Login

Informatie

Trust Centre

Het BlueLemon24 Trust Centre geeft alle informatie die je nodig hebt over beveiliging, privacy en compliance.

 

Lees meer Lees meer

Home » Trust Centre

De Digital Operational Resilience Act (DORA) is een Europese verordening die tot doel heeft ervoor te zorgen dat organisaties die onder toezicht staan van de AFM of DNB (zoals banken, verzekeraars, beleggingsondernemingen, betaalinstellingen) en hun ICT-dienstverleners, hun IT-risicobeheersing verbeteren en zo beter bestand zijn tegen cyberdreigingen. De verordening richt zich op het verfijnen van risicobeheer, IT-incidentbeheer, testen, toezicht op kritieke IT-dienstverleners en de elementen governance en organisatie.

Voor de meeste bewindvoerders geldt DORA niet als directe verplichting. Echter, de principes van informatiebeveiliging en digitale weerbaarheid (die DORA voorschrijft) zijn wel relevant voor de veiligheid van cliëntgegevens.

Na zorgvuldige overweging is BlueLemon24 van mening dat zij een ICT-dienstverlener is die niet-kritieke en belangrijke functies ondersteunt. BlueLemon24 heeft deze specifieke DORA-pagina aangemaakt om haar klanten, die financiële instellingen zijn en onder de DORA-regelgeving vallen, hierover te informeren. BlueLemon24 heeft tevens een standaard DORA-aanvulling (amendement) op de BlueLemon24-overeenkomst opgesteld. Klanten kunnen contact opnemen met de supportafdeling als zij deze DORA-aanvulling willen ontvangen.

Beschrijving van de diensten

Hieronder vindt je de beschrijvingen van de verschillende functies die BlueLemon24 levert op basis van artikel 30 (2)(a) DORA.

De software financieel beheer van BlueLemon24 is een cloud gebaseerd administratieplatform voor het beheren van cliëntgelden dat financiële hulpverleners helpt de financiën van hun cliënten efficiënt te beheren. Met de software van BlueLemon24 kunnen bedrijven de inkomsten, uitgaven en schulden bijhouden van hun cliënten, inclusief het factureren aan cliënten en bedrijven en het doen van verslaglegging naar de Rechtbank. Het platform biedt ook de mogelijkheid tot urenregistratie. Verder beschikt de software over geïntegreerde bankkoppelingen die transacties automatisch importeren en betalingen faciliteren, zodat financiële gegevens altijd actueel zijn. Handmatige invoer van transacties en het uitvoeren van betalingen worden ook ondersteund. Daarnaast biedt BlueLemon24 debiteurenbeheer, met functies zoals automatische betalingsherinneringen. Voor documentbeheer biedt de software opslag, waardoor bestanden worden beschermd en alleen toegankelijk zijn voor geautoriseerde personen. Workflows en goedkeuring statussen stellen onze klanten in staat om in elke fase een grondig overzicht te behouden.

Geïntegreerd controlekader

Bij BlueLemon24 hebben we een uitgebreid geïntegreerd controlekader Quality With Care ontwikkeld en geïmplementeerd dat is afgestemd op onze unieke omgeving. Dit kader is gebaseerd op de ISO 27001-norm en ISO 9001. Wij nemen die verantwoordelijkheid serieus. Met gecertificeerde processen en continue kwaliteitsbewaking werk je altijd met een veilig, transparant en toekomstbestendig systeem.

Privacy

BlueLemon24 hanteert verschillende maatregelen om de privacy van data te waarborgen en persoonsgegevens te beschermen.

Onze verwerking van persoonsgegevens voldoet aan de Nederlandse en Europese privacywetgeving en -richtlijnen. De Algemene Verordening Gegevensbescherming (AVG) is de basis voor ons informatiebeveiligingsbeleid.

BlueLemon24 verwerkt jouw gegevens om afgesproken diensten te kunnen leveren. We gebruiken de gegevens niet voor andere doeleinden, tenzij jij daar expliciet toestemming voor geeft en dit binnen de kaders van wet- en regelgeving toegestaan is.

De AVG duidt BlueLemon24 aan als ‘verwerker’, omdat onze dienstverlening erop gericht is om persoons en daaraan gerelateerde gegevens te verwerken voor opdrachtgevers, de verwerkingsverantwoordelijken. De AVG stelt eisen aan de vorm en inhoud van afspraken met opdrachtgevers en leveranciers. Daarnaast stelt deze wet ook een aantal zelfstandige verplichtingen en beperkingen aan BlueLemon24 als verwerker. Op basis van de AVG zorgen wij ervoor dat:

  1. het verwerken van persoonsgegevens alleen plaatsvindt op basis van schriftelijke instructies van haar opdrachtgevers (zoals uitgewerkt in de dienstverleningsovereenkomst) of de wet.
  2. de gegevensverstrekking aan derden voortvloeit uit de wet of het doel van de verwerking en geschiedt met specifieke toestemming van de opdrachtgever.
  3. er voldoende waarborgen zijn met betrekking tot technische en organisatorische beveiliging.
  4. er een functionaris gegevensbescherming is aangesteld als interne toezichthouder en adviseur.
  5. gegevens die aan ons zijn toevertrouwd geheim worden gehouden.
  6. Jij als verwerking verantwoordelijke kan voldoen aan de meldplicht datalekken.
  7. bij het ontwikkelen van software het ‘privacy by design’ en ‘privacy by default’ principe wordt gehanteerd.
  8. er bindende verwerkers afspraken gemaakt worden met verwerking verantwoordelijken en subverwerkers.

De verwerking van persoonsgegevens is uitgebreid verwerkt in de voorwaarden van BlueLemon24 en kan geregeld worden d.m.v. een verwerkersovereenkomst.

Meldplicht datalekken

De meldplicht datalekken in de AVG eist dat eventuele datalekken gemeld worden aan de toezichthouder. De “Beleidsregels meldplicht datalekken” van de Nederlandse Autoriteit Persoonsgegevens geven hierover nadere informatie. Wij zullen je als verwerking verantwoordelijke tijdig, juist en volledig informeren over relevante incidenten, zodat je aan de wettelijke vereisten kunt voldoen.

BlueLemon24 registreert alle security incidenten. De registratie en afhandeling van security incidenten wordt getoetst met een audit in het kader van de ISO 27001 certificering.

Omschrijving van de verwerking

Hieronder vind je de omschrijving van activiteiten en/of diensten, omvang en algemeen doel van de verwerking behorende bij de verwerkersovereenkomst.

Doel verwerking

Opslag: Opslaan en opslag van persoonsgegevens ingevoerd door Verwerking Verantwoordelijke binnen de software van BlueLemon24.

Beschikbaarstelling: Gegevens worden ontsloten via de gebruikersinterface van de software.

Beveiliging: Versleuteling van gegevens in transit en opslag; toegang via gebruikersautorisatie.

Logging & monitoring: Bijhouden van logbestanden voor foutdetectie, beveiliging en auditing.

Back-up & herstel: Periodiek maken van back-ups ter waarborging van de beschikbaarheid van gegevens.

Onderhoud & support: Toegang tot gegevens voor technische ondersteuning of incident oplossing (alleen indien nodig).

Verwijdering: Verwijderen van persoonsgegevens op verzoek van verantwoordelijke (alleen indien nodig).

Genereren van tekst: Tekst schrijven en genereren van rapportages, of verslagen op basis van AI technologie.

Categorieën van persoonsgegevens:

  1. Identificatiegegevens (NAW, BSN, geboortedatum)
  2. Zorggegevens of dossierinformatie (indien van toepassing)
  3. Financiële gegevens (indien van toepassing)
  4. Urenregistratie, verzuimregistratie (indien van toepassing)
  5. Rooster en Planning incluis adres gegevens cliënt
  6. Rapportages (vrije invoer)

Categorieën van betrokkenen:

  1. Medewerkers van Verwerking Verantwoordelijke
  2. Cliënten/patiënten van Verwerking Verantwoordelijke
  3. Klanten/relaties van Verwerking Verantwoordelijke

Grondslag van de verwerkingen:

  1. Uitvoering van een overeenkomst met de Verwerking Verantwoordelijke
  2. Gerechtvaardigd belang (Beveiliging en optimalisatie van de dienstverlening)

Shared Services

Verwerkingen binnen het Shared Service Center

Omschrijving Aard van de verwerking Soort persoonsgegevens Categorie van betrokkenen Doel
Autorisatie management box Toegangsbeheer voor gebruikers van de software. Gebruikers aanmeldgegevens (Gebruikersnaam, e-mailadres en wachtwoord) Client en gebruiker Authenticatie en autorisatie van gebruikers. gespecialiseerde software die wordt gebruikt voor het inrichten, beheren en monitoren van toegangsrechten en autorisaties binnen ERP-systemen
Correspondentie Het opstellen en versturen van brieven naar: cliënt, schuldeisers, debiteuren, crediteuren en overige contacten en relaties. Client: NAW, e-mailadres, geboortedatum, financiële gegevens. Partner: NAW, e-mailadres, geboortedatum, financiële gegevens. Relatie: NAW, e-mailadres. Gebruiker: NAW, e-mailadres. Client, partner, gebruiker en relatie Informatie uitwisseling ten behoeve van de overeengekomen dienstverlening. Wordt gebruikt voor het registreren, aanmaken, beheren en archiveren van communicatie.
Digitaal dossier Het opslaan en archiveren van digitale documenten en informatie. Client: NAW, BSN, e-mailadres, geboortedatum, financiele gegevens, legitimatie, contracten, gegevens Rechtspraak, medische gegevens, verzekeringen en overige informatie tbv de overeengekomen dienstverlening. Partner: NAW, BSN, e-mailadres, geboortedatum, financiele gegevens, legitimatie, contracten, gegevens Rechtspraak, medische gegevens, verzekeringen en overige informatie tbv de overeengekomen dienstverlening. Relatie: NAW, e-mailadres. Gebruiker: NAW, e-mailadres. Client, partner, gebruiker en relatie Het vastleggen van belangrijke informatie ten behoeve van de overeengekomen dienstverlening, zodat klanten aan de archiefwet verplichting voldoen.
Financieel beheer Het registreren en administreren van financiële gegevens en het klaar zetten van betaalopdrachten. Client: NAW, financiële gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Partner: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Relatie: NAW, rekeningnummer Client, partner en relatie Het administreren, reserveren, betalen en aflossen van financiële verplichtingen t.b.v. de cliëntadministratie.
Rechtspraak Financiële verslaglegging en communicatie, zoals rekening en verantwoording, boedelbeschrijving, schulden, mentorschap, beschikking. Client: NAW, financiële gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Partner: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Relatie: NAW, rekeningnummer. Gebruiker: NAW Client, partner, gebruiker en relatie Het afleggen van verantwoording over de dienstverlening richting de Rechtspraak.
Clientvolg Opslaan van klantdata t.b.v. dossiervorming. Client: NAW, BSN, e-mailadres, geboortedatum,  legitimatie. Partner: NAW, BSN, e-mailadres, geboortedatum,  legitimatie. Kinderen: NAW, BSN, geboortedatum. Relatie: NAW, e-mailadres. Client, partner, gebruiker en relatie Centraal vastleggen, beheren en monitoren van alle relevante informatie, behandelplannen en voortgang van cliënten.
Facturatie Versturen van facturen en creditnota’s. Client: NAW, e-mailadres. Gebruiker: NAW. Relatie: NAW, e-mailadres. Client, gebruiker en relatie Het stroomlijnen, automatiseren en beveiligen van factureren van geleverde dienst of product.
Projecten Project management helpt bij het plannen, organiseren, beheren en monitoren van projecten, taken en middelen. Client: NAW. Gebruiker: NAW. Client en gebruiker Het verhoogt de efficiëntie door real-time inzicht in de voortgang, verbeterde teamsamenwerking, automatische facturatie en budgetcontrole.
Taakbeheer Het plannen en beheren van individuele en/of groepstaken. Client: NAW. Gebruiker: NAW. Client en gebruiker Het stelt gebruikers in staat om taken toe te wijzen, voortgang te monitoren, samen te werken en herinneringen in te stellen, wat resulteert in hogere productiviteit en minder fouten.
Archiefbeheer Volledige grip op documenten en archiefprocessen Client: NAW. Gebruiker: NAW. Client en gebruiker Het centraliseert, beveiligt en ordent documenten en data, waardoor de gebruiker informatie razendsnel terugvindt, voldoet aan wettelijke bewaartermijnen (AVG/Archiefwet) en efficiënter werkt.
Tijdregistratie en agenda Medewerkers kunnen hun gewerkte uren, pauzes en projecttijd nauwkeurig bijhouden. Client: NAW. Gebruiker: NAW. Client en gebruiker Het nauwkeurig bijhouden en analyseren van gewerkte uren en aanwezigheid om productiviteit te verhogen, kosten te beheersen en facturatie te vereenvoudigen.
Formulieren Het efficiënt, gestructureerd en digitaal verzamelen, beheren en verwerken van gegevens. Client: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Partner: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Relatie: NAW, rekeningnummer. Gebruiker: NAW Client, partner, gebruiker en relatie Het vervangt papieren formulieren door digitale alternatieven, wat leidt tot snellere processen, minder fouten en een betere data-organisatie.
Verslaglegging / notities Efficiënt, accuraat en gestructureerd vastleggen van informatie. Client: NAW. Gebruiker: NAW. Client en gebruiker Het helpt om informatie, actiepunten, besluiten en belangrijke onderwerpen beknopt en concreet te documenteren.
Clientomgeving Efficiënt beheren en documenteren van klantrelaties. Client: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Partner: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Relatie: NAW, rekeningnummer. Gebruiker: NAW Client, partner, gebruiker en relatie Het stelt cliënten / klanten in staat om informatie in te zien, zelfstandig acties uit te voeren en geeft opdrachtgevers een centraal overzicht van alle klantinteracties.
Clientapp Digitaal platform waarop cliënten veilig hun eigen gegevens kunnen inzien en communiceren met zorgverleners of behandelaars. Client: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Partner: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie. Relatie: NAW, rekeningnummer. Gebruiker: NAW Client, partner, gebruiker en relatie Het verbeteren van de communicatie, informatievoorziening en betrokkenheid tussen een dienstverlener (vaak in de zorg of zakelijke dienstverlening) en de cliënt of klant.
Communicatie Chat De interactie stroomlijnen, klantenservice verbeteren en conversies verhogen. Client: NAW. Gebruiker: NAW. Client en gebruiker Het faciliteren van directe, realtime communicatie tussen mensen of tussen mensen en geautomatiseerde systemen.
Betalingsverwerking Het stroomlijnt het proces van betaling tot ontvangst. Client: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens. Partner: NAW, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens. Relatie: NAW, rekeningnummer. Gebruiker: NAW Client, partner, gebruiker en relatie Het veilig, snel en automatisch faciliteren van elektronische transacties.
Relatiebeheer Een totaaloverzicht van relaties en interacties. Relatie: NAW, rekeningnummer, e-mailadres. Relatie Het centraal verzamelen, structureren en analyseren van gegevens om relaties te verbeteren.
Mijn Organisatie Gegevens van de organisatie, cliënten, verbruik en facturatie. Client: Naam, klantnummer. Gebruiker: NAW Client en gebruiker Voor het beheren van de bedrijfsgegevens van de klant, inzicht in gebruikte modules, opslag archief en facturatie
BRP / Gemeente koppeling De centrale digitale verbinding waarmee gemeenten persoonsgegevens van inwoners beheren, bijwerken en delen met andere instanties. Client: NAW, BSN, geboortedatum Client Voor het automatisch actueel houden van persoonsgegevens en zorgt ervoor dat systemen naadloos aansluiten op de centrale basisregistratie, wat administratieve lasten vermindert.
Rapportages Het automatisch verzamelen, analyseren en visualiseren van data. Client: NAW, BSN, geboortedatum, e-mailadres, telefoon, legitimatie, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie, rechtbankgegevens. Partner: NAW, BSN, geboortedatum, e-mailadres, telefoon, legitimatie, financiele gegevens zoals rekeningnummer, bank-transactiegegevens, saldogegevens, schuldenregistratie, rechtbankgegevens. Relatie: NAW, rekeningnummer. Gebruiker: NAW Client, partner, gebruiker en relatie Het vervangt handmatig knip- en plakwerk (zoals Excel) door realtime overzichten, wat leidt tot snellere besluitvorming, minder fouten, betere strategische inzichten en hogere efficiëntie.
Quickscan Snel en efficiënt inzicht krijgen. Client: NAW, financiele gegevens Client Het helpt hulpverleners om snel inzicht te krijgen in de financiële situatie van een cliënt, knelpunten te identificeren en de administratieve last te verminderen.
VTLB Berekening van het Vrij Te Laten Bedrag. Client: NAW, financiele gegevens Client Het Vrij Te Laten Bedrag is voor bewindvoerders essentieel om nauwkeurig, efficiënt en volgens de actuele wettelijke normen te berekenen welk deel van het inkomen van een cliënt beschikbaar is voor schuldeisers en welk deel de cliënt zelf mag houden.

Grondslag van de verwerkingen

Uitvoering van een overeenkomst met de Verwerking Verantwoordelijke

Leveranciers

Een overzicht van onze subverwerkers vindt je hieronder. Als er zich een wijziging voordoet in de lijst zal dit bovenaan deze pagina worden vermeld.

Naam onderaannemer

Activiteit/dienst

Intern/extern

Type dienstverlening (cloud/saas)

Adres

Land waar onderaannemer is geregistreerd

Land waar dienst wordt uitgevoerd

Land waar data wordt opgeslagen

E-mailadres

Kvk

Certificering

Rol BL24

Microsoft Azure

Clouddienst

Extern

SaaS

Evert van de Beekstraat 354, 1118 CZ Schiphol

Nederland

Nederland

EU/EER

contact@microsoft.com

34061536

ISO 27001, ISO 27018, SOC 1 Type II, SOC 2 Type II, SOC3

Verwerker

Spotler/Flowmailer

E-mail

Extern

Saas

Henri Faasdreef 312, 2492 JP Den Haag

Nederland

Nederland

EU/EER

contact@spotler.com

55411592

ISO/IEC 27001:2022

Verwerker

Atlassian

Projectmanagement tool

Intern

Saas

Singel 236, 1016 AB Amsterdam

Nederland

Nederland

EU/EER

support@atlassian.com

34311373

ISO 27001, ISO 27018, SOC 2 Type II en SOC 3 rapportages

Verwerking verantwoordelijke

TransIP

Webhosting/e-mail

Extern

Saas

Vondellaan 47, 2332 AA Leiden

Nederland

Nederland

EU/EER

support@transip.nl

24345899

ISO 27001:2022, ISO 9001:2015 en NEN 7510:2017

Verwerking verantwoordelijke

Your Hosting(Argeweb)

Webhosting

Extern

Saas

Noordzee 10 D, 3144 DB Maassluis

Nederland

Nederland

EU/EER

sales@argeweb.nl

34128261

ISO 27001 en NEN 7510

Verwerking verantwoordelijke

Exact

Boekhouding

Intern

Saas

Molengraaffsingel 33, 2629 JD Delft

Nederland

Nederland

EU/EER

info.nl@exact.com

27223120

ISAE 3402 Type II standaard, ISO 27001

Verwerking verantwoordelijke

AgileBits B.V. (1Password)

Passwordmanager

Intern

Saas

Molengraaffsingel 12, 2629 JD Delft

Nederland

Canada

CA

support@1password.com

SOC 2 Type II rapportage

Verwerking verantwoordelijke

Zivver

Secure e-mail

Intern

Saas

Spaklerweg 52, 1114 AE Amsterdam

Nederland

Nederland

EU/EER

support@zivver.com

64894665

ISO 27001, ISO 27017 en NEN 7510

Verwerker

SalesForce(Slack)

Interne communicatie

Intern

Saas

Gustav Mahlerlaan 2970, 1081 LA Amsterdam

Nederland

Nederland

EU/EER

feedback@slack.com

63115417

ISO 27001, ISO 27017 en ISO 27018. SOC 1, 2 en 3 rapportages

Verwerking verantwoordelijke

Securify

Security Pentesting

Intern

SaaS

Naritaweg 132, 1043 CA Amsterdam

Nederland

Nederland

EU/EER

info@securify.nl

58043624

ISO 27001

Verwerking verantwoordelijke

Halo

Security Vunerabilityscanner

Intern

Saas

929 Alton Road, Suite 500, Miami Beach, FL 33139, Verenigde Staten

Amerika

Amerika

VS

halosecurity.com@mg.halosecurity.com

ISO 27001, SOC 2 Type II rapportage

Verwerking verantwoordelijke

Sectigo(Xolphin)

Certificate Authority / SSL Certificaten

Extern

Saas

Rogier van der Weydestraat 2, 1817 MJ Alkmaar

Nederland

Nederland

EU/EER

support@sectigo.eu

37101223

ISO 27001:2022 en WebTrust-audits

Verwerker

Privacy By Design

Voor alle leveranciers geldt dat wij voldoen aan het privacy by design principe. Ofwel wordt er alleen informatie naar de leverancier gestuurd die nodig is voor de beschreven verwerking.

Hosting / Locatie

BlueLemon24 maakt gebruik van Microsoft Azure voor het “hosten” van haar software. Het datacenter dat gebruikt wordt staat in Middenmeer Noord Holland met een mogelijke uitwijk naar Dublin Ierland voor het geval er regionale gebeurtenissen zijn die het datacenter in Noord Holland onbereikbaar maken.

Een overzicht van de privacy en beveiligingsmaatregelen en de compliance van Azure kunt u hier vinden:

Compliance offerings for Microsoft 365, Azure, and other Microsoft services.

General Data Protection Regulation – Microsoft GDPR

Monitoren van de beveiliging

De veiligheid van informatie wordt 24 uur per dag, 7 dagen per week, actief gemonitord. Om ook achteraf te kunnen vaststellen wat er met jouw informatie is gebeurd, zorgen wij ervoor dat:

  1. toegang tot systemen, systeemgebruik en systeemfouten worden vastgelegd. Voor alle gebeurtenissen leggen wij altijd datum, tijdstip en de gebeurtenis vast.
  2. de logging minimaal 90 dagen wordt bewaard.

Toegang tot informatie

BlueLemon24 eist de aanwezigheid en werking van een multifactor authenticatieprocedure op alle gebruikte authenticatieprocedures. Voor de cliëntportal wordt gebruik gemaakt van wachtwoord authenticatiemethode. Uitzonderingen zijn alleen tijdelijk toegestaan als de levering van de dienstverlening in gevaar komt t.g.v. een niet werkend multifactor authenticatie.

Enkel een select groep van software ingenieurs, trainers, adviseurs en supportmedewerkers heeft toegang tot productiedata. De opdrachtgever kan de toegang voor trainers, adviseurs en supportmedewerkers tot productie activeren en/of deactiveren. Deze toegang is nodig om de beschikbaarheid van de software te kunnen garanderen en/of begeleiding te kunnen geven.

Informatie Continuïteit

De gegevens opgeslagen in Azure worden altijd gerepliceerd om duurzaamheid en hoge beschikbaarheid te garanderen. Azure kopieert de gegevens om deze te beschermen tegen tijdelijke hardware storingen, netwerk- of stroomstoringen en zelfs enorme natuurrampen. Gegevens in Azure worden altijd drie keer gerepliceerd in de primaire regio.

Meer informatie over data redundancy in Azure:

Data redundancy – Azure Storage

SQL Database backup maakt gebruik van SQL Server-technologie om elke dag een volledige back-up te maken en transactielogboekback-ups elke 5-10 minuten. De back-ups worden opgeslagen in RA-GRS-opslagblobs die worden gerepliceerd naar een gekoppeld datacenter ter bescherming tegen uitval van het datacenter. De backups van de databases worden maximaal 33 dagen bewaard. Azure backups worden volledig door Azure beheerst, onze eigen ingenieurs hebben geen invloed op dit proces, dit is gedaan om de kans op een randsomeware attack te minimaliseren.

Meer informatie over database backups in Azure:

Understanding Backups for Azure SQL Database

Informatie versleuteling

We gebruiken cryptografische maatregelen (encryptie of versleuteling) om de vertrouwelijkheid van gevoelige en geheime informatie te beschermen en om de authenticiteit van gebruikers te kunnen vaststellen.

Voor het elektronisch transport maakt BlueLemon24 altijd gebruik van encryptie op basis van SSL. Informatie wordt daarnaast ook versleuteld bij opslag op externe media (offsite back-up).

Verantwoord gebruik van AI

BlueLemon24 maakt gebruik van AI-toepassingen om onze software slimmer en efficiënter te maken, bijvoorbeeld door aanbevelingen te doen op basis van rapportages of het ondersteunen bij het schrijven van rapportages. Daarbij staan veiligheid, privacy en transparantie altijd voorop.

Hoe gaan wij om met jouw data?

  1. We trainen AI nooit op jouw data zonder overleg. Jouw gegevens worden dus niet gebruikt om onze modellen te verbeteren of om generieke AI modellen te trainen.
  2. Jouw data blijft van jou. Data wordt nooit gedeeld met andere klanten, entiteiten of personen.
  3. Toepassingsspecifiek. AI wordt alleen ingezet voor specifieke doeleinden binnen de applicatie. Dit gebeurt altijd binnen de kaders van de overeengekomen dienstverlening.
  4. Dataveiligheid gegarandeerd. Alle data én het AI-model worden opgeslagen en gehost binnen Microsoft Azure in West-Europa.

Richtlijnen en toetsing van AI-gebruik

Elke AI-toepassing binnen de software van BlueLemon24 wordt beoordeeld aan de hand van een vaste set vragen, gebaseerd op de Microsoft AI Principles:

  1. Wat zijn de voordelen van deze AI-toepassing?
  2. Wat zijn de risico’s als het model fouten maakt?
  3. Op wie heeft de toepassing invloed?
  4. Wat gebeurt er bij verkeerd gebruik?
  5. Wie is verantwoordelijk voor onderhoud, controle en outputvalidatie?
  6. Hoe zorgen we dat het duidelijk is dat iets door AI is gegenereerd?
  7. Hoe testen we het gebruik in de praktijk?

Door deze toetsing borgen we dat AI betrouwbaar, veilig en verantwoord wordt ingezet in onze software.

Transparantie en contact

Wij streven naar maximale transparantie over het gebruik van AI. Heb je vragen over hoe AI in jouw specifieke situatie wordt ingezet? Neem gerust contact met ons op via onze Customer Service afdeling.

Veilige software

De software van BlueLemon24 is beschikbaar als Software as a Service (SaaS) en draait volledig in de public cloud (Microsoft Azure). Hierbij wordt gebruikgemaakt van breed ondersteunde technologieën, open en/of industriestandaarden. De architectuur is dusdanig opgezet dat deze goed schaalbaar is en een hoge beschikbaarheid en performance kan garanderen.

Indien mogelijk maken we gebruik van Open (of industrie) standaarden zoals:

  1. OpenID-Connect en OAuth2 voor respectievelijk authenticatie en autorisatie;
  2. REST/JSON API’s;

Voor de eindgebruikers is een stabiele internetverbinding met voldoende bandbreedte een vereiste, waarbij de toegang tot onze software niet wordt beperkt in bijvoorbeeld een firewall. Een andere belangrijke vereiste is een recente versie van een moderne webbrowser. I.v.m. de veiligheid ondersteunen wij alleen de moderne versies van de browsers.

Bij het ontwikkeling van onze code houden we ons aan de volgende principes:

  1. Security by design;
  2. Privacy by design;
  3. Privacy by Default;
  4. Principle of least privilege.

Application Security Program

Onderstaande programma onderdelen zijn vereist:

Zelf beoordeling: Regelmatig wordt elke product / team uitgevraagd over de huidige status van de beveiliging in zowel het technisch als het compliance domein. Dit dient tevens als een middel om het bewustzijn t.a.v. beveiliging op een hoog niveau te houden.

Application Security Testing: De software wordt getest op eventuele zwakheden in de code, dit gebeurt minimaal voor elke grote release. De gebruikte pentesten baseren zich hierbij o.a. op de zwakheden vermeld in de OWASP en in de CWE

Software Composition Analysis Service: We controleren op eventuele zwakheden bij geïmporteerde software onderdelen. Gevonden zwakheden worden altijd meteen opgelost door het onderdeel te upgraden of te vervangen.

Trainingsprogramma: Onze software ingenieurs worden getraind m.b.t. het schrijven van veilige code.

Beveiligingsindex: Bovenstaande programmaonderdelen worden continu gemonitord op implementatie en het tijdig oplossen van kritische issues.

Testen en ontwikkelen

Voor het testen van informatiesystemen met persoonsgegevens gebruiken we uitsluitend fictieve persoonsgegevens. Productie data mag niet worden gebruikt buiten de beschermde omgeving en dus ook niet op een laptop terechtkomen.

Uitzonderingen hierop zijn mogelijk, zoals het inrichten van een acceptatie omgeving met productiedata. Dit is echter alleen mogelijk met een expliciete en schriftelijke toestemming van de opdrachtgever, eigenaar van de informatie.

Responsible disclosure

BlueLemon24 vindt het belangrijk dat kwetsbaarheden in onze producten gemeld worden zodat we continu in staat zijn onze producten veiliger te maken. Hiervoor is beleid opgesteld hoe om te gaan met de kwetsbaarheden, op welke wijze je deze kenbaar kan maken en wat je hierin van BlueLemon24 mag verwachten.

Meer informatie is te vinden op: Responsible disclosure

DORA-status

Wil je op de hoogte gehouden worden aangaande de ontwikkelingen t.b.v. DORA die invloed hebben op BlueLemon24, abonneer je dan door een e-mail te sturen naar: dora-trustcentre@bluelemon24.nl. Door te abonneren, ontvang je updates met betrekking tot DORA, zoals wijzigingen in servicelocaties en serviceniveaus. Ben je niet geabonneerd, dan zal je zelf regelmatig moeten checken of er wijzigingen zijn.