Zorg dragen voor veilige en AVG-conforme stemmingen

NemoVote is ontwikkeld met aandacht voor beveiliging. We zijn ons bewust van onze verantwoordelijkheid en nemen deze serieus. Elke stem met NemoVote is veilig en onbetwistbaar.

Onze veiligheidsprincipes

Privacy

Wij beschermen gegevens tegen ongeautoriseerde toegang en misbruik.

Integriteit

We beschermen gegevens tegen ongeoorloofde wijzigingen gedurende hun gehele levenscyclus.

Beschikbaarheid

Onze service is in real time beschikbaar, zelfs voor live stemmen met een groot aantal stemmers.

Architectuur en Infrastructuur

  • Al onze infrastructuur wordt gehost bij gecertificeerde (inclusief ISO/IEC 27001, 27017 en 27018) cloudproviders Hetzner, Heroku en Amazon AWS. Voor meer informatie over de beveiliging van Hetzner, Heroku en Amazon AWS, kunt u hun respectievelijke overzichten raadplegen.

  • We zorgen ervoor dat onze gegevens uitsluitend op een GDPR-conforme manier in de EU worden verwerkt en opgeslagen.

  • Elke klant ontvangt van ons een eigen, logisch afgesloten instantie van NemoVote. Dit betekent dat gegevens van andere instanties niet samen met hun gegevens worden opgeslagen.

  • Onze webservers versleutelen gegevens tijdens de overdracht van en naar NemoVote met behulp van HTTPS.

  • Alle permanente gegevens worden door ons versleuteld in rust met de AES-256 encryptiestandaard.

Loggen en monitoren

  • Alle activiteiten (inclusief administratieve toegang) op onze systemen worden centraal gelogd en gecontroleerd.

  • Onze logbestanden worden versleuteld opgeslagen en zijn alleen toegankelijk voor beheerders.

  • Onze logbestanden worden voor een maximale periode van 7 dagen bewaard.

  • Wachtwoorden van onze klanten en persoonlijke gegevens worden door ons op geen enkel moment gelogd.

  • Via ons actieve bewakings- en waarschuwingssysteem worden incidenten direct aan de verantwoordelijke beheerder gemeld.

Kwetsbaarheidsbeheer

  • NemoVote onderhoudt procedures om geïdentificeerde en gerapporteerde beveiligingslekken binnen een vastgestelde termijn aan te pakken.

  • We zorgen ervoor dat onze klanten en de relevante autoriteiten binnen de meldingsdeadlines van 72 uur op de hoogte worden gesteld in geval van een beveiligingsincident.

Veranderbeheer

  • NemoVote heeft formeel wijzigingsbeheer om wijzigingen in de software te beheren die in de productieomgeving zijn ingezet. Voor meer gedetailleerde informatie over wijzigingen in NemoVote, raadpleeg het NemoVote Change Log.

  • We behouden een gedetailleerd rollback-proces om in geval van nood naar eerdere systeemversies terug te keren.

  • Alle wijzigingen worden beoordeeld en getest voordat ze worden vrijgegeven aan productiesystemen.

Back-up en herstellen

  • NemoVote maakt regelmatig back-ups voor het geval van gegevensverlies.

  • Back-ups worden door ons regelmatig getest en veilig opgeslagen bij onze cloudprovider (minimale versleutelingstandaard AES-256).

  • NemoVote heeft de volgende doelstellingen voor herstel bij calamiteiten voor onze systemen:

    • Hersteldoelstelling (RTO): 60 minuten

    • Herstelpuntdoelstelling (RPO): 15 minuten

Beveiligingsmaatregelen

  • Voor klanten:

    • Specifieke wachtwoordinstructies zijn van toepassing op al onze klanten door het gebruik van bewezen gebruikersbeheersystemen.

    • Het kiezers-ID en de uitgebrachte stem worden onafhankelijk opgeslagen en kunnen daarna niet in de database worden gekoppeld, waardoor de anonimiteit van de kiezer wordt gewaarborgd.

    • Voordat de stem van een kiezer wordt geteld, moet de stem in een tweede stap worden bevestigd. Dit voorkomt dat de stem per ongeluk wordt uitgebracht. Om te voorkomen dat stemmen zonder toestemming worden uitgebracht, wordt de stem gecontroleerd op geautoriseerde uitbrenging en juistheid voordat deze wordt geteld.

    • De NemoVote verkiezingsserver zorgt er ook voor dat een kiezer slechts zoveel stemmen kan uitbrengen als hem via de kiezerslijsten zijn toegewezen. Resultaten zijn direct na elke stemming toegankelijk en traceerbaar voor alle geauthenticeerde en geautoriseerde NemoVote-gebruikers in de app. Dit maakt het voor de kiezer bovendien verifieerbaar of de betreffende stem is geregistreerd.

  • Voor werknemers en beheerders:

    • Alle toegangen van NemoVote-ontwikkelaars tot onze systemen zijn beveiligd met geavanceerde authenticatiemaatregelen.

    • Wij volgen het principe van de minste privilege. Dit betekent dat onze medewerkers alleen toegang krijgen tot systemen die absoluut noodzakelijk voor hen zijn.

    • Al onze medewerkers verplichten zich tot vertrouwelijkheid in overeenstemming met artikel 5 (1) f) van de Algemene Verordening Gegevensbescherming.

    • Alle toegewezen toegangen van werknemers en beheerders worden regelmatig gecontroleerd op nog bestaande noodzaak. Wanneer een werknemer vertrekt, volgen we een vastgesteld protocol om alle toegewezen toegangen te beëindigen.

Beveiligings- en gegevensbeschermingsteam

  • Onze medewerkers, evenals externe partners die door ons zijn ingehuurd, kunnen relevante ervaring en branche-erkende certificeringen aantonen, zoals “Certified Information Systems Security Professional“, “Certified Cloud Security Professional“ van de (ISC)², “Data Protection Officer (IHK)” en “Information Security Officer – ISO (TÜV)”.

Klantgegevens

  • We gebruiken Stripe voor betalingsverwerking in onze online winkel. In dit proces slaan we geen betalingsgegevens op, maar sturen we ze direct naar Stripe.

  • Persoonlijke gegevens en gegevens van stemmen worden na beëindiging van het overeenkomstige NemoVote-abonnement uit al onze systemen (inclusief back-ups en archieven) verwijderd in overeenstemming met wettelijke bewaartermijnen. Om te voorkomen dat uw gegevens na beëindiging van het NemoVote-abonnement worden verwijderd, zodat u toch gegarandeerd toegang heeft tot uw stemmen, kunt u onze gegevenshergebruikpakketten gebruiken.

  • Voor meer informatie over hoe NemoVote met uw gegevens omgaat, raadpleeg onze privacybeleid

Sedevo-logo

De beveiligingsfuncties en -processen van NemoVote zijn ontworpen en geïmplementeerd in samenwerking met Sedevo en worden regelmatig gecontroleerd door het Sedevo-team.