Trust Center
NIS2
Xelion en de Cyberbeveiligingswet (Cbw)
Xelion valt onder de categorie ‘belangrijke’ entiteiten. Dit betekent dat de Cyberbeveiligingswet van toepassing is op het product en de dienstverlening van Xelion. Al in 2021 zijn wij gestart met het nemen van maatregelen tegen informatiebeveiligingsrisico's door een ISO 27001-gecertificeerd Information Security Management System (ISMS) te hanteren.
Belangrijke onderdelen van het ISMS zijn het uitvoeren van risicoanalyses, leveranciersbeoordelingen, continue awareness-trainingen, PEN-testing, vulnerability management en het hebben van een volwassen incidentregistratie- en responsproces.
Deze onderdelen vormen ook een groot deel van de fundering van de Cyberbeveiligingswet, waar Xelion al grotendeels aan voldoet. Desalniettemin werken wij er hard aan om ruim voordat de richtlijn wordt omgezet naar wetgeving volledig te voldoen aan de Cyberbeveiligingswet. Heb je als klant, partner of leverancier vragen of opmerkingen? Laat het ons weten zodat we je kunnen helpen of voorzien van meer informatie.
NCSC registratie
Xelion is opgenomen in het NIS2-entiteitenregister van het Nationaal Cyber Security Centrum (NCSC) als belangrijke entiteit.
NIS2 Supply Chain
Om aan te tonen dat wij voldoen aan de Cbw werken wij aan het behalen van de NIS2-SC20 Substantial-certificering.
Business Continuity
Voorbereid zijn op alle denkbare risico’s
De continuïteit van onze dienstverlening is van cruciaal belang. Als een klant niet kan bellen of gebeld kan worden door een technisch probleem, heeft dat grote gevolgen. Naast technische risico’s zijn er ook organisatorische risico’s. Of het nu gaat om techniek of strategie, wij hebben de risico’s geïnventariseerd en draaiboeken klaarliggen voor wanneer een van deze risico’s werkelijkheid wordt.
Deze risico’s zijn niet alleen op papier vastgelegd, maar er worden ook simulaties uitgevoerd van denkbare en ondenkbare scenario’s om te bevestigen dat de continuïteit gewaarborgd blijft.
Awareness
Geen veiligheid zonder bewustzijn
Onze awareness-trainingen gaan veel verder dan het simpelweg vergrendelen van je pc, het vermijden van USB-sticks en het gebruik van sterke wachtwoorden mét MFA. Wij ‘hacken’ onszelf regelmatig om aan te tonen welke risico’s er kunnen zijn binnen onze organisatie en producten. Naast voorlichting over mogelijke risico’s maken we gebruik van een e-learningprogramma. Op basis van een gap-analyse weten we precies waar onze kennis voldoende is en waar extra aandacht nodig is.
Dit e-learningprogramma bevat modules die voor elke afdeling interessant zijn. Denk bijvoorbeeld aan het detecteren van vishing en deepfakes voor onze supportafdelingen.
Privacy Statement
Doe wat je zegt, en zeg wat je doet
Xelion verwerkt veel gegevens via verschillende media, zoals onze website, mobiele apps en desktop-apps. In onze privacyverklaring leggen we transparant uit welke gegevens we verwerken en wat het doel van deze verwerking is.
Als er nieuwe functies aan onze producten worden toegevoegd, passen we onze privacyverklaring hierop aan zodat je precies weet welke privacygevoelige gegevens wij verwerken.
Gebruik van onze software
Naast onze privacyverklaring zijn ook de gebruiksvoorwaarden van toepassing wanneer je gebruikmaakt van de Xelion-software en bijbehorende diensten. Hierin staat onder andere beschreven onder welke voorwaarden onze software gebruikt mag worden en welke rechten en verantwoordelijkheden voor gebruikers gelden.
De volledige gebruiksvoorwaarden en licentievoorwaarden zijn opgenomen in de Xelion End User License Agreement (EULA), waarin het gebruik van onze software en diensten nader wordt toegelicht.
Authenticatie
Wij beschermen je kostbare communicatiegegevens
Xelion gebruikt een managementtool waarmee meerdere servers en tenants beheerd kunnen worden. Deze tool biedt toegang tot de omgeving van jouw klant of jouw eigen omgeving. Naast een sterk wachtwoord is tweefactorauthenticatie (2FA) verplicht om in te kunnen loggen op de managementtool. We loggen precies wie, waar en wanneer heeft ingelogd. Voor onze mobiele apps is ook een tweede factor vereist om veilig in te loggen. Daarnaast bieden wij een OpenID-koppeling voor Microsoft Entra ID aan wanneer je 2FA via Microsoft 365 wilt instellen.
Wachtwoordbeleid
Beleid is mooi, maar maatregelen beter
Binnen Xelion geldt een streng wachtwoordbeleid. Alle medewerkers en systemen moeten aan dit beleid voldoen. Ook van onze leveranciers verwachten wij dat zij zich aan ons beleid houden. Een beleid alleen biedt echter geen garanties. Daarom nemen wij technologische maatregelen om te voorkomen dat onveilige wachtwoorden gebruikt kunnen worden.
Bug Bounty Programma
Waardering voor gevonden kwetsbaarheden
Op basis van Responsible Disclosure hebben wij een kleinschalig Bug Bounty-programma. Ethische hackers kunnen kwetsbaarheden bij ons melden. Op basis van kans en impact wordt een passende beloning toegekend.
Certificeringen
NEN-EN-ISO/IEC 27001:2023/A1:2024 en
Xelion heeft een NEN- en ISO 27001-gecertificeerd Information Security Management System (ISMS). In onze Verklaring van Toepasselijkheid geven we aan welke risico’s we mitigeren en met welke maatregelen.
Belangrijke ISMS-processen zijn onder andere:
- Incidentmanagement
- Risicomanagement
- Interne audits
- Assetmanagement
NIS2 Quality Mark
Xelion is momenteel bezig met de implementatie en certificering van het QM20-kader. Dit kwaliteitsmanagementsysteem sluit aan op onze bestaande ISO 27001-structuur en richt zich op continue verbetering van onze processen, risicobeheersing en dienstverlening.
Het doel van deze certificering is om onze kwaliteits- en beveiligingsstandaarden verder te versterken en aan te tonen dat wij voldoen aan de eisen voor governance, risicomanagement en operationele continuïteit zoals gedefinieerd binnen het QM20-raamwerk.
De certificering wordt verwacht in Q1 2026. Zodra het proces is afgerond, publiceren wij de officiële verklaring en auditresultaten in ons Trust Center.
Leveranciersbeoordelingen
Elke belangrijke leverancier waar wij diensten van afnemen wordt periodiek beoordeeld op basis van vastgestelde criteria. Deze leveranciersbeoordelingen richten zich op informatiebeveiliging, beschikbaarheid, continuïteit en naleving van relevante wet- en regelgeving (zoals NIS2 en AVG).
De beoordeling omvat onder andere:
- Controle van certificeringen (bijv. ISO 9001, ISO 27001, Quality Mark etc);
- Evaluatie van incident- en kwetsbaarheidsmanagement;
- Beoordeling van risico’s in de toeleveringsketen;
- Verificatie van contractuele en technische beveiligingsmaatregelen.
Naast deze controles werken wij proactief samen met onze leveranciers aan het verbeteren van wederzijdse informatiebeveiliging, onder meer via periodieke evaluaties en gezamenlijke security-oefeningen. Als een leverancier niet meer voldoet aan onze gestelde eisen, wordt een verbeterplan opgesteld met concrete termijnen. Indien dit onvoldoende resultaat oplevert, beschikken wij over alternatieve leveranciers om de continuïteit van onze dienstverlening te waarborgen.
Door onafhankelijk te zijn van één leverancier en door onze leveranciersrelaties continu te monitoren, bieden wij zekerheid dat onze klanten altijd bereikbaar blijven.
Vulnerability Management
Dagelijkse vulnerability scanning
Wij scannen dagelijks onze belangrijkste assets op vulnerabilities. Zodra kwetsbaarheden worden gevonden, worden wij onmiddellijk geïnformeerd en nemen wij de benodigde maatregelen om risico’s te beperken.
Phishing Simulaties
Herkennen van nep e-mails
Phishing blijft een belangrijke oorzaak van datalekken. Ondanks maatregelen zoals detectie en signalering blijft phishing een uitdaging voor elke organisatie. Daarom voeren wij regelmatig phishing-simulaties uit om medewerkers bewust te maken van de gevaren.
Secret Share
Versleutelde informatieoverdracht
Het verzenden van gevoelige informatie, zoals toegangsgegevens, mag nooit onversleuteld gebeuren. Voor dergelijke gegevens gebruiken wij onze Secret Share-tool, waarbij gegevens een houdbaarheid hebben tussen 5 minuten en 1 week. Na eenmalig lezen kunnen de gegevens vernietigd worden en zijn ze met een extra wachtwoord te beveiligen. Onze Secret Share-tool is ook beschikbaar voor externe gebruikers via secretshare.xelion.com.
PEN Testing
Digitaal inbreken voor gevorderden
Regelmatig voeren wij PEN-tests uit om kwetsbaarheden in producten of diensten te identificeren. Deze testen bevestigen onze security-by-default en privacy-by-default methodiek. We moedigen klanten en partners aan om zelf ook PEN-tests uit te voeren. Dit moet echter in overleg gebeuren zodat wij kunnen faciliteren waar nodig.
AVG / GDPR
General Data Protection Regulation
Xelion houdt zich strikt aan de AVG. Wij bieden transparante informatie over gegevensverwerking, de grondslag daarvoor en voldoen aan de rechten van betrokkenen. Wij nemen technische en organisatorische maatregelen om risico’s te beperken, zoals risicoanalyses en privacytrainingen voor onze medewerkers.
AI en gegevensverwerking
Binnen het Xelion platform kunnen optionele functionaliteiten worden gebruikt die werken met kunstmatige intelligentie (AI). Deze functionaliteiten worden uitsluitend uitgevoerd in opdracht van de reseller en binnen de afspraken uit de geldende verwerkersovereenkomst.
Toepassing van AI binnen Xelion
AI wordt ingezet om communicatie te analyseren en inzichtelijk te maken. Dit omvat onder meer:
Transcriptie
Gespreksopnames worden via verwerker Bumicom omgezet naar tekst. De verwerking vindt plaats op basis van de gespreksopname. Na verwerking wordt de transcriptie opgeslagen binnen de Xelion-omgeving.
Analyse van transcripties
Transcripties kunnen via Ipster geautomatiseerd worden geanalyseerd. De analyse vindt plaats volgens een vaste methodiek waarbij iedere transcriptie op identieke wijze wordt verwerkt, beoordeeld en gestructureerd op basis van uniforme criteria en vaste analysecategorieën. Het proces is niet afhankelijk van individuele interpretatie per gesprek of per gebruiker. De analyse is daarnaast geanonimiseerd van aard en wordt ingezet om gespreksinhoud te structureren en inzichtelijk te maken.
AI-Assistenten
AI-assistenten kunnen gesprekken voeren via SIP wanneer zij worden geconfigureerd als gebruiker. Hierbij wordt onder andere het telefoonnummer van de beller verwerkt om de interactie mogelijk te maken.
Alle genoemde verwerkingen vinden plaats binnen Nederland.
Welke gegevens worden verwerkt?
Afhankelijk van de geactiveerde functionaliteit kunnen de volgende gegevens worden verwerkt:
- Audio-opnames
- Gespreksmetadata
- Transcripties
- Telefoonnummers van bellers
- Configuratie en tekstuele instructies in de portal
Er worden geen aanvullende persoonsgegevens verwerkt buiten de functionaliteit die door de reseller is ingeschakeld.
Gebruik van gegevens voor training
Persoonsgegevens die via het Xelion platform worden verwerkt, worden niet gebruikt om algemene AI-modellen van Xelion of derden te trainen of te verbeteren, tenzij dit expliciet en schriftelijk is overeengekomen.
Indien gebruik wordt gemaakt van AI-technologie van een derde partij, is contractueel vastgelegd dat gegevens uitsluitend worden gebruikt voor het leveren van de overeengekomen dienst.
Bewaartermijnen
AI output, waaronder transcripties en analysegegevens, wordt opgeslagen binnen de Xelion omgeving. De bewaartermijn is momenteel vastgesteld op één jaar. In een toekomstige release wordt deze termijn configureerbaar gemaakt. Xelion hanteert voor AI verwerkingen geen afwijkende of aanvullende bewaartermijnen.
Geautomatiseerde besluitvorming
De AI-functionaliteiten binnen Xelion zijn ondersteunend van aard. Er worden geen volledig geautomatiseerde beslissingen genomen met rechtsgevolgen of vergelijkbare significante gevolgen voor betrokkenen zonder menselijke tussenkomst.
Beveiliging
AI-verwerkingen vallen onder dezelfde technische en organisatorische beveiligingsmaatregelen als de rest van het platform. Dit omvat onder meer versleuteling van data tijdens transport, toegangscontrole, logging en monitoring.
Internationale doorgifte
AI-verwerking vindt plaats binnen Nederland. Indien in de toekomst gebruik wordt gemaakt van subverwerkers buiten de Europese Economische Ruimte, wordt dit vermeld in het overzicht van subverwerkers en worden passende waarborgen toegepast conform de AVG.
Gegevensscheiding
Gegevens worden niet gedeeld tussen klanten. Verwerking vindt plaats binnen de afgeschermde omgeving van de betreffende reseller of eindklant.
Verantwoordelijkheid
De reseller blijft als verwerkingsverantwoordelijke verantwoordelijk voor het informeren van betrokkenen over het gebruik van AI binnen zijn dienstverlening. Xelion verstrekt op verzoek aanvullende informatie om resellers te ondersteunen bij hun transparantieverplichtingen.
Subverwerkers
Xelion maakt gebruik van zorgvuldig geselecteerde subverwerkers om haar diensten te leveren. Met iedere subverwerker is een verwerkersovereenkomst afgesloten die voldoet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Zoals beschreven in de verwerkersovereenkomst die Xelion met haar resellers sluit, worden subverwerkers ingezet ter ondersteuning van de dienstverlening. Er worden twee categorieën onderscheiden:
Standaard subverwerkers
Partijen die onderdeel uitmaken van de kern van de Xelion-oplossing.
| Naam subverwerker | Locatie | Doel van verwerking | Verwerkersovereenkomst |
|---|---|---|---|
| CM.com | Nederland | Hosting en opslag van applicatiegegevens | Ja |
| ReadSpeaker | Nederland | Genereren van Text-to-Speech audio | Ja |
| Bumicom | Nederland | Transcriptie en audioanalyse | Ja |
Optionele subverwerkers
Partijen die worden gebruikt voor aanvullende optionele functionaliteiten, add-ons of uitbreidingen.
| Naam subverwerker | Locatie | Doel van verwerking | Verwerkersovereenkomst |
|---|---|---|---|
| Plainwise | Nederland | Integratie met software voor wachtrij-optimalisatie | Ja |
| Microspace | Nederland | Integratie met een platform voor moderne klantcommunicatie | Ja |
| Ipster | Nederland | Voicebots en gespreksanalyse | Ja |
| Kollie | Nederland | Voicebots | Ja |
Eisen aan subverwerkers
Xelion hanteert duidelijke eisen bij de selectie en inzet van subverwerkers. Deze eisen zijn afgestemd op de Algemene Verordening Gegevensbescherming (AVG) en op de beveiligingsstandaarden die gelden voor onze dienstverlening, waaronder relevante ISO-normeringen.
Concreet betekent dit dat:
- Met iedere subverwerker een verwerkersovereenkomst wordt gesloten
- Subverwerkers passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen
- Subverwerkers uitsluitend handelen in opdracht en ten behoeve van Xelion en haar klanten
- Subverwerkers periodiek worden geëvalueerd op naleving van privacy- en beveiligingsafspraken
Security Officer
Voor het melden van incidenten hebben zijn wij 24/7 bereikbaar via de informatie in onze security.txt file.
Heb je vragen of opmerkingen over onze technologische maatregelen, privacy of andere security-gerelateerde onderwerpen? Neem gerust contact met ons op!
E-mail: securityofficer@xelion.com
Telefoon / WhatsApp: +31 152 511 411