1. Toegangscontrole van de gebruiker

1.1 Registratie en authenticatie

Externe gebruikers dienen zich te registreren voor toegang via een beveiligd online proces dat de identiteit van de gebruiker verifieert. Elke gebruiker wordt geverifieerd met behulp van een combinatie van een wachtwoord en multifactorauthenticatie (MFA).

1.2 Autorisatie

Toegang wordt uitsluitend verleend op basis van de taken die de gebruiker binnen het systeem moet uitvoeren. Gebruikers krijgen alleen toegang tot functies en gegevens die relevant zijn voor hun rol.

1.3 Beheerdersaccounts

Accounts met verhoogde rechten worden uitsluitend gebruikt voor het uitvoeren van beheertaken. Alle ongebruikte of overbodige gebruikersaccounts en e-mailadressen worden door de IT-beheerder verwijderd of gedeactiveerd.

Gebruikersaccounts worden bij beëindiging van het dienstverband, contract of overeenkomst onverwijld verwijderd of gedeactiveerd door de IT-beheerder en dienovereenkomstig gedocumenteerd.

Grassfeld staat het gebruik van gedeelde accounts in beginsel niet toe. Indien gedeelde accounts in uitzonderlijke situaties noodzakelijk zijn, worden aanvullende beveiligingsmaatregelen toegepast, waaronder beperkte toegangsrechten, logging van activiteiten en periodieke evaluatie van het gebruik.

Wanneer medewerkers toegang hadden tot gedeelde accounts, worden de toegangsgegevens van deze accounts door de IT-beheerder direct gewijzigd.

2. Bescherming van gegevens

2.1 Versleuteling van gegevens

Gegevens die worden opgeslagen binnen het Grassfeld-platform en de applicatie worden versleuteld met behulp van actuele en algemeen erkende versleutelingsstandaarden. Voor opgeslagen gegevens wordt onder meer gebruikgemaakt van AES-256-versleuteling en voor gegevensverkeer beveiligde verbindingen via TLS 1.2 of hoger.

Daarnaast worden gegevens continu gemonitord op mogelijke aanvallen en datalekken, met als doel een gedetecteerde aanval direct te beperken.

2.2 Classificatie van gegevens

Alle gegevens die door Grassfeld worden verwerkt en opgeslagen, worden gecategoriseerd door de beveiligingsfunctionaris en periodiek herzien, minimaal jaarlijks.

Gegevens worden ingedeeld op basis van gevoeligheid en de mogelijke gevolgen voor de bedrijfsvoering bij ongeoorloofde toegang of verlies. Gegevens worden beheerd, beschermd en beveiligd in overeenstemming met het gevoeligheidsniveau van de betreffende categorie.

2.3 Gegevensopslag

Gegevens worden opgeslagen in een meerlaags beveiligde database met strikt beperkte toegankelijkheid. Deze toegang is voorbehouden aan bevoegd personeel dat zich houdt aan de geldende authenticatie-eisen.

Wanneer een gebruiker zijn account verwijdert, worden de bijbehorende gegevens vernietigd conform de geldende bewaartermijnen en interne procedures. Na verwijdering kunnen deze gegevens niet meer actief worden gebruikt of toegankelijk worden gemaakt.

2.4 Back-ups en herstel

Grassfeld maakt periodiek beveiligde back-ups van bedrijfskritische systemen en gegevens om de continuïteit, beschikbaarheid en herstelbaarheid van diensten te waarborgen.

Back-ups worden versleuteld opgeslagen en zijn uitsluitend toegankelijk voor bevoegd personeel. Herstelprocedures worden periodiek getest om de betrouwbaarheid en beschikbaarheid van back-ups te verifiëren.

Back-ups van individuele gebruikersgegevens worden uitsluitend bewaard voor zover noodzakelijk voor beveiliging, continuïteit en wettelijke verplichtingen.

2.5 Delen van gegevens

Het delen van persoonlijke en financiële informatie binnen de applicatie is onderworpen aan strikte protocollen en vindt uitsluitend plaats met expliciete toestemming van de gebruiker.

Grassfeld verkoopt geen gegevens aan derden.

Zie het Privacy- en Cookiebeleid voor meer informatie over de verwerking van persoonsgegevens en de rechten van betrokkenen.

3. Verantwoordelijkheid van medewerkers

3.1 Nieuwe medewerkers

Alle nieuwe medewerkers (zowel intern als extern) worden bij aanvang geïnformeerd over dit informatiebeveiligingsbeleid en de verplichtingen die daaruit voortvloeien.

3.2 Naleving

Medewerkers zijn verplicht zich te houden aan de in dit beleid beschreven richtlijnen. Schending van dit beleid heeft consequenties conform het geldende arbeidsreglement.

3.3 Patchbeheer en kwetsbaarheidsbeheer

Grassfeld beoordeelt bekende kwetsbaarheden in software, infrastructuur en systemen op basis van risico en urgentie.

Kritieke beveiligingsupdates worden met prioriteit toegepast. Systemen die niet langer worden ondersteund of onvoldoende beveiligd kunnen worden, worden vervangen, geïsoleerd of buiten gebruik gesteld.

4. Verantwoordelijkheid van de gebruiker

4.1 Beveiliging van toegangsgegevens

Gebruikers zijn verantwoordelijk voor het vertrouwelijk houden van hun wachtwoord. Wachtwoorden mogen niet worden gedeeld of opgeschreven.

Bij het vermoeden dat een wachtwoord is gecompromitteerd, dient dit onmiddellijk te worden gewijzigd.

4.2 Beveiliging van apparaten

Voor een veilig gebruik van de applicatie dienen gebruikers ervoor te zorgen dat hun apparaten zijn voorzien van de meest recente beveiligingsupdates en van adequate antivirussoftware.

5. Security by Design

5.1 Proactieve bescherming

Grassfeld past het principe van Security by Design toe. Dit betekent dat beveiliging vanaf het eerste ontwerpstadium structureel wordt geïntegreerd in de architectuur, ontwikkeling en implementatie van systemen en processen.

Beveiligingsmaatregelen worden niet achteraf toegevoegd, maar vormen een integraal onderdeel van de ontwikkeling van producten en diensten.

De beveiligingspartner van Grassfeld ontvangt informatie over dreigingen en kwetsbaarheden uit diverse bronnen, waaronder interne en externe informatiedeling en zowel niet-commerciële als commerciële partijen.

5.2 Minimalisatie van risico's

Het ontwerp en de implementatie van de applicatie volgen het principe van minimale rechten, zodat gebruikers uitsluitend toegang hebben tot gegevens en functionaliteiten die noodzakelijk zijn voor hun rol.

Dit beperkt de potentiële schade bij een beveiligingsincident of misbruik.

Voorbeelden van toegepaste beveiligingsmaatregelen zijn onder andere IP-controle per gebruikerssessie, beveiligde verbindingen met eigen servers en accountregistratie via e-mail, wachtwoord en sms-verificatie.

5.3 Pseudonimisering

Gebruikers van Grassfeld worden in het systeem vertegenwoordigd door een pseudoniem nummer. Dit betekent dat Grassfeld geen directe koppeling heeft tussen systeemdata en de identiteit van een gebruiker.

Dit pseudonieme nummer is uitsluitend toegankelijk via een beveiligde verbinding die speciaal is ontworpen voor communicatie met de gebruiker.

Informatie die door een gebruiker wordt toegevoegd en door Grassfeld wordt opgeslagen, wordt uitsluitend gebruikt om de algoritmen en dienstverlening van Grassfeld te verbeteren.

Zie het Privacy- en Cookiebeleid voor meer informatie over pseudonimisering en de verwerking van persoonsgegevens.

6. Beheer van incidenten

6.1 Incidentrespons

Bij een beveiligingsincident volgt Grassfeld een gestructureerde incidentresponsprocedure bestaande uit melding, beoordeling, inperking, onderzoek, herstel en documentatie.

Incidenten worden onmiddellijk intern geëscaleerd naar het incidentresponsteam. Getroffen systemen en netwerksegmenten kunnen tijdelijk worden geïsoleerd om verdere schade te voorkomen.

Vervolgens wordt forensisch onderzoek uitgevoerd om de oorzaak, impact en omvang van het incident te analyseren. Na herstel worden passende maatregelen genomen om herhaling te voorkomen.

Alle relevante incidenten worden gedocumenteerd en geëvalueerd.

Indien een incident gevolgen heeft voor gebruikers of zakelijke partners, zal Grassfeld betrokken partijen informeren conform de toepasselijke wet- en regelgeving.

Grassfeld beschikt over een beveiligingsteam dat continu beschikbaar is.

Zie het Privacy- en Cookiebeleid voor de procedure rondom melding van datalekken.

6.2 Responsible disclosure

Grassfeld moedigt beveiligingsonderzoekers en gebruikers aan om mogelijke kwetsbaarheden op verantwoorde wijze te melden.

Meldingen kunnen worden gedaan via: security@grassfeld.com

Grassfeld verzoekt melders om:

• geen misbruik te maken van de kwetsbaarheid;
• geen gegevens van gebruikers te kopiëren, wijzigen of verwijderen;
• de kwetsbaarheid vertrouwelijk te behandelen totdat deze is opgelost;
• voldoende informatie te verstrekken om de kwetsbaarheid te reproduceren.

Grassfeld behandelt meldingen vertrouwelijk en zal geen juridische stappen ondernemen tegen melders die te goeder trouw handelen en zich houden aan bovenstaande voorwaarden.

7. Leveranciers en beveiligingspartners

7.1 Externe partijen

Grassfeld werkt samen met externe leveranciers en beveiligingspartners voor onderdelen van haar dienstverlening en infrastructuur.

Bij de selectie van leveranciers beoordeelt Grassfeld onder meer de beveiligingsmaatregelen, betrouwbaarheid en naleving van relevante wet- en regelgeving.

Met leveranciers worden passende contractuele afspraken gemaakt over informatiebeveiliging, vertrouwelijkheid en gegevensbescherming. Deze afspraken worden periodiek geëvalueerd.

8. Naleving en wetgeving

8.1 Naleving van regelgeving

Grassfeld werkt conform de vereisten van de toepasselijke wetgeving inzake gegevensbescherming.

Informatie over de naleving van wettelijke verplichtingen is opgenomen in het Privacy- en Cookiebeleid.

9. Updates van het beleid

9.1 Herzieningen

Dit beleid kan worden bijgewerkt om wijzigingen in juridische, technische of organisatorische ontwikkelingen weer te geven.

Grassfeld adviseert gebruikers dit beleid regelmatig te raadplegen om op de hoogte te blijven van eventuele wijzigingen.

1. User Access Control

1.1 Registration and Authentication

External users must register for access through a secure online process that verifies the identity of the user. Each user is authenticated using a combination of a password and multi-factor authentication (MFA).

1.2 Authorization

Access is granted solely based on the tasks the user is required to perform within the system. Users are only granted access to functions and data relevant to their role.

1.3 Administrative Accounts

Accounts with elevated privileges are used exclusively for performing administrative tasks. All unused or unnecessary user accounts and email addresses are removed or deactivated by the IT administrator.

User accounts are removed or deactivated immediately upon termination of employment, contract, or agreement by the IT administrator and documented accordingly.

Grassfeld does not permit the use of shared accounts as a general principle. In exceptional situations where shared accounts are unavoidable, additional security measures are implemented, including restricted access rights, activity logging, and periodic evaluations of account usage.

If employees had access to shared accounts, the credentials of those accounts are immediately changed by the IT administrator.

2. Data Protection

2.1 Data Encryption

Data stored within the Grassfeld platform and application is encrypted using current and widely recognized encryption standards. Stored data is protected using, among other things, AES-256 encryption, while data transmission is secured using TLS 1.2 or higher.

In addition, systems and data are continuously monitored for potential attacks and data breaches in order to immediately limit detected threats.

2.2 Data Classification

All data processed and stored by Grassfeld is categorized by the security officer and reviewed periodically, at least annually.

Data is classified based on sensitivity and the potential impact on business operations in the event of unauthorized access or loss. Data is managed, protected, and secured in accordance with the sensitivity level of the relevant category.

2.3 Data Storage

Data is stored in a multilayer secured database with strictly limited accessibility. Access is restricted to authorized personnel who comply with applicable authentication requirements.

When a user deletes their account, the associated data is destroyed in accordance with applicable retention periods and internal procedures. After deletion, the data can no longer be actively used or made accessible.

2.4 Backups and Recovery

Grassfeld periodically creates secure backups of business-critical systems and data to ensure service continuity, availability, and recoverability.

Backups are encrypted and accessible only to authorized personnel. Recovery procedures are periodically tested to verify the reliability and availability of backups.

Backups of individual user data are retained only to the extent necessary for security, continuity, and legal obligations.

2.5 Data Sharing

The sharing of personal and financial information within the application is subject to strict protocols and only occurs with the explicit consent of the user.

Grassfeld does not sell data to third parties.

Please refer to the Privacy and Cookie Policy for more information regarding the processing of personal data and the rights of data subjects.

3. Employee Responsibilities

3.1 New Employees

All new employees, both internal and external, are informed of this Information Security Policy and the obligations arising from it at the start of their engagement.

3.2 Compliance

Employees are required to comply with the guidelines described in this policy. Violations of this policy may result in consequences in accordance with the applicable employment regulations.

3.3 Patch and Vulnerability Management

Grassfeld assesses known vulnerabilities in software, infrastructure, and systems based on risk and urgency.

Critical security updates are prioritized and implemented accordingly. Systems that are no longer supported or cannot be adequately secured are replaced, isolated, or decommissioned.

4. User Responsibilities

4.1 Protection of Access Credentials

Users are responsible for maintaining the confidentiality of their passwords. Passwords may not be shared or written down.

If a password is suspected to be compromised, it must be changed immediately.

4.2 Device Security

To ensure the secure use of the application, users must ensure that their devices are equipped with the latest security updates and appropriate antivirus software.

5. Security by Design

5.1 Proactive Protection

Grassfeld applies the principle of Security by Design. This means that security is structurally integrated into the architecture, development, and implementation of systems and processes from the earliest design stages.

Security measures are not added afterward but form an integral part of the development of products and services.

Grassfeld’s security partner receives information about threats and vulnerabilities from various sources, including internal and external information-sharing initiatives and both commercial and non-commercial parties.

5.2 Risk Minimization

The design and implementation of the application follow the principle of least privilege, ensuring that users only have access to data and functionalities necessary for their role.

This limits potential damage in the event of a security incident or misuse.

Examples of implemented security measures include IP verification per user session, secure connections to proprietary servers, and account registration through email, password, and SMS verification.

5.3 Pseudonymization

Users of Grassfeld are represented within the system by a pseudonymous identifier. This means that Grassfeld does not maintain a direct link between system data and the identity of a user.

This pseudonymous identifier is only accessible through a secure connection specifically designed for communication with the user.

Information added and stored by users is used solely to improve Grassfeld’s algorithms and services.

Please refer to the Privacy and Cookie Policy for more information regarding pseudonymization and the processing of personal data.

6. Incident Management

6.1 Incident Response

In the event of a security incident, Grassfeld follows a structured incident response procedure consisting of reporting, assessment, containment, investigation, recovery, and documentation.

Incidents are immediately escalated internally to the incident response team. Affected systems and network segments may be temporarily isolated to prevent further damage.

Forensic investigations are conducted to analyze the cause, impact, and scope of the incident. After recovery, appropriate measures are taken to prevent recurrence.

All relevant incidents are documented and evaluated.

If an incident affects users or business partners, Grassfeld will notify the relevant parties in accordance with applicable laws and regulations.

Grassfeld maintains a continuously available security team.

Please refer to the Privacy and Cookie Policy for the procedure regarding data breach notifications.

6.2 Responsible Disclosure

Grassfeld encourages security researchers and users to responsibly report potential vulnerabilities.

Reports can be submitted via: security@grassfeld.com

Grassfeld requests reporters to:

• refrain from exploiting the vulnerability;
• refrain from copying, modifying, or deleting user data;
• treat the vulnerability confidentially until it has been resolved;
• provide sufficient information to reproduce the vulnerability.

Grassfeld treats all reports confidentially and will not initiate legal action against reporters acting in good faith and in accordance with the above conditions.

7. Suppliers and Security Partners

7.1 External Parties

Grassfeld collaborates with external suppliers and security partners for parts of its services and infrastructure.

When selecting suppliers, Grassfeld assesses, among other things, security measures, reliability, and compliance with relevant laws and regulations.

Appropriate contractual agreements regarding information security, confidentiality, and data protection are established with suppliers and reviewed periodically.

8. Compliance and Legislation

8.1 Regulatory Compliance

Grassfeld operates in accordance with the requirements of applicable data protection legislation.

Information regarding compliance with legal obligations is included in the Privacy and Cookie Policy.

9. Policy Updates

9.1 Revisions

This policy may be updated to reflect changes in legal, technical, or organizational developments.

Grassfeld advises users to review this policy regularly to stay informed about any changes.