Privacy en beveiliging
      Terug naar start
      1. Helpcentrum
      2. Overig
      3. Privacy en beveiliging

      Data beveiliging FAQ

      Alles over privacy en gegevensbeveiliging

      Als software-as-a-serviceprovider verzamelen wij gegevens en slaan deze “in de cloud” op. Wij nemen gegevensbeveiliging en privacy uiterst serieus.

      Wij zijn ISO27001-gecertificeerd voor de ontwikkeling en hosting van online trainings- en testsoftware-as-a-service, het bieden van technische ondersteuning en het aanbieden van functionele ondersteuning via klantensuccesdiensten (certificaat op aanvraag beschikbaar).

      Hieronder vindt u antwoorden op enkele veelgestelde vragen over gegevensbeveiliging.

      Welke gegevens verzamelen jullie en hoe worden deze verkregen?

      Gegevens die wij vooraf verzamelen ( = verplicht):*

      •Naam

      •E-mailadres*

      •Persoonlijk wachtwoord* (willekeurig gegenereerd, eenzijdig versleuteld)

      •Naam van werkgever of trainingsbureau (afgeleid van het account waaraan de gebruiker is gekoppeld)

      •Telefoonnummer (alleen voor gebruikers van SkillsCoaching.traintool.com)

       

      Gegevens die worden gegenereerd tijdens het gebruik:

      •Naam van de training(en) waaraan de gebruiker deelneemt (en de groep en coach van wie hij/zij feedback ontvangt)

      •Audio- of video-opnamen die de gebruiker besluit op te slaan en te delen (gegenereerd tijdens de training)

      •Informatie over deelname, voortgang en scores, zoals:

      •Gegeven antwoorden

      •Feedback van en aan andere deelnemers

      •Feedback- en beoordelingsscores van of aan coaching

      Wie is eigenaar van de gegevens?

      De klant is eigenaar van de gegevens en uiteindelijk verantwoordelijk. TrainTool is uitsluitend verwerker van de gegevens en handelt dienovereenkomstig.

      Waar worden de gegevens opgeslagen?

      Alle gegevens worden opgeslagen in Nederland, in datacenters in Eemshaven (Google Cloud).

      A.I. gegevensverwerking

      TrainTool gebruikt een zelfontwikkelde AI, genaamd Alix, die OpenAI’s Whisper technologie toepast voor de beoordeling van deelnemers. Zowel Alix als Whisper draaien op onze eigen servers (zie vorige sectie). 

      Wat is de back-upcyclus (retentie, maximaal gegevensverlies)?

      •TrainTool maakt dagelijks back-ups en bewaart deze gedurende 30 dagen.

      •Maximaal gegevensverlies: 24 uur.

      •Maximale retentie van (verwijderde) gegevens: 30 dagen.

      Welke procedures bestaan er voor het verwijderen van gegevens?

      Automatische ‘verberg’-functie na licentieverval

      Wanneer een gebruikerslicentie verloopt, worden zijn antwoorden en opnamen automatisch verborgen voor zichzelf, peers en coaches. Dit kan handmatig worden hersteld door een beheerder.

      Automatische verwijdering van video-opnamen na licentieverval

      45 dagen na het verlopen van de licentie worden video-opnamen automatisch verwijderd (omdat deze als gevoelige gegevens worden beschouwd). De gebruiker wordt hiervan 14 dagen van tevoren op de hoogte gesteld en kan dit proces eventueel voorkomen.

      Handmatige verwijdering van gebruikersaccounts

      TrainTool (gegevensverwerker) verwijdert gegevens op expliciet verzoek van de klant (verantwoordelijke partij). De gegevens blijven vervolgens maximaal 30 dagen in de back-ups. De gebruiker heeft daarnaast het recht om ‘vergeten’ te worden.

      Einde van het contract

      45 dagen na het beëindigen van het contract tussen de klant en TrainTool worden alle klantgegevens en gebruikersaccounts vernietigd. Daarna duurt het nog 30 dagen voordat alle gegevens ook uit de back-ups zijn verwijderd.

      Met welke onderaannemers werken jullie samen?

      Infrastructuur, hosting en beheer: TRUE B.V. (ISO27001-gecertificeerd)

      Gegevensopslag: Google Cloud (ISO27001-gecertificeerd)

      Welke beveiligingsmaatregelen zijn getroffen?

      Firewallcluster met een standaard “deny” beleid

      •Firewalllogs worden dagelijks gecontroleerd

      •Firewallupdates verlopen via een versiebeheersysteem met peer-review

      Tweewekelijkse netwerkscans om problemen zoals open poorten te identificeren

       

      Andere beveiligingsmaatregelen:

      •OS-hardening

      •NaWas anti-DDoS

      •Kwartaallijkse kwetsbaarheidsscans

      •Regelmatige patches (kwartaal), noodpatches (dagelijks)

      •ISO27001-principes en naleving

      •Standaard offsite back-ups en DR-snapshots

       

      Encryptie:

      Alle verbindingen naar en van de TrainTool-applicatie zijn versleuteld via het SSL/TLS-protocol. De instellingen voor deze verbindingen worden automatisch gecontroleerd.

       

      Fysieke beveiliging:

      TRUE-datacenter:

      •Toegang alleen voor geautoriseerde personen (whitelist)

      •Bemande receptie met identiteitscontrole

      •Hardware opgeslagen in afgesloten kasten

      •Bezoekers worden altijd begeleid door TRUE-medewerkers

      •Autorisatie vereist voor wijzigingen in hardware

       

      Google-datacenter:

      •Biometrische identificatie

      •Metaaldetectie

      •Cameratoezicht

      •Voertuigbarrières

      •Laser-gebaseerde indringerdetectiesystemen

      •Fysieke back-uplocaties in geval van brand

      •Back-upgeneratoren bij stroomuitval

      Hoe wordt de applicatie beveiligd en hoe wordt ongeautoriseerde inspectie of wijziging voorkomen?

      Autorisatieniveaus

      Gebruikers kunnen een of meer van de volgende rollen hebben:

      Deelnemer

      Coach

      Contentontwikkelaar

      Beheerder

      De eerste beheerder van een account registreert de andere gebruikers en bepaalt hun autorisatieniveaus. Deze beheerder is een medewerker van de klant of een TrainTool-medewerker die op expliciete instructie van de klant handelt.

      Logs

      Elke inspectie van gebruikersgegevens wordt gelogd. Privacylogs zijn op aanvraag beschikbaar.

      Controle van autorisatieniveau

      Elke inspectie van gebruikersgegevens wordt op vier niveaus gecontroleerd:

      1. Is dit het juiste account?

      • Is de gebruiker ingelogd?
      • Behoort de ingelogde gebruiker tot het huidige account?
      • Behoren de gegevens op de pagina tot het huidige account?

      2. Heeft de gebruiker de juiste autorisatie om deze pagina te bekijken?

      3. Heeft de gebruiker rechten om specifieke gegevens te inspecteren?

      • Voorbeeld: “Mag gebruiker feedback van persoon X op de video van persoon Y bekijken?”
      • Mag gebruiker een rapport downloaden met voortgangsgegevens van persoon X?”

      4. Superusers

      • TrainTool-medewerkers met een technische of ondersteuningsrol zijn ‘Superusers’ en kunnen indien nodig inloggen op gebruikersaccounts.
      • Deze medewerkers hebben een geheimhoudingsverklaring ondertekend en worden geïnformeerd over hun verantwoordelijkheden.
      • Alle acties worden gelogd en de lijst met Superusers wordt minstens elk kwartaal gecontroleerd.

      Hoe is incidentmanagement georganiseerd?

      1. Incidenten worden gemeld in het TRUE Care-portaal (door TRUE of TrainTool).

      2. De TRUE Security Officer wordt automatisch op de hoogte gebracht en bepaalt de prioriteit op basis van de BIV-classificatie (Beschikbaarheid, Integriteit, Vertrouwelijkheid).

      3. Er wordt een actieplan opgesteld voor de betrokken partijen. De klant wordt regelmatig op de hoogte gehouden.

      4. Afhankelijk van de prioriteit worden respons- en diagnosetijden vastgesteld.

      5. Nadat het actieplan is uitgevoerd, wordt het incident in overleg met TrainTool afgesloten door de TRUE Security Officer.

      6. Nazorg: De Security Officer bepaalt of aanvullende maatregelen nodig zijn om toekomstige incidenten te voorkomen.

      7. Rapportage: De klant ontvangt periodiek een SLA-rapport met een overzicht van incidenten en de manier waarop deze zijn afgehandeld (Root Cause Analysis).