Veiligheid en privacy

Boven alles is het belangrijk dat organisaties erop kunnen vertrouwen dat werken met Schuldenknooppunt veilig is en voldoet aan de laatste regels rondom privacy. Het Schuldenknooppunt biedt die garantie. Er worden regelmatig DPIA’s (Data Protection Impact Assessment) en Security Assessments uitgevoerd en is er informatiebeveiligingsbeleid.

  • Een DPIA maakt duidelijk of en waar privacyrisico’s ontstaan als persoonsgegevens worden gebruik.
  • Met Security Assessment wordt de veiligheid van het systeem vastgesteld, onder andere door het uitvoeren van een pentest.
  • Het informatiebeveiligingsbeleid is gebaseerd op een risico-analyse en benoemt de beheersmaatregelen om de informatiebeveiliging te waarborgen.

Privacy

Bij het ontwerpen van het Schuldenknooppunt is het principe van data protection by design toegepast. Berichten worden versleuteld via het Schuldenknooppunt verzonden. De privacyrisico’s zijn dan ook beperkt. De uitgevoerde DPIA  toont dit ook aan. Deze stelt vast dat het (naast een duidelijke rolverdeling tussen partijen) vooral van belang is dat het Schuldenknooppunt zo is ingericht dat deelnemers er conform de privacywet- en -regelgeving gebruik van kunnen maken. Dit blijkt inderdaad het geval te zijn.  

DPIA geactualiseerd

Vanaf de zomer van 2023 wordt een nieuwe release van het Schuldenknooppunt uitgerold. Omdat deze nieuwe release een aantal functionaliteiten toevoegt, was het nodig om de DPIA (Data Protection Impact Assessment) te actualiseren. Versie 3.0 van de DPIA benoemt de nieuwe privacyrisico’s, en de manier waarop die gemitigeerd zijn.

Voor vragen of reacties kunt u contact opnemen met onze privacy officer, Koen Versmissen privacyofficer@schuldenknooppunt.nl.

Security assessments

Stichting Schuldenknooppunt laat geregeld de IT-beveiliging van het Schuldenknooppunt onderzoeken. Naast de voor eindgebruikers bedoelde applicatie worden ook bijbehorende systeem-naar-systeemkoppelvlakken, beheerfuncties en testfunctionaliteiten getest.
Daarbij wordt ook de ontwerpdocumentatie en de implementatie van de back-upinfrastructuur onderzocht op eventuele beveiligingskwetsbaarheden.
Op de website staan samenvattingen van uitgevoerde security assessment. Het volledige rapport wordt vanwege veiligheidsredenen niet gepubliceerd. Deze is wel op te vragen en op basis van non-disclosure in te zien.

Voor vragen over security kun je contact op nemen via securityofficer@schuldenknooppunt.nl

Informatiebeveiligingsbeleid

Het Schuldenknooppunt heeft een informatiebeveiligingsbeleid. Dit beleid is gebaseerd op een risicoanalyse, en benoemt concrete beheersmaatregelen. Het wordt ten minste eens per jaar herzien. Het informatiebeveiligingsbeleid volgt in zijn opzet de structuur van de ISO 27001-standaard. Nog in onderzoek is of certificering tegen deze standaard voor het Schuldenknooppunt zinvol is.

Veelgestelde vragen
over veiligheid en privacy

Maakt het Schuldenknooppunt gebruik van Log4j software?

Nee, het Schuldenknooppunt maakt geen gebruik van Log4j software. In december 2021 bracht het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en veiligheid, een nieuwsbericht uit over een kwetsbaarheid in Log4j software. Het betreft een beveiligingslek dat vele systemen en daarmee bedrijven en instellingen raakt. Omdat het Schuldenknooppunt geen gebruik maakt van Log4j software is er geen bedreiging of gevaar voor organisaties die gegevens uitwisselen via het Schuldenknooppunt.