Informatiebeveiligingsbeleid van JJC

Informatiebeveiliging is voor JJC van cruciaal belang om de rechten en privacy van alle belanghebbenden te waarborgen. Ook zorgt het ervoor dat informatie op een adequate wijze beschermd wordt tegen allerlei bedreigingen. Daarom heeft JJC een informatiebeveiligingsbeleid opgesteld waarmee we voldoen aan alle relevante (privacy) wet- en regelgeving.
JJC ontwikkelt en beheert integrale, webbased softwareapplicaties. Hiermee ondersteunen we werkgevers, arbodiensten, bedrijfsartsen en adviseurs op het gebied van arbeid, vitaliteit en gezondheid Bij ons staan de klant en de kwaliteit van onze software en dienstverlening centraal.

Naleven van de wet- en regelgeving

Certificering

JJC is ISO 27001:2022-gecertificeerd en beschikt over de NEN 7510:2024-certificering. Daarmee voldoen wij aan de maximale eisen op het gebied van procesbeheersing en bescherming van medische- en persoonsgegevens.

 

Privacyreglement

In ons privacyreglement staat precies wie welke gegevens mag inzien, hoe lang ze bewaard worden en hoe we voorkomen dat onbevoegde personen ze kunnen bekijken. U kunt hiervoor ook onze algemene voorwaarden raadplegen.
 

Interne borging

Om de kwaliteit van onze dienstverlening continu te waarborgen, worden vakgerichte cursussen en opleidingen gevolgd over het naleven van de wet- en regelgeving.
 

Informatiebeveiliging

JJC heeft diverse maatregelen genomen voor een optimale bescherming van persoonsgegevens binnen haar ICT-omgeving:

  • De ICT-omgeving is geplaatst in een ISO 27001 gecertificeerd datacenter.
  • Rechtstreekse toegang tot databases vanaf internet is afgeschermd via een extra serverlaag en/of Security Abstraction Layer (SAL).
  • Toegang verloopt via secure VPN-tunnels.
  • SSL-certificaten worden toegepast op websites, portals en applicaties.
  • Role Based Access wordt gehanteerd.
  • Productie-data wordt niet gebruikt in test- en ontwikkelomgevingen.
  • Functionele toegang is bepaald via het privacyreglement.
  • Koppelingen met externe systemen zijn beveiligd via SSL/PKI-certificaten of sFTP.
 

Context van de organisatie

JJC houdt in haar informatiebeveiligingsbeleid rekening met interne en externe factoren die van invloed zijn op de beveiliging van informatie. Dit omvat onder meer wet- en regelgeving, technologische ontwikkelingen, verwachtingen van klanten en risico’s zoals klimaatverandering.

Belanghebbenden en hun eisen

JJC identificeert en evalueert de eisen van belanghebbenden, waaronder klanten, toezichthouders, leveranciers en de maatschappij. Deze eisen worden meegenomen in de inrichting van het ISMS.

Klimaatverandering

JJC onderkent dat klimaatverandering een risico vormt voor de continuïteit van digitale dienstverlening. Daarom zijn maatregelen getroffen zoals geografisch gescheiden back-ups, samenwerking met klimaatbestendige datacenters en opname van klimaatscenario’s in het business continuity plan.

 

 

 

Cloudleveranciers en uitbesteding

JJC werkt met externe leveranciers voor hosting, beveiliging en softwareontwikkeling. Deze partijen zijn geselecteerd op basis van hun naleving van informatiebeveiligingsnormen en worden periodiek geëvalueerd.

Risicogebaseerde aanpak

JJC past een risicogebaseerde benadering toe bij het bepalen van beveiligingsmaatregelen. Risico’s worden periodiek geëvalueerd en vormen de basis voor continue verbetering van het ISMS.

 

Beheersmaatregelen volgens Annex A

De informatiebeveiligingsmaatregelen van JJC zijn gebaseerd op Annex A van ISO 27001:2022 en NEN 7510:2024. Deze maatregelen zijn afgestemd op de risico’s en behoeften van onze klanten.

Audits

Jaarlijks vinden er audits plaats door externe partijen op server- en netwerkbeheer. Dit betreft certificeringsaudits voor ISO 27001:2022 en NEN 7510:2024. Elke twee jaar wordt aanvullend een securitycheck uitgevoerd door een ethisch hacker.

Wilt u meer weten?

Voor meer informatie kunt u terecht bij uw vaste contactpersoon van JJC of via privacy@bisdoss

Document-ID
ISMS-4-23-3

Versie
4

Datum
25-07-2025