Geef per vraag bewust aan hoe het bij jouw bedrijf geregeld is. Is iets niet van toepassing, kies dan 'n.v.t.' — en wil je een vraag niet beantwoorden, kies dan 'zeg ik liever niet'. Die vragen tellen niet mee in je score.
Identiteit & toegang
Wie kan er bij jouw systemen en hoe goed is dat geregeld?
Wij gebruiken multifactorauthenticatie (MFA) op alle belangrijke accounts (e-mail, boekhouding, cloud).
Wij gebruiken een wachtwoordmanager en geen hergebruikte of zwakke wachtwoorden.
Iedere medewerker heeft een eigen account; er worden geen accounts gedeeld.
Als iemand uit dienst gaat, worden alle toegangen dezelfde dag ingetrokken.
Medewerkers hebben alleen toegang tot de systemen en data die ze nodig hebben voor hun werk.
Wij hebben een actueel overzicht van alle accounts, licenties en wie waar toegang toe heeft.
Beheerdersaccounts worden alleen gebruikt voor beheertaken, niet voor dagelijks werk zoals e-mail en internet.
Toegangsrechten worden minimaal één keer per jaar gecontroleerd: wie heeft nog toegang nodig en wie niet meer?
Standaardwachtwoorden van nieuwe software, apparaten en online diensten worden direct bij ingebruikname gewijzigd.
Wij krijgen een melding bij verdachte inlogpogingen (bijv. inloggen vanuit het buitenland of buiten werktijd).
Cybersecurity
Basisbescherming tegen virussen, phishing en aanvallen.
Alle computers en telefoons krijgen automatisch beveiligingsupdates.
Op alle computers draait actuele antivirus-/endpointbeveiliging.
Medewerkers weten hoe ze phishing herkennen en waar ze verdachte berichten kunnen melden.
Wij weten wat we moeten doen bij een cyberincident (wie bellen, wat eerst).
Belangrijke bedrijfsdata is versleuteld opgeslagen (schijfversleuteling op laptops, versleutelde cloud).
Wij hebben een cyberverzekering of hebben bewust besloten die niet af te sluiten.
Ons e-maildomein is beschermd tegen vervalsing met SPF, DKIM en DMARC.
Wij gebruiken geen verouderde software of systemen die geen beveiligingsupdates meer krijgen (bijv. oude Windows-versies).
Medewerkers kunnen niet zelf zomaar software installeren op werkcomputers (geen standaard adminrechten).
Macro's en bijlagen uit onbekende bron worden geblokkeerd of pas geopend na controle.
Systemen zijn niet onnodig rechtstreeks vanaf internet bereikbaar; extern werken gaat via een beveiligde verbinding (VPN of vergelijkbaar).
Back-up & continuïteit
Kun je door na dataverlies, brand of ransomware?
Van alle belangrijke data worden automatisch back-ups gemaakt.
Wij hebben het terugzetten van een back-up in het afgelopen jaar getest.
Minstens één back-up staat offline of op een andere locatie (beschermd tegen ransomware).
Wij weten hoe lang we zonder onze belangrijkste systemen kunnen en hebben daar een plan voor.
Belangrijke kennis en wachtwoorden zijn niet afhankelijk van één persoon.
Ook data in clouddiensten (e-mail, OneDrive/Google Drive, boekhouding) wordt geback-upt of heeft voldoende versiegeschiedenis.
Back-ups zijn versleuteld en alleen toegankelijk voor wie ze echt nodig heeft.
Wij krijgen een melding als een automatische back-up mislukt en er wordt dan actie ondernomen.
Wij kunnen doorwerken bij langdurige stroom- of internetuitval (bijv. mobiele hotspot, tweede verbinding of uitwijklocatie).
Fysieke beveiliging
Bescherming van apparatuur, kantoor en documenten.
Laptops en telefoons zijn vergrendeld met een pincode, wachtwoord of biometrie.
Gestolen of verloren apparaten kunnen op afstand worden gewist.
Bezoekers kunnen niet onbegeleid bij werkplekken, servers of netwerkapparatuur komen.
Vertrouwelijke documenten worden veilig bewaard en versnipperd weggegooid.
Beeldschermen met gevoelige informatie zijn niet zichtbaar voor buitenstaanders en vergrendelen automatisch.
Oude computers, telefoons en schijven worden veilig gewist voordat ze weggaan.
Server- of netwerkapparatuur is beschermd tegen stroomuitval, oververhitting en waterschade (bijv. UPS, ventilatie, niet op de grond).
Sleutels, toegangspassen en alarmcodes worden beheerd en ingenomen of gewijzigd bij uitdiensttreding.
USB-sticks of externe schijven van onbekende herkomst worden nooit zomaar aangesloten op werkcomputers.
Ruimtes met waardevolle apparatuur zijn beveiligd tegen inbraak (alarm, camera's of degelijk hang- en sluitwerk).
AI-gebruik
Verantwoord en veilig gebruik van AI-tools in je bedrijf.
Wij weten welke AI-tools er binnen het bedrijf worden gebruikt (ook privé-accounts van medewerkers).
Er zijn afspraken over welke bedrijfs- en klantdata wel en niet in AI-tools mag worden ingevoerd.
AI-output die naar klanten gaat, wordt altijd door een mens gecontroleerd.
Bij zakelijke AI-abonnementen is ingesteld dat onze data niet voor training wordt gebruikt.
Wij zijn alert op AI-fraude zoals stemklonen en deepfake-facturen, en hebben controle-afspraken bij betalingen.
Er is één persoon verantwoordelijk voor AI-beleid en het bijhouden van AI-ontwikkelingen binnen het bedrijf.
Voordat we een AI-tool zakelijk gebruiken, controleren we waar de data staat en of er een verwerkersovereenkomst is (AVG).
Medewerkers zijn geïnformeerd over veilig AI-gebruik en de risico's, zoals verzonnen antwoorden en het lekken van data.
Wij hebben gecontroleerd of onze AI-toepassingen onder de Europese AI-verordening (AI Act) vallen en wat dat van ons vraagt.
Privacy & AVG
Voldoe je aan de privacywetgeving?
Wij weten welke persoonsgegevens we verwerken en hebben dat vastgelegd (verwerkingsregister).
Onze website heeft een privacyverklaring en (waar nodig) een cookiebanner.
Met partijen die persoonsgegevens voor ons verwerken zijn verwerkersovereenkomsten gesloten.
Wij weten wat we moeten doen bij een datalek en wanneer we het moeten melden.
Persoonsgegevens worden niet langer bewaard dan nodig en veilig verwijderd.
Nieuwsbrieven en marketingmails versturen wij alleen met toestemming en met een werkende afmeldknop.
Toegang tot persoonsgegevens is beperkt tot medewerkers die ze voor hun werk nodig hebben.
Datalekken en beveiligingsincidenten worden intern geregistreerd, ook als melden bij de toezichthouder niet nodig is.
Voor verwerkingen met een hoog privacyrisico weten wij of een privacytoets (DPIA) nodig is.
Netwerk & apparaten
Is je (thuis)kantoornetwerk en apparatuur op orde?
Het wifi-netwerk heeft een sterk, uniek wachtwoord en het standaard router-wachtwoord is gewijzigd.
Gasten en privé-apparaten gebruiken een apart gastennetwerk.
Op openbare wifi werken wij alleen via een VPN of mobiele hotspot.
De firmware van router, NAS en andere netwerkapparatuur wordt up-to-date gehouden.
Ook privé-apparaten waarmee zakelijk wordt gewerkt voldoen aan onze beveiligingseisen.
Wij hebben een actueel overzicht van alle apparaten die met ons netwerk verbonden zijn.
Slimme apparaten zoals camera's, printers en deurbellen hebben een eigen wachtwoord en krijgen updates.
Externe toegang tot ons netwerk (VPN, remote desktop, NAS) is beveiligd met MFA en beperkt tot wie het nodig heeft.
Het netwerk is waar zinvol opgedeeld in aparte zones (bijv. kassa's, kantoorwerkplekken en slimme apparaten gescheiden).
Leveranciers & cloud
Hoe afhankelijk ben je van externe partijen en clouddiensten?
Wij hebben een overzicht van alle clouddiensten en leveranciers die we gebruiken.
Kritieke domeinnamen, hosting en certificaten staan op naam van het bedrijf en verlopen niet ongemerkt.
Wij kunnen onze data uit elke clouddienst exporteren als we willen overstappen.
Bij belangrijke leveranciers is bekend hoe zij beveiliging en back-ups hebben geregeld.
Facturen en betaalverzoeken van leveranciers worden gecontroleerd op echtheid (factuurfraude).
Voor kritieke leveranciers weten wij wat het alternatief is als zij stoppen, failliet gaan of langdurig uitvallen.
Contracten en afspraken met belangrijke IT-leveranciers zijn vindbaar en actueel (opzegtermijn, support, hersteltijden).
Bij de keuze van nieuwe software of diensten beoordelen wij vooraf de beveiliging en privacy, niet alleen prijs en functies.
Toegang van leveranciers tot onze systemen is beperkt tot wat nodig is, tijdelijk waar mogelijk, en wordt weer ingetrokken.
Normen & wetgeving
ISO 27001, NIS2 en andere verplichtingen rond informatiebeveiliging.
Wij hebben gecontroleerd of de NIS2-richtlijn (in Nederland: de Cyberbeveiligingswet) op ons bedrijf van toepassing is — ook als toeleverancier van een groter bedrijf.
Wij hebben de basismaatregelen uit de NIS2-zorgplicht geregeld: risicoanalyse, incidentprocedures en beveiliging van de leveranciersketen.
Wij weten dat ernstige incidenten onder NIS2 snel gemeld moeten worden (binnen 24 uur een vroege waarschuwing, binnen 72 uur een melding) en bij wie.
Wij werken gestructureerd aan informatiebeveiliging, bijvoorbeeld volgens de ISO 27001-norm (beleid, risicoanalyse, maatregelen, periodieke evaluatie).
Onze ISO 27001-certificering (indien aanwezig) is bijgewerkt naar de actuele 2022-versie van de norm.
De directie is aantoonbaar betrokken bij informatiebeveiliging en draagt daarvoor de eindverantwoordelijkheid (een NIS2-eis).
Onze beveiligingsmaatregelen worden periodiek getoetst, bijvoorbeeld met een interne controle, audit of pentest.
Wij weten welke sectorspecifieke regels voor ons gelden, zoals DORA (financieel), NEN 7510 (zorg) of PCI DSS (kaartbetalingen).
Onze afspraken en verantwoordelijkheden rond informatiebeveiliging staan in een kort, actueel beleid dat medewerkers kennen.
Wij bewaren bewijs van onze maatregelen (instellingen, trainingen, tests), zodat we bij controles of incidenten kunnen aantonen wat we doen.
Wij volgen nieuwe wet- en regelgeving rond IT en beveiliging, bijvoorbeeld via een brancheorganisatie, nieuwsbrief of adviseur.