Samen houden we PrivacyDocs veilig. In dit document beschrijven we hoe.
Jij controleert je computer en e-mail
U moet de toegang tot uw ruimte op PrivacyDocs beperken tot de personen die er recht op hebben. We zullen u niet leren hoe u uw bedrijf kunt beveiligen. We gaan ervan uit dat u PrivacyDocs de e-mailadressen van de juiste en bevoegde personen verstrekt.
We vertrouwen op e-mails als manier om contact op te nemen met de individuen.
E-mails en sessies
Iedereen met toegangsrechten tot jouw ruimte op PrivacyDocs kan inloggen op de ruimte. Dit omvat jou en de personen die je hebt uitgenodigd voor PrivacyDocs door ze toegang te geven. Je moet ervoor zorgen dat de juiste e-mailadressen aan PrivacyDocs worden verstrekt.
We raden sterk aan om e-mailadressen te gebruiken die aan specifieke personen zijn gekoppeld en om team-e-mails (zoals sales@yourcompany.com) te vermijden. Als meerdere personen toegang hebben tot een e-mailadres, kan elke persoon inloggen op PrivacyDocs, mogelijk anderen uitnodigen, en weet u niet wie dat heeft gedaan. Wanneer meerdere personen samen moeten werken, kunt u ze uitnodigen voor PrivacyDocs en elke persoon de juiste machtigingen geven in het dialoogvenster 'Klantinstellingen'.
Nadat u bent ingelogd, bewaren we een zogenaamd 'sessiecookie' op uw computer. U kunt tegelijkertijd op meerdere browsers bij PrivacyDocs ingelogd zijn. Denk aan uw smartphone en kantoorcomputer. Het plaatsen van dit sessiecookie is vereist voor de werking van PrivacyDocs en is opgenomen in de gebruiksvoorwaarden van PrivacyDocs. We houden u een maand ingelogd, zodat u uw werk ononderbroken kunt voortzetten. U kunt zich op elk moment zelf afmelden.
Je moet ervoor zorgen dat jij (of je collega's die met PrivacyDocs werken) je computers onder controle hebt terwijl je bent ingelogd. Als iemand anders toegang krijgt tot je computer (je collega of een indringer), kan hij namens jou handelen, en kunnen wij zijn acties niet van de jouwe onderscheiden.
Dit alles is een standaard manier om webdiensten te leveren. Je webmail, kantoor of sociale media werken op dezelfde manier: na inloggen plaatsen ze een sessiecookie en houden je maandenlang ingelogd.
Noodgevallen
Wat te doen als je de controle over je e-mail, computer of smartphone verliest?
Neem onmiddellijk contact op met PrivacyDocs via het 'Contact'-formulier of per e-mail en geef aan welke e-mail is gecompromitteerd. We zullen je dan uit PrivacyDocs uitloggen en je e-mail drie dagen vergrendelen, zodat je van het voorval kunt herstellen.
We will ask you to verify your identity using the emergency contact details. Provide them now in the 'User settings' dialog. We generally respond during office hours, but no response times are guaranteed or should be expected. We would generally be able to recover your data from the backups if needed. We are happy to help, but we will charge you for the effort that we spend to remedy the incident (regular consultancy rate).Let op dat beveiligingsincidenten vaak leiden tot inbreuken op persoonsgegevens die binnen 72 uur moeten worden gerapporteerd.
Waarom zijn er geen wachtwoorden op PrivacyDocs?
Veel webdiensten vragen (vaak lange en complexe) wachtwoorden om in te loggen. Bij PrivacyDocs gebruiken we geen wachtwoorden omdat ze vaak de veiligheid juist verminderen (de zogenaamde 'veiligheidstheater').
Denk aan veel diensten die je gebruikt, die een wachtwoord vereisen, maar ook de mogelijkheid bieden om je wachtwoord per e-mail opnieuw in te stellen. Wanneer je je wachtwoord opnieuw instelt, sturen ze je een eenmalige inloglink (zoals PrivacyDocs doet wanneer je inlogt). Een indringer die toegang heeft tot je e-mail kan eenvoudig je wachtwoord opnieuw instellen en toegang krijgen tot de dienst. Bovendien kan een indringer die toegang heeft tot je wachtwoord (denk aan de gele stickers op je bureau) ook toegang krijgen tot de dienst. En als je hetzelfde wachtwoord voor verschillende diensten gebruikt...
Op deze manier creëert het gebruik van zowel een wachtwoord als de mogelijkheid om het wachtwoord per e-mail opnieuw in te stellen alleen een extra 'sleutel' voor uw systeem die u moet beschermen. Bij PrivacyDocs gebruiken we alleen de minimaal vereiste sleutel (uw e-mail). En we zullen uw wachtwoorden nooit lekken.
Deze aanpak is niet uniek en veel andere diensten gebruiken het.
En wat betreft MFA (Multi-Factor Authenticatie)?
Waarschijnlijk vereist uw e-mailprovider dat u een vorm van MFA gebruikt, zoals sms-berichten of een aparte smartphone-app. Bij PrivacyDocs profiteren we hiervan omdat het helpt uw controle over uw e-mail te waarborgen, het belangrijkste communicatiemiddel tussen PrivacyDocs en u.
We gebruiken aanvullende (nood)communicatiemiddelen om tijdens beveiligingsincidenten met u te communiceren. Op deze manier gebruiken we MFA wanneer de reguliere authenticatiemiddelen niet vertrouwd kunnen worden.
Het is zeer belangrijk om uw MFA-apparaat (meestal uw smartphone) niet voor regulair werk te gebruiken. Als een indringer toegang krijgt tot uw smartphone, worden de e-mails voor het opnieuw instellen van wachtwoorden en de MFA-sms-berichten naar dezelfde smartphone gestuurd. Als u uw smartphone verliest of deze kapot gaat, verliest u de toegang tot uw MFA-tokens en kunt u zich niet aanmelden.
Als vuistregel: Werk niet op je mobiel (we weten dat dit erg moeilijk is).
Organisatorische beveiligingsmaatregelen van PrivacyDocs
PrivacyDocs wordt beheerd door een klein team, waarbij slechts twee personen toegang hebben tot uw gegevens voor operationele en ondersteunende doeleinden. Beide zijn gebonden aan geheimhoudings- en vertrouwelijkheidsovereenkomsten die voldoende prikkels bevatten om deze na te leven.
De werking en toegang tot gegevens van PrivacyDocs vindt plaats in Nederland onder de Nederlandse wet. Er zijn geen buitenlandse aannemers of leveranciers betrokken.
Technische beveiligingsmaatregelen van PrivacyDocs
We gebruiken technische beveiligingsmaatregelen die voldoen aan de industrienormen om uw ruimte op PrivacyDocs te beschermen.
We vertrouwen op Amazon Web Services (AWS) om PrivacyDocs te hosten en op Microsoft voor AI en interne e-mails. We gebruiken de volgende belangrijke beveiligingsmaatregelen:
- Limited access.
- Access to production environment and your data is limited to the authorized individuals.
- Authorization and authentication.
- The authorized individuals need to authenticate using secret passwords (used by AWS or O365) and MFA devices to get access.
- Encryption in transit and at rest.
- Your data is encrypted with industry-standard means both when in transit (think of HTTPS) and at rest (think of disk and file encryption).
- AWS Dynamo DB.
- Your data is stored using AWS DynamoDB, partitioned per client, and is continuously backed up by Amazon. We crate regular off-site backups of the data as well. The backups are stored encrypted and accessible to the same individuals who manage the production environments.
- AWS Lambdas.
- Your data is processed using AWS lambdas. These are special kind of 'servers' that are created for each Web request and destroyed after the request is completed. As a result, there are no PrivacyDocs servers that can be compromised.
- Emails.
- AWS is used for all automatic emails, and Microsoft O365 is used for info@privacydocs.eu and emails inside the PrivacyDocs organisation.
- AI.
- Microsoft Azure is used as the provider of the AI engine. All data submitted to the PrivacyDocs 'Ask AI' feature will be sent to Microsoft.
- Logging in.
- When you login, we email you a single-use login link that is valid for one hour. During a login session, we store a session cookie. Both, the login link and the cookie are sufficiently long, to be considered secure, given their usage patterns.
Al deze maatregelen helpen om uw ruimte op PrivacyDocs veilig te houden.