Waarom informatie over informatieveiligheid
Golfpark Rotterdam neemt de bescherming en beveiliging van je persoonsgegevens uiterst serieus. Hoewel we redelijke voorzorgsmaatregelen nemen om de persoonsgegevens die we verzamelen te beschermen, is geen enkel beveiligingssysteem ondoordringbaar.
Wij gebruiken een scala aan passende technische en organisatorische maatregelen en voldoen aan sectornormen om je persoonsgegevens te beschermen en te helpen voorkomen dat diefstal, misbruik en onbevoegde toegang, verstrekking, wijziging en vernietiging van informatie over jou kan plaatsvinden. We bewaren de persoonsgegevens die jij verstrekt bijvoorbeeld op computersystemen met beperkte toegang en in gecontroleerde omgevingen.
In dit document worden de organisatorische en technische beveiligingsmaatregelen van Golfpark Rotterdam gedetailleerd verklaard. Nadruk ligt voornamelijk op de maatregelen die zijn gericht op de veiligheid van uw persoonsgegevens en de beschikbaarheid van de website. Aangezien in Golfpark Rotterdam persoonsgegevens worden verwerkt, zijn deze maatregelen van groot belang om een juiste mate van beveiliging te creëren zoals de AVG dit aan gegevensverwerkers voorschrijft (AVG Artikel 28). Voor vragen over de veiligheid van je persoonsgegevens kun je contact met ons opnemen via privacy@golfparkrotterdam.nl.
Organisatorische maatregelen bij Golfpark Rotterdam
Werkproces
Golfpark Rotterdam heeft haar werkproces gebaseerd op de ISO 9001:2015 en heeft kennisgenomen van de ISO 27001:2013. Voor beide is geen certificaat afgegeven maar binnen de organisatie is de informatieveiligheid een belangrijk item. Golfpark Rotterdam werkt voor IT ondersteuning samen met ZanHos IT Services. Het is voor ZanHos IT Services daarmee mogelijk de privacy gevoelige data te benaderen.
Rapportage
Golfpark Rotterdam deelt via nieuwsberichten op de website en via e-mail berichten specifiek aan de gebruikers, informatie aangaande de maatregelen en resultaten van bevindingen en aanpassingen met betrekking tot informatieveiligheid.
Ontwikkeling
Beveiligingsaspecten (beschikbaarheid, integriteit en vertrouwelijkheid) zijn integraal onderdeel van de ontwikkeling bij o.a. design en development. Wijzigingen worden gecontroleerd doorgevoerd in de verschillende omgevingen.
Technische maatregelen bij Golfpark Rotterdam
Internetconnecties
Gegevens worden uitsluitend uitgewisseld via cryptografisch beveiligde verbindingen. Alle communicatie tussen clients (gebruikers) en de servers wordt middels SSL versleuteld. Het SSL-certificaat geeft gebruikers de garantie dat gegevens via de browser via HTTPS worden verzonden, waardoor dergelijke informatie wordt gecodeerd en beveiligd. SSL wordt in de praktijk bijvoorbeeld ook gebruikt voor online transacties met creditcards. Golfpark Rotterdam benut een SSL-certificaat van Let’s Encrypt Authority X3.
Data opslag
Persoonsgegevens die door Golfpark Rotterdam zijn verzameld, worden verwerkt en opgeslagen in de CMS van de website en daarmee opgeslagen Nederland. Golfpark Rotterdam gebruikt hiervoor het Wordpres framework.
Streng wachtwoordbeleid
Alleen de gebruikers van het platform van Golfpark Rotterdam (wordpress website) kent zijn eigen gebruikersnaam en wachtwoord. Wachtwoorden zijn zelf aan te passen zullen nooit per e-mail of telefoon gevraagd worden. Indien vergeten, kan een gebruiker zelf een nieuw wachtwoord opvragen. Gebruikersaccounts voor het platform van Golfpark Rotterdam worden alleen versterkt aan medewerkers van Golfpark Rotterdam die daar door hun werkzaamheden genoodzaakt zijn,.
Technische maatregelen bij verwerkers
Golfpark Rotterdam benut een selecte groep aan verwerkers welke een gelijk belang aan beschikbaarheid, integriteit en vertrouwelijkheid hechten als Golfpark Rotterdam. Op het gebied van informatie veiligheid zijn derhalve voor verwerker de veiligheidsmaatregelen inzichtelijk gemaakt.
| Onderdeel | Verwerker | Gedetailleerde omschrijving |
| Websitehosting | TransIP B.V. | Website hosting, een product van de Nederlandse reseller TransIP B.V. dat hosting oplossingen van het Nederlandse The Data Center Group B.V., onderdeel van het Nederlandse Novins Danubius B.V., exploiteert. |
| Nieuwsbrief | Mailchimp | Mailchimp, een product van het Amerikaanse bedrijf The Rocket Science Group LLC |
| Statistieken | Google Analytics | Google Analytics, een product van het Amerikaanse bedrijf Google LLC, onderdeel van Alphabet Inc. |
De Verenigde staten van America (VS) voldoet niet aan het passende beveiligingsniveau volgens de Autoriteit Persoonsgegevens Dit komt doordat de Amerikaanse bedrijven MailChimp en Google, gecertificeerd zijn door het EU-US Privacy Shield. Doordat MailChimp en Google Analytics voldoen aan de strenge eisen van dit shield, is het toegestaan data uit te wisselen. Hiermee zijn verwerkings verwerkersovereenkomsten afgesloten.
Internetconnecties
Gegevens worden uitsluitend uitgewisseld via cryptografisch beveiligde verbindingen. Alle communicatie tussen clients (gebruikers) en de servers wordt middels SSL versleuteld. Het SSL-certificaat geeft gebruikers de garantie dat gegevens via de browser via HTTPS worden verzonden, waardoor dergelijke informatie wordt gecodeerd en beveiligd. SSL wordt in de praktijk bijvoorbeeld ook gebruikt voor online transacties met creditcards.
- TransIP benut een SSL-certificaat van COMODO RSA Extended Validation Secure Server CA.
- Mailchimp benut een SSL-certificaat van Symantec met een Class 3 G4 certificaat.
- Google Analytics benut een SSL-certificaat van Google Internet Authority G2 certificaat.
Firewall
Als eerste beveiligingslaag wordt het Internetverkeer naar de servers gefilterd door een firewall. De firewall beschermt tegen aanvallen zoals Syn/UDP/ICMP flood protecion, ip spoofing, fragmentation attacks enz. Het netwerkverkeer is beperkt tot enkel de noodzakelijke diensten, poort HTTP (poort 80) en HTTPS (poort 443) voor de web services en SMTP (poort 25) voor de mail services zijn toegestaan in de firewall routes. De routes kunnen enkel leiden naar servers welke de diensten ook daadwerkelijk aanbieden. De internettoegang tot de omgeving staat geen toegang voor technisch beheer of directe toegang tot de databasesystemen toe.
- Golfpark Rotterdam benut de firewall op server niveau van TransIP B.V.
- Mailchimp benut een firewall
- Google Analytics benut een firewall
Data opslag
Persoonsgegevens die door Golfpark Rotterdam zijn verzameld, worden verwerkt en opgeslagen in Nederland en in de VS. Dataprivacy is van cruciaal belang. Daarom wordt data bij verwerkers bewaard door een organisaties die daarin zijn gespecialiseerd en zijn benoemd als verwerkers.
- Golfpark Rotterdam slaat data op in Nederland, dit toegestaan door AVG daar de verplichting is dat binnen de EU op te slaan.
- Mailchimp slaat data op in de VS, dit wordt binnen de AVG geaccepteerd omdat Mailchimp onderdeel is van EU-US Privacy Shield
- Google Analytics slaat data op in de VS, dit wordt binnen de AVG geaccepteerd omdat Mailchimp onderdeel is van EU-US Privacy Shield
Gedetailleerde security omschrijving van verwerkers
Voor meer specifiek security details van onze verwerkers wordt verwezen naar de website van de verwerkers:
- TransIP B.V.: https://www.transip.nl/legal-and-security/security/
- Mailchimp: https://mailchimp.com/about/security/
- Google Analytics: https://support.google.com/analytics/answer/6004245?hl=nl&utm_id=ad