Informatiebeveiliging en privacy

Als leverancier van softwareproducten en diensten treft Centric veel maatregelen voor de beveiliging van gegevens. Met deze maatregelen helpen wij onze klanten te kunnen voldoen aan de eisen die gesteld worden in wet- en regelgeving. Denk hierbij aan NIS2, de Algemene verordening gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO), het normenkader ICT-beveiligingsassessment DigiD en de Eenduidige Normatiek Single Information Audit (ENSIA).

Nieuwe ontwikkelingen op het gebied van wet- en regelgeving, zoals de Cyberbeveiligingswet (CBW), de Cyber Resilience Act (CRA) en de BIO 2.0 hebben onze continue aandacht. Het beveiligen van onze softwarediensten is daarom geen eenmalige actie, maar een doorlopend proces van ontwikkeling, dienstverlening en beheer. Met de ontwikkeling van onze SaaS-dienstverlening, verschuift de verantwoordelijkheid van de beveiliging van de gegevens van klanten steeds meer richting Centric. Dit heeft als gevolg dat informatiebeveiliging hoog in het vaandel staat.

Hierna staat beschreven hoe Centric invulling geeft aan informatiebeveiliging. De genomen maatregelen waarborgen de beschikbaarheid, integriteit en vertrouwelijkheid van onze producten en diensten. Meer informatie over hoe Centric omgaat met de thema’s security en privacy vind je in ons Centric Trust Center. Ook verwijzen wij graag naar de Whitepaper SaaS en security. Een toelichting op de producten die Centric biedt op het gebied van security en privacy staan in de hoofdstukken over onze afzonderlijke producten.

Security

ISO 27001

Centric heeft een informatiebeveiligingsmanagementsysteem (ISMS), dat is geïmplementeerd conform de beveiligingsnorm ISO 27001:2022. Op basis van jaarlijkse risicobeoordelingen, audits, business requirements en wijzigingen in wet- en regelgeving wordt dit systeem continu aangescherpt. Hiermee zorgen we dat Centric veilige producten en diensten levert voor haar klanten.

In het eerste kwartaal van 2025 gaat ook Centric Public Sector Solutions over op de nieuwste versie van de ISO 27001:2022. In deze nieuwe versie wordt onder andere extra aandacht gegeven aan het ontwikkelen van veilige software en het beveiligen van cloudomgevingen.

DigiD-assessments

Logius vereist een jaarlijks ICT-beveiligingsassessment voor applicaties die gebruikmaken van DigiD. Deze toets van het DigiD-normenkader op de betreffende applicaties laat Centric uitvoeren door een Register EDP-auditor. Sinds 2024 heeft Logius een vijftal normen geselecteerd om naast opzet en bestaan, ook de werking te laten toetsen. De Third Party Memorandum (TPM) die we aan onze klanten ter beschikking stellen, dekt ook deze

normen. Ons streven is deze TPM uiterlijk eind oktober aan onze klanten te leveren. Onze TPM kan samen met het gedeelte van de klant bij Logius ter verificatie worden aangeboden.

Secure Software Development

De basis voor veilige software ligt bij de ontwikkeling van software. Centric gebruikt hiervoor de methode en normenkaders van het Centrum Informatiebeveiliging en Privacybescherming (CIP): Grip op Secure Software Development (SSD). Centric draagt actief bij aan de doorontwikkeling van de SSD-normen.

Om te zorgen dat de SSD-baseline goed kan worden ingezet, is het van belang dat het onderdeel uitmaakt van een groter framework dat de verschillende best practices borgt. De Secure Software Development Lifecycle. Om deze methodiek te implementeren is Centric begin 2022 met een ‘Shift Left’-beweging gestart. Dit houdt in dat security vanaf het eerste stadium in het softwareontwikkelproces wordt meegenomen en in elke opvolgende fase opnieuw aandacht krijgt.

Structurele toetsing

Centric heeft een eigen team van ethische hackers (ons Red Team) dat structureel pentesten uitvoert op onze softwareproducten en infrastructuur. Bij het testen wordt onder andere getoetst op:

• de Top 10 Application Security Risks van OWASP;
• de ICT-Beveiligingsrichtlijnen voor webapplicaties en mobiele applicaties van het NCSC;
• de SSD-baseline;
• Common Vulnerabilities and Exposures (ofwel CVE’s).

De bevindingen van deze pentests leiden tot aanpassingen van onze software. Voor het classificeren en prioriteren op basis van de (technische) ernst van de gevonden kwetsbaarheden wordt CVSS 4.0 aangehouden. CVSS staat voor Common Vulnerability Scoring System en is een open industriestandaard. Op basis van de aldus bepaalde risico’s en prioriteiten worden de kwetsbaarheden verholpen.

Naast deze periodieke toetsing van onze producten vindt er ook continue toetsing van onze producten plaats met zogenaamde Application Security Testing (AST) tools. Deze tools worden gebruikt om de kwaliteit van software in kaart te brengen en op onderdelen zelfs af te dwingen. Voorbeelden hiervan zijn SonarQube, Sigrid en Dependency Track. Naast het meten van de kwaliteit van de code, worden hierdoor ook security-analyses uitgevoerd en vinden er geautomatiseerde controles plaats op kwetsbaarheden. Dit omvat de code die we zelf ontwikkelen, de gebruikte open source software en componenten van derden. De zogeheten software supply chain.

Monitoring kwetsbaarheden en dreigingen

Centric beschikt over een eigen Security Operations Center (SOC) dat verantwoordelijk is voor threat detection & response. Dit team van securityspecialisten monitort het Centric-

netwerk met behulp van verschillende tools. Eén van deze tools is Microsoft Sentinel, een Security Incident en Event Management (SIEM) tool, die intelligente beveiligingsanalyses en dreigingsinformatie biedt. Deze combineert data die wordt gegenereerd uit verschillende beveiligingscomponenten, zoals Microsoft Defender, logregels van servers, DDoS-bescherming en firewalls, om een zo compleet mogelijk overzicht te bieden voor onze securityspecialisten. Deze securityspecialisten zijn een belangrijke schakel in onze beveiligingsketen. Als er al iets voorbij de opgeworpen barrières zou komen, dan is het hun taak dit zo snel mogelijk te signaleren en passende maatregelen te treffen.

Aanvullend biedt Centric klanten een threat detection & response dienst aan.

Privacy

Centric heeft een Product Privacy Baseline opgesteld, waarbij gebruik is gemaakt van het Privacy by Design Framework van de Privacy Company. Deze baseline is gebruikt om de bestaande applicaties te toetsen aan de AVG en indien nodig aan te passen. Ook bij nieuwe ontwikkelingen stellen we met behulp van deze baseline de privacy-eisen vast.

De AVG stelt rechtmatigheid, behoorlijkheid en transparantie bij de verwerking van persoonsgegevens voorop. Gegevens mogen uitsluitend worden verwerkt in het kader van een gerechtvaardigd doel en dan ook alleen die gegevens die echt noodzakelijk zijn. Ook mogen gegevens niet langer bewaard blijven dan noodzakelijk. Tevens hebben rechthebbenden het recht om te weten welke gegevens er van hem/haar bekend zijn en welke verwerkingen er hebben plaatsgevonden. Hierbij biedt Centric Privacy Workspace ondersteuning.

Verwerkersovereenkomst

De AVG schrijft voor dat bij verwerking van persoonsgegevens door een verwerker (in dit geval Centric) de afspraken en maatregelen om een veilige verwerking te garanderen worden vastgelegd in een verwerkersovereenkomst. De verwerkersovereenkomst maakt deel uit van het contract. Centric heeft meegewerkt aan de standaard verwerkersovereenkomst van de Vereniging van Nederlandse Gemeenten (VNG) en gebruikt de meeste recente versie.

Privacy statement

Centric heeft een privacyverklaring opgesteld, deze is op onze site te vinden. Naast algemene zaken is hier informatie te vinden over specifieke verwerkingen die Centric voor haar klanten uitvoert in het kader van support en conversies.

Samen Controleren

Eén van de onderdelen waar de Cyberbeveiligingswet de nadruk op legt is ketenverantwoordelijkheid. Centric geeft hier samen met de Gebruikersvereniging en de Informatiebeveiligingsdienst invulling aan met de pilot ‘Samen Controleren’. Het doel van deze pilot is het creëren van uniformiteit en meer efficiëntie op het gebied van informatiebeveiliging bij leveranciersmanagement. Dit doen we door een breed gedragen

methodiek op te zetten, waarmee producten worden getoetst om meer grip te krijgen op de beveiliging van deze producten.