welke maatregelen zij moeten nemen om software veilig te maken. |
Strikte scheiding in iedere stap. | Het ontwikkelen van software, het testen daarvan en het in productie brengen gebeurt op verschillende platforms die volledig van elkaar gescheiden zijn.
Uw data blijft volledig gescheiden van ontwikkel- en test-omgevingen.
|
Testen, testen en testen | Iedere nieuwe functionaliteit in onze software wordt op alle mogelijke manieren getest. Voldoet het niet aan de specificaties? Dan gaan we terug naar de tekentafel en maken we het beter. Pas als het aan alle eisen voldoet, brengen we het in productie. |
Testgegevens zijn testgegevens. | We testen onze software nooit op systemen waarin uw data voorkomt. Bij testen maken we gebruik van random testgegevens. |
PEN testen | Ieder jaar laten we de beste hackers op onze software los. Ze mogen alles uit de kast trekken om te zien of er gaten in onze beveiliging en onze software zitten. Hun rapportages geven ons inzicht in de veiligheid van onze systemen. Zelden vinden zij iets; als zij iets vinden, dan lossen we dat direct op. |
Aandachtsgebied: Continue verbetering.
Wat doen we? | Wat levert dat op? |
Doorontwikkeling | Onze software wordt voortdurend doorontwikkeld en aangepast aan eisen van de tijd. Zo voegen we niet alleen nieuwe functionaliteit toe, maar houden we onze software ook veilig. |
Supportdesk | Wij staan iedere dag klaar voor vragen, opmerkingen en verbeterpunten. Zo laten we onze software aansluiten op uw behoeften. |
Incidenten oplossen | Is er iets gebeurt dat afwijkt van hoe het moet zijn? Ons team pakt ieder incident direct op. Kan de beveiliging verbeterd worden? Dan doet we dat zo snel mogelijk – vaak nog dezelfde dag. |
Leren van incidenten | Er is niemand die nooit fouten maakt. Belangrijker is dat je daarvan leert. Wij houden eventuele incidenten nauwkeurig bij, bespreken deze met het hele team en zoeken net zo lang, totdat we een manier hebben om herhaling te voorkomen. |
Aandachtsgebied: Leveranciers.
Wat doen we? | Wat levert dat op? |
Eisen vaststellen | De kernactiviteit van Johan is software ontwikkelen. De hosting daarvan besteden wij bewust uit, omdat er nu eenmaal anderen zijn die dat veel beter kunnen. Wij stellen dan ook hoge eisen aan het datacenter dat wij inhuren voor onze servers. Zo moeten zij minimaal ISO 27001 en NEN 7510 gecertificeerd zijn, en mag de data alleen in Nederland worden opgeslagen.
Wij eisen van het datacenter waar wij hosten, dat zij 24x7 bereikbaar zijn in het geval van vragen. Wij eisen dat zij storingen zo snel mogelijk oplossen. Wij eisen dat onze dienst minimaal 99,99% van de tijd beschikbaar is.
|
Afspraken maken | Met het datacenter waar wij uw data hosten, hebben we strakke contractuele afspraken, om te zorgen dat zij onze eisen naleven. |
Monitoring | Het datacenter monitort continue de beschikbaarheid van onze dienst en alle essentiële prestatiefactoren van onze servers. Wij monitoren op ons beurt het datacenter. |
Periodieke controle | Minimaal jaarlijks controleren wij of het datacenter aan onze eisen voldoet en of alle gemaakte afspraken zijn nagekomen. |
Heb je nog vragen?
Mocht je nog vragen hebben, dan horen we dat uiteraard graag. Zowel onze projectleiders, onze techies en onze CISO kunnen je woord staan. Wij zullen je vragen met open vizier ontvangen: support@johan.nl.