Geef per vraag bewust aan hoe het bij jouw bedrijf geregeld is. Is iets niet van toepassing, kies dan 'n.v.t.' — en wil je een vraag niet beantwoorden, kies dan 'zeg ik liever niet'. Die vragen tellen niet mee in je score.

🔐

Identiteit & toegang

Wie kan er bij jouw systemen en hoe goed is dat geregeld?

  • Wij gebruiken multifactorauthenticatie (MFA) op alle belangrijke accounts (e-mail, boekhouding, cloud).

  • Wij gebruiken een wachtwoordmanager en geen hergebruikte of zwakke wachtwoorden.

  • Iedere medewerker heeft een eigen account; er worden geen accounts gedeeld.

  • Als iemand uit dienst gaat, worden alle toegangen dezelfde dag ingetrokken.

  • Medewerkers hebben alleen toegang tot de systemen en data die ze nodig hebben voor hun werk.

  • Wij hebben een actueel overzicht van alle accounts, licenties en wie waar toegang toe heeft.

  • Beheerdersaccounts worden alleen gebruikt voor beheertaken, niet voor dagelijks werk zoals e-mail en internet.

  • Toegangsrechten worden minimaal één keer per jaar gecontroleerd: wie heeft nog toegang nodig en wie niet meer?

  • Standaardwachtwoorden van nieuwe software, apparaten en online diensten worden direct bij ingebruikname gewijzigd.

  • Wij krijgen een melding bij verdachte inlogpogingen (bijv. inloggen vanuit het buitenland of buiten werktijd).

🛡️

Cybersecurity

Basisbescherming tegen virussen, phishing en aanvallen.

  • Alle computers en telefoons krijgen automatisch beveiligingsupdates.

  • Op alle computers draait actuele antivirus-/endpointbeveiliging.

  • Medewerkers weten hoe ze phishing herkennen en waar ze verdachte berichten kunnen melden.

  • Wij weten wat we moeten doen bij een cyberincident (wie bellen, wat eerst).

  • Belangrijke bedrijfsdata is versleuteld opgeslagen (schijfversleuteling op laptops, versleutelde cloud).

  • Wij hebben een cyberverzekering of hebben bewust besloten die niet af te sluiten.

  • Ons e-maildomein is beschermd tegen vervalsing met SPF, DKIM en DMARC.

  • Wij gebruiken geen verouderde software of systemen die geen beveiligingsupdates meer krijgen (bijv. oude Windows-versies).

  • Medewerkers kunnen niet zelf zomaar software installeren op werkcomputers (geen standaard adminrechten).

  • Macro's en bijlagen uit onbekende bron worden geblokkeerd of pas geopend na controle.

  • Systemen zijn niet onnodig rechtstreeks vanaf internet bereikbaar; extern werken gaat via een beveiligde verbinding (VPN of vergelijkbaar).

💾

Back-up & continuïteit

Kun je door na dataverlies, brand of ransomware?

  • Van alle belangrijke data worden automatisch back-ups gemaakt.

  • Wij hebben het terugzetten van een back-up in het afgelopen jaar getest.

  • Minstens één back-up staat offline of op een andere locatie (beschermd tegen ransomware).

  • Wij weten hoe lang we zonder onze belangrijkste systemen kunnen en hebben daar een plan voor.

  • Belangrijke kennis en wachtwoorden zijn niet afhankelijk van één persoon.

  • Ook data in clouddiensten (e-mail, OneDrive/Google Drive, boekhouding) wordt geback-upt of heeft voldoende versiegeschiedenis.

  • Back-ups zijn versleuteld en alleen toegankelijk voor wie ze echt nodig heeft.

  • Wij krijgen een melding als een automatische back-up mislukt en er wordt dan actie ondernomen.

  • Wij kunnen doorwerken bij langdurige stroom- of internetuitval (bijv. mobiele hotspot, tweede verbinding of uitwijklocatie).

🏢

Fysieke beveiliging

Bescherming van apparatuur, kantoor en documenten.

  • Laptops en telefoons zijn vergrendeld met een pincode, wachtwoord of biometrie.

  • Gestolen of verloren apparaten kunnen op afstand worden gewist.

  • Bezoekers kunnen niet onbegeleid bij werkplekken, servers of netwerkapparatuur komen.

  • Vertrouwelijke documenten worden veilig bewaard en versnipperd weggegooid.

  • Beeldschermen met gevoelige informatie zijn niet zichtbaar voor buitenstaanders en vergrendelen automatisch.

  • Oude computers, telefoons en schijven worden veilig gewist voordat ze weggaan.

  • Server- of netwerkapparatuur is beschermd tegen stroomuitval, oververhitting en waterschade (bijv. UPS, ventilatie, niet op de grond).

  • Sleutels, toegangspassen en alarmcodes worden beheerd en ingenomen of gewijzigd bij uitdiensttreding.

  • USB-sticks of externe schijven van onbekende herkomst worden nooit zomaar aangesloten op werkcomputers.

  • Ruimtes met waardevolle apparatuur zijn beveiligd tegen inbraak (alarm, camera's of degelijk hang- en sluitwerk).

🤖

AI-gebruik

Verantwoord en veilig gebruik van AI-tools in je bedrijf.

  • Wij weten welke AI-tools er binnen het bedrijf worden gebruikt (ook privé-accounts van medewerkers).

  • Er zijn afspraken over welke bedrijfs- en klantdata wel en niet in AI-tools mag worden ingevoerd.

  • AI-output die naar klanten gaat, wordt altijd door een mens gecontroleerd.

  • Bij zakelijke AI-abonnementen is ingesteld dat onze data niet voor training wordt gebruikt.

  • Wij zijn alert op AI-fraude zoals stemklonen en deepfake-facturen, en hebben controle-afspraken bij betalingen.

  • Er is één persoon verantwoordelijk voor AI-beleid en het bijhouden van AI-ontwikkelingen binnen het bedrijf.

  • Voordat we een AI-tool zakelijk gebruiken, controleren we waar de data staat en of er een verwerkersovereenkomst is (AVG).

  • Medewerkers zijn geïnformeerd over veilig AI-gebruik en de risico's, zoals verzonnen antwoorden en het lekken van data.

  • Wij hebben gecontroleerd of onze AI-toepassingen onder de Europese AI-verordening (AI Act) vallen en wat dat van ons vraagt.

📋

Privacy & AVG

Voldoe je aan de privacywetgeving?

  • Wij weten welke persoonsgegevens we verwerken en hebben dat vastgelegd (verwerkingsregister).

  • Onze website heeft een privacyverklaring en (waar nodig) een cookiebanner.

  • Met partijen die persoonsgegevens voor ons verwerken zijn verwerkersovereenkomsten gesloten.

  • Wij weten wat we moeten doen bij een datalek en wanneer we het moeten melden.

  • Persoonsgegevens worden niet langer bewaard dan nodig en veilig verwijderd.

  • Nieuwsbrieven en marketingmails versturen wij alleen met toestemming en met een werkende afmeldknop.

  • Toegang tot persoonsgegevens is beperkt tot medewerkers die ze voor hun werk nodig hebben.

  • Datalekken en beveiligingsincidenten worden intern geregistreerd, ook als melden bij de toezichthouder niet nodig is.

  • Voor verwerkingen met een hoog privacyrisico weten wij of een privacytoets (DPIA) nodig is.

🌐

Netwerk & apparaten

Is je (thuis)kantoornetwerk en apparatuur op orde?

  • Het wifi-netwerk heeft een sterk, uniek wachtwoord en het standaard router-wachtwoord is gewijzigd.

  • Gasten en privé-apparaten gebruiken een apart gastennetwerk.

  • Op openbare wifi werken wij alleen via een VPN of mobiele hotspot.

  • De firmware van router, NAS en andere netwerkapparatuur wordt up-to-date gehouden.

  • Ook privé-apparaten waarmee zakelijk wordt gewerkt voldoen aan onze beveiligingseisen.

  • Wij hebben een actueel overzicht van alle apparaten die met ons netwerk verbonden zijn.

  • Slimme apparaten zoals camera's, printers en deurbellen hebben een eigen wachtwoord en krijgen updates.

  • Externe toegang tot ons netwerk (VPN, remote desktop, NAS) is beveiligd met MFA en beperkt tot wie het nodig heeft.

  • Het netwerk is waar zinvol opgedeeld in aparte zones (bijv. kassa's, kantoorwerkplekken en slimme apparaten gescheiden).

☁️

Leveranciers & cloud

Hoe afhankelijk ben je van externe partijen en clouddiensten?

  • Wij hebben een overzicht van alle clouddiensten en leveranciers die we gebruiken.

  • Kritieke domeinnamen, hosting en certificaten staan op naam van het bedrijf en verlopen niet ongemerkt.

  • Wij kunnen onze data uit elke clouddienst exporteren als we willen overstappen.

  • Bij belangrijke leveranciers is bekend hoe zij beveiliging en back-ups hebben geregeld.

  • Facturen en betaalverzoeken van leveranciers worden gecontroleerd op echtheid (factuurfraude).

  • Voor kritieke leveranciers weten wij wat het alternatief is als zij stoppen, failliet gaan of langdurig uitvallen.

  • Contracten en afspraken met belangrijke IT-leveranciers zijn vindbaar en actueel (opzegtermijn, support, hersteltijden).

  • Bij de keuze van nieuwe software of diensten beoordelen wij vooraf de beveiliging en privacy, niet alleen prijs en functies.

  • Toegang van leveranciers tot onze systemen is beperkt tot wat nodig is, tijdelijk waar mogelijk, en wordt weer ingetrokken.

📜

Normen & wetgeving

ISO 27001, NIS2 en andere verplichtingen rond informatiebeveiliging.

  • Wij hebben gecontroleerd of de NIS2-richtlijn (in Nederland: de Cyberbeveiligingswet) op ons bedrijf van toepassing is — ook als toeleverancier van een groter bedrijf.

  • Wij hebben de basismaatregelen uit de NIS2-zorgplicht geregeld: risicoanalyse, incidentprocedures en beveiliging van de leveranciersketen.

  • Wij weten dat ernstige incidenten onder NIS2 snel gemeld moeten worden (binnen 24 uur een vroege waarschuwing, binnen 72 uur een melding) en bij wie.

  • Wij werken gestructureerd aan informatiebeveiliging, bijvoorbeeld volgens de ISO 27001-norm (beleid, risicoanalyse, maatregelen, periodieke evaluatie).

  • Onze ISO 27001-certificering (indien aanwezig) is bijgewerkt naar de actuele 2022-versie van de norm.

  • De directie is aantoonbaar betrokken bij informatiebeveiliging en draagt daarvoor de eindverantwoordelijkheid (een NIS2-eis).

  • Onze beveiligingsmaatregelen worden periodiek getoetst, bijvoorbeeld met een interne controle, audit of pentest.

  • Wij weten welke sectorspecifieke regels voor ons gelden, zoals DORA (financieel), NEN 7510 (zorg) of PCI DSS (kaartbetalingen).

  • Onze afspraken en verantwoordelijkheden rond informatiebeveiliging staan in een kort, actueel beleid dat medewerkers kennen.

  • Wij bewaren bewijs van onze maatregelen (instellingen, trainingen, tests), zodat we bij controles of incidenten kunnen aantonen wat we doen.

  • Wij volgen nieuwe wet- en regelgeving rond IT en beveiliging, bijvoorbeeld via een brancheorganisatie, nieuwsbrief of adviseur.

0 van 87 beantwoord0%