Trust Center
NIS2
Xelion en de Cyberbeveiligingswet (Cbw)
Xelion valt onder de categorie ‘belangrijke’ entiteiten. Dit betekent dat de Cyberbeveiligingswet van toepassing is op het product en de dienstverlening van Xelion. Al in 2021 zijn wij gestart met het nemen van maatregelen tegen informatiebeveiligingsrisico's door een ISO 27001-gecertificeerd Information Security Management System (ISMS) te hanteren.
Belangrijke onderdelen van het ISMS zijn het uitvoeren van risicoanalyses, leveranciersbeoordelingen, continue awareness-trainingen, PEN-testing, vulnerability management en het hebben van een volwassen incidentregistratie- en responsproces.
Deze onderdelen vormen ook een groot deel van de fundering van de Cyberbeveiligingswet, waar Xelion al grotendeels aan voldoet. Desalniettemin werken wij er hard aan om ruim voordat de richtlijn wordt omgezet naar wetgeving volledig te voldoen aan de Cyberbeveiligingswet. Heb je als klant, partner of leverancier vragen of opmerkingen? Laat het ons weten zodat we je kunnen helpen of voorzien van meer informatie.
Business Continuity
Voorbereid zijn op alle denkbare risico’s
De continuïteit van onze dienstverlening is van cruciaal belang. Als een klant niet kan bellen of gebeld kan worden door een technisch probleem, heeft dat grote gevolgen. Naast technische risico’s zijn er ook organisatorische risico’s. Of het nu gaat om techniek of strategie, wij hebben de risico’s geïnventariseerd en draaiboeken klaarliggen voor wanneer een van deze risico’s werkelijkheid wordt.
Deze risico’s zijn niet alleen op papier vastgelegd, maar er worden ook simulaties uitgevoerd van denkbare en ondenkbare scenario’s om te bevestigen dat de continuïteit gewaarborgd blijft.
Awareness
Geen veiligheid zonder bewustzijn
Onze awareness-trainingen gaan veel verder dan het simpelweg vergrendelen van je pc, het vermijden van USB-sticks en het gebruik van sterke wachtwoorden mét MFA. Wij ‘hacken’ onszelf regelmatig om aan te tonen welke risico’s er kunnen zijn binnen onze organisatie en producten. Naast voorlichting over mogelijke risico’s maken we gebruik van een e-learningprogramma. Op basis van een gap-analyse weten we precies waar onze kennis voldoende is en waar extra aandacht nodig is.
Dit e-learningprogramma bevat modules die voor elke afdeling interessant zijn. Denk bijvoorbeeld aan het detecteren van vishing en deepfakes voor onze supportafdelingen.
Privacy Statement
Doe wat je zegt, en zeg wat je doet
Xelion verwerkt veel gegevens via verschillende media, zoals onze website, mobiele apps en desktop-apps. In onze privacyverklaring leggen we transparant uit welke gegevens we verwerken en wat het doel van deze verwerking is.
Als er nieuwe functies aan onze producten worden toegevoegd, passen we onze privacyverklaring hierop aan zodat je precies weet welke privacygevoelige gegevens wij verwerken.
Authenticatie
Wij beschermen je kostbare communicatiegegevens
Xelion gebruikt een managementtool waarmee meerdere servers en tenants beheerd kunnen worden. Deze tool biedt toegang tot de omgeving van jouw klant of jouw eigen omgeving. Naast een sterk wachtwoord is tweefactorauthenticatie (2FA) verplicht om in te kunnen loggen op de managementtool. We loggen precies wie, waar en wanneer heeft ingelogd. Voor onze mobiele apps is ook een tweede factor vereist om veilig in te loggen. Daarnaast bieden wij een OpenID-koppeling voor Microsoft Entra ID aan wanneer je 2FA via Microsoft 365 wilt instellen.
Wachtwoordbeleid
Beleid is mooi, maar maatregelen beter
Binnen Xelion geldt een streng wachtwoordbeleid. Alle medewerkers en systemen moeten aan dit beleid voldoen. Ook van onze leveranciers verwachten wij dat zij zich aan ons beleid houden. Een beleid alleen biedt echter geen garanties. Daarom nemen wij technologische maatregelen om te voorkomen dat onveilige wachtwoorden gebruikt kunnen worden.
Bug Bounty Programma
Waardering voor gevonden kwetsbaarheden
Op basis van Responsible Disclosure hebben wij een kleinschalig Bug Bounty-programma. Ethische hackers kunnen kwetsbaarheden bij ons melden. Op basis van kans en impact wordt een passende beloning toegekend.
Certificeringen
NEN-EN-ISO/IEC 27001:2023/A1:2024 en
Xelion heeft een NEN- en ISO 27001-gecertificeerd Information Security Management System (ISMS). In onze Verklaring van Toepasselijkheid geven we aan welke risico’s we mitigeren en met welke maatregelen.
Belangrijke ISMS-processen zijn onder andere:
- Incidentmanagement
- Risicomanagement
- Interne audits
- Assetmanagement
NIS2 Quality Mark
Xelion is momenteel bezig met de implementatie en certificering van het QM20-kader. Dit kwaliteitsmanagementsysteem sluit aan op onze bestaande ISO 27001-structuur en richt zich op continue verbetering van onze processen, risicobeheersing en dienstverlening.
Het doel van deze certificering is om onze kwaliteits- en beveiligingsstandaarden verder te versterken en aan te tonen dat wij voldoen aan de eisen voor governance, risicomanagement en operationele continuïteit zoals gedefinieerd binnen het QM20-raamwerk.
De certificering wordt verwacht in Q1 2026. Zodra het proces is afgerond, publiceren wij de officiële verklaring en auditresultaten in ons Trust Center.
Leveranciersbeoordelingen
Elke belangrijke leverancier waar wij diensten van afnemen wordt periodiek beoordeeld op basis van vastgestelde criteria. Deze leveranciersbeoordelingen richten zich op informatiebeveiliging, beschikbaarheid, continuïteit en naleving van relevante wet- en regelgeving (zoals NIS2 en AVG).
De beoordeling omvat onder andere:
- Controle van certificeringen (bijv. ISO 9001, ISO 27001, Quality Mark etc);
- Evaluatie van incident- en kwetsbaarheidsmanagement;
- Beoordeling van risico’s in de toeleveringsketen;
- Verificatie van contractuele en technische beveiligingsmaatregelen.
Naast deze controles werken wij proactief samen met onze leveranciers aan het verbeteren van wederzijdse informatiebeveiliging, onder meer via periodieke evaluaties en gezamenlijke security-oefeningen. Als een leverancier niet meer voldoet aan onze gestelde eisen, wordt een verbeterplan opgesteld met concrete termijnen. Indien dit onvoldoende resultaat oplevert, beschikken wij over alternatieve leveranciers om de continuïteit van onze dienstverlening te waarborgen.
Door onafhankelijk te zijn van één leverancier en door onze leveranciersrelaties continu te monitoren, bieden wij zekerheid dat onze klanten altijd bereikbaar blijven.
Vulnerability Management
Dagelijkse vulnerability scanning
Wij scannen dagelijks onze belangrijkste assets op vulnerabilities. Zodra kwetsbaarheden worden gevonden, worden wij onmiddellijk geïnformeerd en nemen wij de benodigde maatregelen om risico’s te beperken.
Phishing Simulaties
Herkennen van nep e-mails
Phishing blijft een belangrijke oorzaak van datalekken. Ondanks maatregelen zoals detectie en signalering blijft phishing een uitdaging voor elke organisatie. Daarom voeren wij regelmatig phishing-simulaties uit om medewerkers bewust te maken van de gevaren.
Secret Share
Versleutelde informatieoverdracht
Het verzenden van gevoelige informatie, zoals toegangsgegevens, mag nooit onversleuteld gebeuren. Voor dergelijke gegevens gebruiken wij onze Secret Share-tool, waarbij gegevens een houdbaarheid hebben tussen 5 minuten en 1 week. Na eenmalig lezen kunnen de gegevens vernietigd worden en zijn ze met een extra wachtwoord te beveiligen. Onze Secret Share-tool is ook beschikbaar voor externe gebruikers via secretshare.xelion.com.
PEN Testing
Digitaal inbreken voor gevorderden
Regelmatig voeren wij PEN-tests uit om kwetsbaarheden in producten of diensten te identificeren. Deze testen bevestigen onze security-by-default en privacy-by-default methodiek. We moedigen klanten en partners aan om zelf ook PEN-tests uit te voeren. Dit moet echter in overleg gebeuren zodat wij kunnen faciliteren waar nodig.
AVG / GDPR
General Data Protection Regulation
Xelion houdt zich strikt aan de AVG. Wij bieden transparante informatie over gegevensverwerking, de grondslag daarvoor en voldoen aan de rechten van betrokkenen. Wij nemen technische en organisatorische maatregelen om risico’s te beperken, zoals risicoanalyses en privacytrainingen voor onze medewerkers.
Subverwerkers
Xelion maakt gebruik van zorgvuldig geselecteerde subverwerkers om haar diensten te leveren. Met iedere subverwerker is een verwerkersovereenkomst afgesloten die voldoet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Zoals beschreven in de verwerkersovereenkomst die Xelion met haar resellers sluit, worden subverwerkers ingezet ter ondersteuning van de dienstverlening. Er worden twee categorieën onderscheiden:
Standaard subverwerkers
Partijen die onderdeel uitmaken van de kern van de Xelion-oplossing.
| Naam subverwerker | Locatie | Doel van verwerking | Verwerkersovereenkomst |
|---|---|---|---|
| CM.com | Nederland | Hosting en opslag van applicatiegegevens | Ja |
| ReadSpeaker | Nederland | Genereren van Tekst-to-Speech audio | Ja |
| Bumicom | Nederland | Transcriptie en audioanalyse | Ja |
Optionele subverwerkers
Partijen die worden gebruikt voor aanvullende optionele functionaliteiten, add-ons of uitbreidingen.
| Naam subverwerker | Locatie | Doel van verwerking | Verwerkersovereenkomst |
|---|---|---|---|
| Plainwise | Nederland | Integratie met software voor wachtrijoptimalisatie | Ja |
| Microspace | Nederland | Integratie met een platform voor moderne klantcommunicatie | Ja |
Eisen aan subverwerkers
Xelion hanteert duidelijke eisen bij de selectie en inzet van subverwerkers. Deze eisen zijn afgestemd op de Algemene Verordening Gegevensbescherming (AVG) en op de beveiligingsstandaarden die gelden voor onze dienstverlening, waaronder relevante ISO-normeringen.
Concreet betekent dit dat:
- Met iedere subverwerker een verwerkersovereenkomst wordt gesloten
- Subverwerkers passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen
- Subverwerkers uitsluitend handelen in opdracht en ten behoeve van Xelion en haar klanten
- Subverwerkers periodiek worden geëvalueerd op naleving van privacy- en beveiligingsafspraken
Security Officer
Voor het melden van incidenten hebben zijn wij 24/7 bereikbaar via de informatie in onze security.txt file.
Heb je vragen of opmerkingen over onze technologische maatregelen, privacy of andere security-gerelateerde onderwerpen? Neem gerust contact met ons op!
E-mail: securityofficer@xelion.com
Telefoon / WhatsApp: +31 152 511 411