Zoek in de documentatie…

Beveiliging

Gegevensbeveiliging

Gegevensbeveiliging

GDPR

Compliant

DORA

Compliant

ISO 27001

Q1 2026

Belangrijkste beveligingsprincipes bij Onesurance

End-to end enryptie voor alle data in transit en at rest

Multi-factor authenticatie verplicht voor alle gebruikers

24/7 security monitoring met geautomatiseerde incident detectie

Data residency binnen de EU (Azure West-Europe)

ISO 27001 certificering in voorbereiding (target Q1 2026)

End-to end enryptie voor alle data in transit en at rest

Certificeringen en Standaarden

Onesurance houdt zich aan de hoogste security en compliance standaarden in de financiële sector. Hieronder vindt u een overzicht van onze huidige certificeringen en roadmap.

Certificering

Beschrijving

Status

TRUST CENTER - GEGEVENSBEVEILIGING

Onesurance Gegevensbeveiligingspraktijken
Laatst bijgewerkt: December 2024

Onze Aanpak voor Gegevensbeveiliging

Bij Onesurance is gegevensbeveiliging ingebouwd in elke laag van ons platform. We verwerken gevoelige verzekeringsgegevens voor onze klanten, en we behandelen deze gegevens met het hoogste niveau van bescherming. Onze beveiligingsarchitectuur maakt gebruik van enterprise-grade cloudinfrastructuur gecombineerd met meerdere verdedigingslagen, continue monitoring en strikte toegangscontroles.

Alle klantgegevens worden uitsluitend verwerkt binnen de Europese Unie (Azure West-Europa regio), wat zorgt voor naleving van EU-gegevenslocatie vereisten en lage latentie voor onze Europese verzekeringklanten.

Gegevensverwerkingsarchitectuur

Onze platformarchitectuur is ontworpen met security-by-design principes:

Input Laag
• Gegevensbronnen: Excel, API's, PDF's, databases
• Input validatie: Alle binnenkomende data wordt gevalideerd en gesanitiseerd
• Encryptie: TLS 1.3 voor alle data in transit
• Authenticatie: Vereist voor alle data uploads

Verwerk Laag (Azure West-Europa)
• Locatie: Uitsluitend Azure West-Europe datacenters (Nederland)
• Processing componenten:

  • Risk_

Engine: Risicoberekeningen en -analyses

  • Defend Agent: AI-gedreven klantenservice en claims processing

  • Churn Model: Predictieve analytics voor klantbehoud

  • Customer Lifetime Value (CLV): Waardeberekeningen

  • Next Best Product (NBP): Productaanbevelingen
    • Isolatie: Elke klant heeft geïsoleerde verwerkingsomgeving
    • Encryption at rest: AES-256 voor alle opgeslagen data
    • Toegangscontrole: Role-Based Access Control (RBAC) op alle resources

Output Laag
• API endpoints: RESTful API's met OAuth 2.0 authenticatie
• Data exports: Versleuteld via TLS 1.3
• Rapportages: Gegenereerd on-demand, niet permanent opgeslagen
• Monitoring: Alle output wordt gelogd voor audit trails

Encryptie

Data at Rest
• Algoritme: AES-256 (Advanced Encryption Standard)
• Key management: Azure Key Vault met Hardware Security Modules (HSM)
• Database encryption: Transparent Data Encryption (TDE) op alle databases
• File storage: Server-Side Encryption (SSE) voor blob storage
• Backups: Volledig versleuteld met aparte encryptiesleutels
• Key rotation: Automatisch jaarlijks, of on-demand bij security incident

Data in Transit
• Protocol: TLS 1.3 (nieuwste transport layer security versie)
• Minimum: TLS 1.2 ondersteund voor legacy compatibiliteit
• Cipher suites: Alleen strong ciphers, geen verouderde algoritmes
• Certificate management: Automatische rotatie via Azure
• API communicatie: Alle API calls over HTTPS, HTTP niet toegestaan
• Internal traffic: Versleuteld tussen alle Azure resources

Encryptie van Gevoelige Velden
• Persoonlijke identificeerbare informatie (PII): Extra field-level encryption
• Financiële gegevens: Separaat versleuteld met dedicated keys
• Health data: Extra bescherming conform AVG bijzondere categorieën
• Passwords: Nooit opgeslagen, gehashed met bcrypt (cost factor 12)

Toegangscontrole

Role-Based Access Control (RBAC)
• Princip

e: Least privilege - minimale noodzakelijke toegang
• Rollen gedefinieerd per:

  • Functie (ontwikkelaar, operations, support, admin)

  • Data classificatie niveau (public, internal, confidential, restricted)

  • Resource type (databases, API's, logs, configuratie)
    • Review frequentie: Kwartaalse access reviews
    • Onboarding/offboarding: Geautomatiseerd via HR systeem
    • Temporary access: Time-limited elevated access via Just-In-Time (JIT)

Multi-Factor Authenticatie (MFA)
• Vereist voor: Alle medewerkers en administrators
• Methodes: Authenticator apps (TOTP), hardware tokens, biometrie
• Enforcement: Technisch afgedwongen, geen uitzonderingen
• Backup codes: Veilig opgeslagen voor noodtoegang
• Customer access: MFA beschikbaar en aangemoedigd voor klantportalen

Identity & Access Management (IAM)
• Directory: Azure Active Directory (Azure AD / Entra ID)
• Single Sign-On (SSO): Centraal identity management
• Conditional access: Context-aware toegangsbeleid (locatie, apparaat, risico)
• Privileged Identity Management (PIM): Extra controles voor admin accounts
• Service accounts: Minimaal gebruikt, regelmatig geroteerde credentials

Logische Toegangscontroles
• Database access: Individuele gebruikersaccounts, geen gedeelde credentials
• Application access: API keys met korte expiration, roteerbaar
• Infrastructure access: Bastion hosts, geen direct SSH/RDP access
• Production access: Strictly beperkt, logged en gemonitored
• Development/test: Gescheiden van productie, geanonimiseerde data

Fysieke & Netwerkbeveiliging

Microsoft Azure Datacenter Beveiliging
• Locatie: Azure West-Europe regio (Amsterdam, Nederland)
• Fysieke toegang: Biometrische controles, 24/7 bewaking, gelaagde security
• Certificeringen: ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3
• Beschikbaarheid: 99.99% SLA met Availability Zones
• Compliance: GDPR, DORA compliant infrastructure

Netwerkarchitectuur
• Segmentatie: Virtuele netwerken (VNets) met geïsoleerde subnets
• Firewalls: Azure Firewall en Network Security Groups (NSGs)
• DDoS protection: Azure DDoS Protection Standard
• Load balancing: Geografisch gedistribueerd voor high availability
• Private endpoints: Geen public internet exposure voor databases
• VPN/ExpressRoute: Beschikbaar voor enterprise klanten

Intrusion Detection & Prevention
• Azure Security Center: Continue monitoring van resources
• Network Watcher: Traffic analysis en anomaly detection
• Application Gateway WAF: Web Application Firewall voor API's
• Threat intelligence: Microsoft threat feeds geïntegreerd
• Automated response: Security playbooks voor common threats

Beveiligingsmonitoring

24/7 Security Operations
• Monitoring tool: Azure Monitor + Azure Sentinel (SIEM)
• Coverage: Alle resources, applicaties, netwerk traffic, user activiteit
• Alerting: Real-time waarschuwingen voor security events
• Response tijd: <15 minuten voor kritieke alerts
• Escalatie: Gedefinieerde procedures en contactpersonen
• Logging retention: Minimum 1 jaar, tot 7 jaar voor compliance

Security Event Categorieën
• Authentication failures: Mislukte login pogingen, MFA failures
• Unauthorized access attempts: Toegang tot verboden resources
• Data exfiltration: Ongewone data transfers
• Malware detection: Virus/malware pogingen
• Configuration changes: Ongeautoriseerde wijzigingen aan systemen
• Privilege escalation: Pogingen tot verhoogde toegang
• Anomalous behavior: Afwijkend gebruikersgedrag (UEBA)

Audit Logging
• Scope: Alle user acties, systeem events, data toegang
• Immutability: Logs kunnen niet gewijzigd of verwijderd worden
• Encryption: Logs zijn versleuteld at rest en in transit
• Access controls: Alleen security/compliance team heeft toegang
• Compliance: Voldoet aan AVG, DORA logging vereisten
• Search & analysis: Centraal logging platform met query capabilities

Vulnerability Management

Vulnerability Scanning
• Frequentie: Wekelijkse geautomatiseerde scans
• Tools: Azure Defender, Qualys, Nessus
• Scope: Alle productie en development omgevingen
• Severity classification: CVSS v3.1 scoring
• False positive management: Review en validatie proces
• Metrics: Tracked en gerapporteerd aan management

Patch Management
• Operating systems: Geautomatiseerde patches binnen SLA

  • Critical: <48 uur

  • High: <72 uur (3 dagen)

  • Medium: <30 dagen

  • Low: <90 dagen
    • Applications: Monitored voor security updates
    • Dependencies: Continuous monitoring via GitHub Dependabot
    • Testing: Patches eerst getest in staging environment
    • Rollback procedure: Gedefinieerd voor problematische patches

Penetration Testing
• Frequentie: Jaarlijks door externe ethical hackers
• Scope: Full-stack testing (applicatie, API's, infrastructuur)
• Methodology: OWASP Testing Guide, PTES
• Laatste test: [Datum]
• Kritieke bevindingen: Allemaal gemitigeerd voor productie
• Rapportage: Samenvatting beschikbaar voor enterprise klanten

Secure Development Practices

Security Development Lifecycle (SDL)
• Planning: Threat modeling voor nieuwe features
• Design: Security architecture reviews
• Development: Secure coding standards (OWASP)
• Testing: Geautomatiseerde security tests in CI/CD
• Deployment: Security gates voor productie releases
• Operations: Continuous monitoring en feedback loop

Code Security
• Static Analysis (SAST): Geautomatiseerd bij elke commit
• Dynamic Analysis (DAST): Wekelijkse scans van running applicatie
• Dependency scanning: Real-time alerts voor kwetsbare libraries
• Code reviews: Verplichte peer review met security checklist
• Secrets management: Geen credentials in code, gebruik van Azure Key Vault
• Git security: Branch protection, signed commits, access controls

API Security
• Authentication: OAuth 2.0 / JWT tokens
• Authorization: Fine-grained permissions per endpoint
• Rate limiting: DDoS protectie en abuse prevention
• Input validation: Strict schema validation voor alle inputs
• Output encoding: Preventie van injection attacks
• API versioning: Backward compatible changes, deprecated endpoints
• Documentation: Security requirements in API specs

Data Classification & Handling

Classificatie Niveaus
• Public: Niet-gevoelige informatie, vrij te delen
• Internal: Bedrijfsinformatie, niet voor externe distributie
• Confidential: Klantgegevens, contractuele informatie
• Restricted: Persoonlijke gegevens (AVG), financiële data, health data

Handling Procedures Per Niveau
• Public: Geen speciale restricties
• Internal: Toegangscontrole, encryptie bij storage
• Confidential: MFA vereist, encryptie at rest en in transit, audit logging
• Restricted: Extra goedkeuringen, field-level encryption, extensive logging

Data Minimization
• Principle: Alleen verzamelen wat noodzakelijk is
• Retention: Automatische verwijdering na retentieperiode
• Pseudonymization: Waar mogelijk, scheiding van identifiers
• Anonymization: Voor analytics en testing, irreversible

Gegevensvernietiging
• Methode: Cryptographic erasure (key destruction) + secure delete
• Media destruction: Certified destruction voor hardware (indien van toepassing)
• Verification: Audit trail van destruction events
• Timeline: Binnen 30 dagen na einde retentieperiode

Incident Response

Zie ook: Template 06 - Incident Response voor volledige details

Data Breach Response
• Detection: Geautomatiseerde alerts + security monitoring
• Assessment: Binnen 4 uur na detectie
• Containment: Onmiddellijke isolatie van affected systems
• Eradication: Root cause analysis en remediation
• Recovery: Gecontroleerde restore van services
• Notification:

  • Toezichthouder (AP): Binnen 72 uur indien vereist

  • Betrokkenen: Zonder onnodige vertraging indien hoog risico

  • Klanten: Proactieve communicatie en updates

Security Incident Classification
• P1 (Critical): Data breach, ransomware, systeem compromise
• P2 (High): Unauthorized access attempts, vulnerability exploitation
• P3 (Medium): Policy violations, suspicious activity
• P4 (Low): Informational, geen direct security impact

Customer Commitments

Wat U Kunt Verwachten
Zero Trust Architecture: Verify explicitly, least privilege, assume breach
Defense in Depth: Meerdere beveiligingslagen, geen single point of failure
Continuous Monitoring: 24/7 security operations center
Rapid Response: <15 minuten response tijd voor kritieke incidents
Proactive Updates: Regular security patches en updates
Transparency: Open communicatie over security posture
Compliance: Voldoen aan AVG, DORA, en ISO 27001 requirements

Uw Verantwoordelijkheden
• Account security: Sterke passwords en MFA activeren
• Access management: Tijdig intrekken van toegang bij uitdiensttreding
• Data classification: Correct labelen van gevoelige informatie
• Incident reporting: Verdachte activiteit direct melden
• Security awareness: Training van uw eigen gebruikers

Contact

Voor beveiligingsvragen en incidenten:
• Security Team: dpo@onesurance.ai
• 24/7 Security Hotline: [Telefoonnummer bij kritieke incidenten]
• Responsible Disclosure: security@onesurance.ai

Laatst bijgewerkt: December 2024
Onesurance B.V. | Breda, Nederland | KvK: 87521997