Mett voldoet aan alle wettelijke eisen

Wij willen voldoen aan nationale en internationale standaarden. Dus laten wij onze processen en producten controleren en certificeren. Vanuit de gedachte dat certificaten en normen een instrument vormen om transparantie en kwaliteit te waarborgen rondom werkprocessen, beveiliging, privacy en toegankelijkheid. De audits die horen bij de certificeringsprocessen geven ons bovendien de kans om onze processen en producten steeds verder te verbeteren.

Certificaten voor kwaliteit en beveiliging

Wij zijn door Kiwa Nederland B.V. gecertificeerd voor drie belangrijke normen. Deze normen staan hieronder genoemd:  

• ISO 9001:2015, de internationale kwaliteitsnorm gericht op het continu verbeteren van de organisatie;  
  Bekijk het certificaat ISO 9001 .

• ISO 27001:2017 , de internationale beveiligingsnorm gericht op informatiebeveiliging.
  Bekijk het certificaat ISO 27001 of bekijk de Verklaring van Toepasselijkheid ISO 27001 .

• NEN 7510: 2017, Nederlandse informatie beveiligingsnorm voor de zorgsector. Het stelt aanvullend op de ISO 27001 extra beveiligingsmaatregelen om gezondheidsgegevens te beschermen. 
  Bekijk het certificaat NEN 7510 of bekijk de Verklaring van Toepasselijkheid NEN 7510.

BIO, Baseline Informatiebeveiliging Overheid

De BIO is het basis normenkader voor informatiebeveiliging binnen alle overheidsinstellingen. Deze richtlijn is een aanvulling op de ISO 27001. Wij hebben deze norm geïmplementeerd. Momenteel is deze norm niet certificeerbaar, maar we laten hem wel onafhankelijk toetsen. Naast onze eigen interne en externe audits, hebben wij onder andere contact met het Security Operations Center (SOC/CIV) van Rijkswaterstaat over de technische instellingen conform de BIO. Zij werken met een lijst van Mett websites die op regelmatige basis worden gecontroleerd op compliance en gewijzigde normen. Indien gewenst kunnen wij je in contact brengen met onze contactpersoon. Voor de BIO hebben we een Verklaring van Toepasselijkheid opgesteld waarin staat welke beheersmaatregelen wij hebben toegepast middels het comply or explain principe. Op verzoek sturen we dit aan onze klanten.

ISO 12207 Software life cycle processes

Het software ontwikkelproces vormt een belangrijke levensader van Mett. Daarom werken we niet alleen Agile en in lijn met de Scrum methodiek. Maar ook voeren we procesverbeteringen door in lijn met de internationale ‘Software life cycle processes standaard’ (ISO 12207). Deze norm is onafhankelijk getoetst door Meridion BV. Bekijk het ISO 12207 certificaat .

ISO 27701 Privacy normen

Als aanvulling op de ISO 27001 hebben wij richtlijnen en procedures opgesteld en geïmplementeerd vanuit de ISO 27701. Wij willen hiermee laten zien dat er op een verantwoorde manier wordt omgegaan met privacygevoelige informatie, vooral als deze informatie te herleiden is naar een individu, de zogenoemde Persoonlijk Identificeerbare Informatie (PII).

Toegankelijkheid van informatie: WCAG 2.1, niveau AA

Vanaf 23 september 2020 moeten alle overheidswebsites en applicaties voldoen aan de toegankelijkheidsrichtlijnen WCAG 2.1, niveau AA. Hiermee is de digitale toegankelijkheid geborgd op basis van vier principes: waarneembaar, bedienbaar, begrijpelijk en robuust. Wij voldoen al sinds 2016 aan de strenge toegankelijkheidseisen. Tevens laten wij ons platform elk jaar toetsen om er zeker van te zijn dat onze platforms op technisch-functioneel blijven voldoen aan de laatste standaarden. Onze klanten hoeven zich daardoor alleen nog maar bezig te houden met toegankelijke content. Ook de toetsen die zij laten uitvoeren kunnen zich daardoor beperken tot de content. Bekijk ons toegankelijkheidscertificaat. 

Als je Mett gebruikt, verwerken we persoonsgegevens. Van je medewerkers bijvoorbeeld. Of van andere personen. Deze slaan we op in het Mett Platform op onze eigen servers. Deze servers staan op twee locaties in Nederland bij onze hostingprovider. Op grond van de Algemene Verordening Gegevensbescherming (AVG) ben jij als onze klant (als verwerkingsverantwoordelijke) verantwoordelijk voor de verwerking van die persoonsgegevens via ons Mett Platform. Mett geldt daarbij als (gegevens)verwerker. En onze hostingprovider als sub-verwerker.

Bescherming persoonsgegevens 

Wij hechten veel waarde aan de bescherming van persoonsgegevens. Dat is een van de redenen waarom wij conform de hierboven genoemde BIO, ISO en NEN normeringen zijn gaan werken. Daarnaast hebben wij een (sub)verwerkingsovereenkomst met onze hostingprovider afgesloten. Daarin hebben wij verplichtingen voor hen opgenomen, zodat alle persoonsgegevens op een veilige manier worden verwerkt.

Verwerkersovereenkomsten 

De verwerkersovereenkomst vormt altijd een onderdeel van de hoofdovereenkomst met al onze klanten. In de verwerkersovereenkomst staan de afspraken die we hebben gemaakt over de verwerking van persoonsgegevens binnen het Mett platform, of het nu gaat om een intranet, community of website. Wij zijn in verschillende sectoren actief en hanteren, naast onze eigen verwerkersovereenkomst, onder andere de volgende standaarden:

• Bij gemeenten: de standaard VNG verwerkersovereenkomst; 

• Bij de Rijksoverheid: de standaard ARBIT-verwerkersovereenkomst; 

• In de zorgsector: model verwerkersovereenkomst Brancheorganisaties Zorg. 

Data Protection Impact Assessment (DPIA) 

Om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen, hebben wij zelf een Data Protection Impact Assessment (DPIA) uitgevoerd. En we stellen er ook eentje als template beschikbaar aan jou, onze klant. Deze template is gebaseerd op de Model gegevensbeschermingseffectbeoordeling Rijksdienst. Wij zien dit als leidraad waarmee een verwerkingsverantwoordelijke een DPIA kan uitvoeren op een specifiek Mett platform met de daarbij behorende risico’s en additionele (verbeter)maatregelen. Meer informatie over de DPIA delen we graag met je via ons Helpcenter.  

Privacyverklaring

De privacyverklaring op onze website beschrijft onder meer welke persoonsgegevens wij verwerken. Voor de werking van het Mett platform zijn geen bijzondere persoonsgegevens nodig. In de beveiliging houden we hier echter wel rekening mee aangezien gebruikers er toch vrijwillig voor kunnen kiezen om bijzondere persoonsgegevens op te slaan. Er worden enkel persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het doel: het optimaal laten functioneren van de community/website. 
Lees hier onze privacy verklaring.

Cookiebeleid 

Net als de meeste andere websites gebruiken ook wij cookies. Onder andere voor bepaalde functionaliteiten en het optimaliseren van een website. Ook gebruiken we voor het bijhouden van statistieken en in sommige gevallen voor marketingdoeleinden. Zodra cookies persoonlijke gegevens of voorkeuren bijhouden, dan vragen we de gebruiker eerst dit goed te keuren. Dat is ook wettelijk verplicht. Lees meer over cookies en jouw privacy in ons cookiestatement.

Mett platform: Privacy by Default

Op het Mett platform kunnen beheerders instellingen zelf aanpassen waardoor enkel de strikt noodzakelijke informatie zichtbaar is. Zo is er de keus of namen bij blog (reacties) wel of niet zichtbaar zijn. Samen met een adviseur van Mett worden deze configuraties ingesteld. Daarnaast kunnen gebruikers in een openbaar platform ook zelf hun privacy-instellingen aanpassen, hun gegevens downloaden en hun profiel verwijderen.
Aan elke klant bieden wij bovendien de mogelijkheid om een eigen cookie-verklaring en privacy statement te plaatsen. Hiervoor kan gebruik gemaakt worden van onze standaard verklaringen, maar onze adviseurs helpen ook bij een eigen op maat gemaakte verklaring.

Met onze hostingprovider hebben wij afspraken gemaakt over beveiliging. Die hebben wij vastgelegd in contracten. Deze afspraken zorgen onder meer voor maatregelen die de hostingprovider zelf neemt, en die we periodiek kunnen (laten) controleren. Daarnaast hebben we op die manier de beveiligingsnormen vastgelegd die wij stellen aan de datacenters waar wij via onze provider gebruik van maken.

Locatie en beveiliging van data en servers 

Onze servers staan in Nederland en worden beheerd door onze Nederlandse hostingpartner. De back-up locatie staat hemelsbreed op een afstand van 65 kilometer van de productielocatie. De gegevens en back-ups worden (dus) alleen in Nederland opgeslagen en verwerkt. Er wordt dus nadrukkelijk geen gebruikgemaakt van servers in andere landen.

Ons datacenter is gecertificeerd conform ISO 27001, ISAE 3402, NEN 1010, NEN 3140 en heeft een TIER 3 redundantie. Het datacenter wat dienst doet als onze back-up locatie is ISO gecertificeerd en heeft een TIER 3 redundantie. Op verzoek sturen wij een afschrift van de genoemde certificaten aan onze klanten.

Netwerk en cloudbeveiliging 

Wij beschikken over een aantal beveiligingsmaatregelen zoals een firewall en virusscanners waarmee het verkeer van en naar de servers in de gaten wordt gehouden. Het netwerk wordt vierentwintig uur per dag en zeven dagen in de week (24/7) gescand om potentiële bedreigingen en kwetsbaarheden te signaleren. Door deze proactieve monitoring weten wij vaak al eerder dan onze klanten dat er mogelijk sprake is van een bedreiging. Op deze manier zijn wij in staat maatregelen te treffen voordat onze klanten last van verstoringen krijgen.

Pentratie en kwetsbaarheden tests 

Een onafhankelijke partij voert minimaal één keer per jaar een penetratie test uit. Hierbij test een ethische hacker het Mett-platform op de doeltreffendheid van de technische beveiliging tegen de meest voorkomende security kwetsbaarheden (OWASP top 10). Daarnaast voert onze security officer jaarlijks een kwetsbaarheden test uit.

Aansluitend op deze testen reserveren wij tijd in onze tweewekelijkse ontwikkel sprints om maatregelen te treffen tegen eventueel gesignaleerde kwetsbaarheden. Ons beleid is er op gericht om opvolging te geven aan alle gevonden kwetsbaarheden, dus van prioriteit kritisch tot en met laag inclusief verwerking van informatieve tips. Op verzoek kunnen we de rapportage uit de pentest laten zien en toelichten.

Beschikbaarheid en continuïteit 

Hoewel wij doorgaans een hogere beschikbaarheid meten, zal het Mett Platform per jaar minimaal 99,5% beschikbaar zijn. Mocht het om wat voor reden dan ook de beschikbaarheid onder dit niveau komen, dan stellen wij in overleg met onze hostingprovider een concreet verbeterplan op.

Om de continuïteit van de beschikbaarheid van ons Mett Platform te waarborgen, heeft Mett meerdere maatregelen getroffen. Een van de belangrijkste maatregelen is dat Mett alle servers en firewalls redundant heeft uitgevoerd. Deze staan in een datacentrum die zeer goed is beveiligd tegen, overstromingen, brand en stroomuitval.

Met behulp van onze Security check bepalen we samen het beveiligingsniveau van de community of website en richten we deze in samen met de beheerder tijdens de implementatie van een platform. Wij hanteren hierbij, net als bij de Baseline Informatiebeveiliging Overheid (BIO), drie beveiligingsniveaus, zogenaamde Basis beveiligingsniveau's (BBN). We hanteren hierbij de volgende niveaus en kaders: 

Publiek BBN1

Het gaat hierbij vooral om de openbare informatie. Bij dit niveau gaan we ervan uit dat de informatie die gedeeld wordt (openbaar of besloten) niet kritisch is als dit 'op straat komt te liggen'.
Voorbeeld maatregel: de community is openbaar en toegankelijk voor iedereen via SSL-verbinding;

Vertrouwelijk BBN2

Onbedoeld openbaar maken van de informatie kan leiden tot schade van de organisatie of betrokkenen.
Voorbeeld maatregel: de community is enkel toegankelijk via een gebruikersnaam en wachtwoord.

Zeer bedrijfskritisch BBN3

Het betreft hier zeer risicovolle gegevens als gezondheidsgegevens, BSN, etc.
Voorbeeld maatregel: toegang wordt verkregen via twee factor authenticatie.
 
Op basis van de security check, stellen we het BBN-niveau en (additionele) maatregelen vast. Vervolgens configureren we deze maatregelen binnen het intranet, de community of de website. Dit doen we samen met de beheerder. Onderdeel van de security check zijn de onderstaande beveiligingsmaatregelen / configuratiemogelijkheden:

Twee factor authenticatie (2FA) 

Het Mett-platform kan worden voorzien van een twee factor authenticatie (2FA). Als 2FA aan wordt gezet, hebben gebruikers een extra tijdelijke code nodig om in te loggen. Deze code wordt aangemaakt door een speciale authenticatie app. Gebruikers kunnen zelf bepalen welke app ze gebruiken om in te loggen. De meestgebruikte apps zijn Authy (Android, iOS), Google Authenticator (Android, iOS) en Microsoft Authenticator (Android, iOS).

Beveiligde verbinding via SSL 

Wij voorzien onze platformen standaard en verplicht van een SSL certificaat en we voorzien elk platform van privacy en security instellingen. Daarbij houden we rekening met de van toepassing zijnde wensen en eisen vanuit onder meer de Baseline Informatiebeveiliging Overheid (BIO). Een SSL-certificaat zorgt voor een beveiligde versleutelde verbinding. 

PKIoverheid-certificaat  

De PKIoverheid-certificaten zijn een vorm van SSL en vormen de verplichte standaard voor het beveiligen van elektronische overheidsdiensten. Wij wijzen onze overheidsklanten erop dat dit type SSL-certificaat verplicht is. Het toepassen van de PKI SSL is standaard in onze dienstverlening bij de Rijksoverheid. We hebben verschillende contactpersonen binnen de Rijksoverheid om deze certificaten aan te vragen.

Scoren 100% op internet.nl  

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten. Om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. Het platform is een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid.  Via deze controle wordt het Mett-platform onder meer getoetst op IPv6, DNSSEC, HTTPS en een set aan beveiligingsopties.  
Wij spannen ons tot het uiterste in om voor onze klanten een 100% score te behalen. Doordat het beleid steeds strenger wordt, kan het voorkomen dat we de 100% tijdelijk niet kunnen halen. Als dat zo blijkt te zijn, dan voeren we aanpassingen door zodat we weer op 100% komen. 

IP-beperkingen 

Het Mett-platform maakt het mogelijk dat deze enkel toegankelijk is vanaf specifieke IP-adresbereiken (whitelist) die de klant opgeeft. Deze beperkingen kunnen worden toegepast in samenwerking met een adviseur van Mett.

Zoals je hebt kunnen lezen gaan we tot het uiterste met het nemen van technische beveiligingsmaatregelen. Maar dienstverlening is ook mensenwerk. Dus moeten we er ook voor  zorgen dat onze medewerkers zeer zorgvuldig omgaan met (persoons)gegevens   van onze klanten, waarmee ze door hun werk in aanraking kunnen komen. Wij ondertekenen daarom met al onze medewerkers en ingehuurd personeel een geheimhoudingsverplichting, die onder andere ingaat op alle persoons- en gezondheidsgegevens van onze klanten. Ook vragen we van iedereen een Verklaring Omtrent Gedrag (VOG). Met deze maatregelen en interne awareness sessies waarborgen wij de integriteit en vertrouwelijkheid van onze medewerkers.

Vindt er een (beveiligings)incident plaats? Dan melden beheerders van Mett platformen dat aan ons via onze helpdesk (helpdesk@mett.nl). Zodra een beveiligingsincident op deze manier is gemeld, komen wij zo spoedig mogelijk in actie om de oorzaak te achterhalen en het incident op te lossen.   Bij de incidentafhandeling is altijd een team betrokken van onder meer ontwikkelaars, security officer en privacy officer.

Zwakke plekken

Je hebt inmiddels vast begrepen dat wij enorm veel belang hechten aan de beveiliging van onze systemen en bovenal de gegevens van onze klanten en partners. Ondanks onze zorg voor de beveiliging van onze systemen, kan het voorkomen dat er toch een zwakke plek is. Als je een zwakke plek in één van onze systemen vindt, horen wij dit graag. Dan kunnen we zo snel mogelijk maatregelen treffen. Kortom: wij werken graag samen met jou om onze klanten en onze systemen beter te beschermen. Onze coordinated vulnerability disclosure is (onderaan te vinden via 'Kwetsbaarheid melden') in alle Mett-patformen beschikbaar en op onze website.

Mett is aangesloten bij de   Informatiebeveiligingsdienst   (IBD), onderdeel van de Vereniging van Nederlandse Gemeenten (VNG), om de informatiebeveiliging van gemeenten te versterken en risico's beter te beheersen. De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy en fungeert onder andere als schakelpunt tussen gemeenten en leveranciers. Hierdoor kunnen wij sneller schakelen bij incidenten en gemeenten beter ondersteunen.

De voordelen voor gemeenten

We werken met de standaard VNG-verwerkersovereenkomst: Dankzij deze standaardovereenkomst kunnen gemeenten zonder ingewikkelde onderhandelingen direct een veilige en transparante samenwerking met ons aangaan. Binnen één dag is alles geregeld.

Automatische beveiligingswaarschuwingen: Via de IBD ontvangen wij direct meldingen over kwetsbaarheden in de software en hardware die we gebruiken. Dit betekent dat we proactief maatregelen kunnen treffen en gemeenten snel kunnen informeren.

Snelle incidentafhandeling: Omdat we direct gekoppeld zijn aan de IBD, kunnen we bij beveiligingsincidenten snel schakelen met de juiste gemeentelijke contactpersonen en direct handelen om risico's te beperken.