Back

Security

BPM-Point security

Security Policy

Laatst bijgewerkt: 14 maart 2026

Bij BPM-Point nemen wij informatiebeveiliging serieus. Deze Security Policy beschrijft hoe wij technische, organisatorische en procedurele maatregelen inzetten om persoonsgegevens, bedrijfsgegevens en operationele processen te beschermen. Deze pagina is bedoeld om transparant te zijn over onze werkwijze, verantwoordelijkheden en beveiligingsniveaus in de dienstverlening rondom BPM-berekeningen, BPM-aangiftes, importadvies en gerelateerde ondersteuning.

1. Doel en scope

Deze policy geldt voor alle systemen, processen, medewerkers, externe leveranciers en digitale middelen die door BPM-Point worden gebruikt voor dienstverlening aan klanten en websitebezoekers. Hieronder vallen onder meer:

  • Onze website, formulieren en communicatiekanalen;
  • Interne werkplekken, cloudomgevingen en back-upoplossingen;
  • Klantdossiers, berekeningssamenvattingen en contactgegevens;
  • Technische koppelingen met externe databronnen en plugins.

2. Security-principes

Onze beveiligingsaanpak is gebaseerd op de volgende kernprincipes:

  • Least privilege: toegang wordt beperkt tot wat noodzakelijk is.
  • Need to know: gegevens worden alleen ingezien als dit functioneel nodig is.
  • Defense in depth: meerdere beveiligingslagen verminderen risico’s.
  • Security by design: beveiliging is onderdeel van ontwerp en implementatie.
  • Continue verbetering: periodieke controles, updates en hardening.

3. Toegangsbeheer

Wij hanteren gecontroleerd toegangsbeheer voor systemen en gegevens:

  • Unieke accounts per medewerker en dienstverlener;
  • Sterke wachtwoordvereisten en waar mogelijk multi-factor authenticatie;
  • Rolgebaseerde autorisaties voor administratieve omgevingen;
  • Periodieke beoordeling van accountrechten en actieve sessies;
  • Directe intrekking van toegang bij functiewijziging of einde samenwerking.

4. Netwerk- en transportbeveiliging

Dataverkeer tussen bezoeker en website verloopt via versleutelde verbindingen (HTTPS/TLS). Daarnaast treffen wij aanvullende maatregelen om ongeautoriseerde toegang, misbruik en verstoringen te beperken:

  • Beveiligde configuratie van webserver en hostingomgeving;
  • Regelmatig vernieuwen en controleren van certificaten;
  • Monitoring op foutmeldingen en afwijkende requestpatronen;
  • Beperking van blootstelling van beheerroutes waar mogelijk.

5. Applicatie- en platformbeveiliging

Omdat onze omgeving op WordPress en aanvullende componenten draait, nemen wij structurele maatregelen om kwetsbaarheden te beperken:

  • Tijdige updates van core, thema’s en plugins;
  • Verwijderen of uitschakelen van onnodige functionaliteit;
  • Controle op compatibiliteit en regressies na wijzigingen;
  • Minimaliseren van maatwerk dat onnodig risico introduceert;
  • Versiebeheer van kritieke configuratie en inhoud waar mogelijk.

6. Logging, monitoring en detectie

Voor beschikbaarheid en incidentdetectie verzamelen wij technische loggegevens. Deze logs helpen ons om storingen, foutpatronen, mislukte inlogpogingen en beveiligingsincidenten vroegtijdig te signaleren. Logdata wordt uitsluitend gebruikt voor beveiliging, operationele stabiliteit en troubleshooting, met passende bewaartermijnen.

7. Back-ups en herstel

Wij voeren periodieke back-ups uit van website- en bedrijfskritieke data. Het back-upbeleid is ingericht op herstelbaarheid en continuïteit:

  • Regelmatige back-upcycli met versiehistorie;
  • Bewaartermijnen afgestemd op operationele en juridische noodzaak;
  • Herstelprocedures voor kritieke scenario’s;
  • Controle op integriteit van back-upbestanden.

8. Leveranciers en derde partijen

Waar externe partijen worden ingezet (bijvoorbeeld hosting, e-mail, formulieren of reviewdiensten), selecteren wij leveranciers op betrouwbaarheid, beveiligingsniveau en naleving van toepasselijke wet- en regelgeving. Indien van toepassing sluiten wij verwerkersafspraken of equivalenten af en beperken wij gegevensdeling tot het noodzakelijke minimum.

9. Incidentrespons

Bij een (vermoedelijk) security-incident volgen wij een gestructureerde aanpak:

  1. Detectie en initiële triage;
  2. Containment en beperking van impact;
  3. Onderzoek van oorzaak en betrokken systemen;
  4. Herstelmaatregelen en verificatie;
  5. Evaluatie en structurele verbeteractie.

Indien een incident impact heeft op persoonsgegevens, handelen wij conform de AVG-verplichtingen rondom meldplicht datalekken.

10. Medewerkerbewustzijn en interne governance

Informatiebeveiliging is niet alleen techniek, maar ook gedrag. Daarom hanteren wij interne richtlijnen voor verantwoord omgaan met klantinformatie, toegangsrechten, wachtwoorden, devices en communicatie. Security-eisen worden meegenomen in operationele besluiten en in wijzigingen aan website of processen.

11. Responsible disclosure

Ontdekt u een kwetsbaarheid in onze website of systemen? Meld dit alstublieft verantwoord via info@bpm-point.nl. Vermeld zoveel mogelijk details (URL, stappen, impact, eventueel bewijs). Wij vragen u de kwetsbaarheid niet openbaar te maken voordat wij voldoende tijd hebben gehad om deze te beoordelen en op te lossen.

12. Continu verbeteren

Deze Security Policy wordt periodiek herzien en waar nodig aangepast op basis van technologische ontwikkelingen, veranderende dreigingen, wettelijke vereisten en lessons learned uit operationele incidenten. De meest recente versie staat altijd op deze pagina.

Let op: deze policy geeft inzicht in onze beveiligingsaanpak, maar bevat bewust geen technische details die misbruik kunnen vergemakkelijken.

This website stores cookies on your computer. Cookie Policy