Juridisch & beleid
Beveiliging en naleving
Updated 27.5.2023
At Mapita, we take data protection seriously. We are committed to compliance with legislation and standards governing data security, privacy, and accessibility, both in the European Union and globally. Maptionnaire is developed with the assumption that the service can, and will, be used to collect personal information, including sensitive personal information.
Alle aspecten van Maptionnaire zijn vanaf het begin ontworpen om rekening te houden met dit uitgangspunt en om ervoor te zorgen dat de verzamelde informatie veilig is in alle stadia van de levenscyclus. We gebruiken administratieve, organisatorische, technische en fysieke waarborgen om de persoonlijke gegevens die we verzamelen en verwerken te beschermen. Onze beveiligingscontroles zijn ontworpen om een passend niveau van vertrouwelijkheid, integriteit, beschikbaarheid, veerkracht en herstelmogelijkheid van gegevens te handhaven.
Maptionnaire streeft ernaar een open en toegankelijk engagementplatform te bieden dat beschikbaar is voor een zo breed mogelijk publiek. Maptionnaire voldoet aan het AA-niveau van de Web Content Accessibility Guidelines (WCAG 2.1). Toegankelijkheid is een topprioriteit voor ons en we streven er altijd naar om ervoor te zorgen dat ons platform voldoet aan de hoogste toegankelijkheidsnormen en best practices. We doen dit bijvoorbeeld door ervoor te zorgen dat alle vragenlijstelementen dienovereenkomstig zijn gecodeerd en dat schermlezers en andere ondersteunende technologie respondenten kunnen helpen bij het gebruik van de service.
Our service is ISO 27001 certified, meaning that our information security management systems meet international standards. You can find our certificate here.
De service wordt intern ontwikkeld in Helsinki, Finland.
1. Privacy
Maptionnaire maakt geen gebruik van de responsgegevens die klanten verzamelen met de service Maptionnaire . Responsgegevens worden alleen geraadpleegd op specifiek verzoek van klanten in verband met advieswerk of supporttickets.
Maptionnaire voldoet volledig aan de General Data Protection Regulation (GDPR) van de Europese Unie. We streven er met name naar om het aantal subverwerkers tot een minimum te beperken en ervoor te zorgen dat alleen gevestigde, betrouwbare en GDPR-conforme subverwerkers worden gebruikt.
Maptionnaire is ontworpen om het onze klanten gemakkelijk te maken te voldoen aan de toepasselijke regelgeving voor gegevens. We bieden ingebouwde mechanismen voor toestemmingsbeheer, waaronder de mogelijkheid voor respondenten om hun eigen reacties te bekijken, te wijzigen en te verwijderen uit de service.
Maptionnaire is een webservice die legitieme behoeften heeft voor het monitoren van servicegebruik, fouten en prestaties. We bieden ook integraties met verschillende services van derden. Hieronder wordt gedetailleerd beschreven hoe elk van deze van invloed is op een bezoeker van de service.
Bezoek Maptionnaire
Wanneer je Maptionnaire bezoekt, slaan we je IP-adres en browserinformatie standaard op in onze serverlogboeken. Deze logbestanden zijn alleen beschikbaar voor geautoriseerd Maptionnaire personeel voor het diagnosticeren van serviceproblemen en worden maximaal 12 maanden bewaard.
Maptionnaire maakt gebruik van Matomo Analytics(matomo.org), een op privacy gerichte open source tool voor het verzamelen van gebruiksstatistieken. De verzamelde gegevens worden intern gebruikt door Maptionnaire voor het diagnosticeren van problemen en het verbeteren van de service. Maptionnaire maakt ook specifieke geaggregeerde statistieken zoals het aantal bekeken pagina's beschikbaar voor de klant die de betreffende pagina heeft aangemaakt en er eigenaar van is.
Maptionnaire maakt ook gebruik van een externe service, Sentry(sentry.io), voor het bijhouden van fouten en prestaties. Dit betekent dat als je een probleem ondervindt tijdens het surfen op de service, je IP-adres en browserinformatie door Sentry kunnen worden verwerkt en maximaal 90 dagen kunnen worden bewaard. Sentry is gekozen omdat het een gerenommeerde en betrouwbare serviceprovider is, en Maptionnaire heeft een passende gegevensverwerkingsovereenkomst (Data Processing Agreement, DPA) inclusief de standaardcontractbepalingen (Standard Contractual Clauses, SCC) van de Europese Commissie om de subverwerking en doorgifte van deze gegevens te regelen.
Bezoek Maptionnaire Vragenlijsten met kaarten
Maptionnaire vragenlijsten zijn vaak gebaseerd op kaarten. Dat betekent dat wanneer je een vragenlijst bezoekt, je mogelijk kaarten opvraagt van een derde partij. In dat geval ontvangt de aanbieder van de kaart jouw IP-adres en browserinformatie, evenals informatie over welk deel van de kaart wordt geladen.
Maptionnaire biedt twee externe kaartaanbieders die makers kunnen gebruiken in hun vragenlijsten: MapTiler en Mapbox. Beide bedrijven zijn gevestigde, betrouwbare leveranciers van kaartdiensten. Mapbox is een in de VS gevestigd bedrijf en Maptionnaire heeft een passende DPA inclusief SCC's om de subverwerking en overdracht van deze gegevens te regelen. MapTiler is gevestigd in Zwitserland en legt sterk de nadruk op privacy, inclusief een maximale bewaartijd van 20 minuten voor gegevens die door hen worden verwerkt.
Makers kunnen er ook voor kiezen om andere aanbieders van kaarten te gebruiken in vragenlijsten. In dat geval is het de verantwoordelijkheid van de maker van de vragenlijst om ervoor te zorgen dat er een geschikte DPA is en om bezoekers van de vragenlijst hiervan op de hoogte te stellen.
Youtube en Vimeo
Maptionnaire stelt makers in staat om Youtube- en Vimeo-video's in vragenlijsten en pagina's te embedden. Wanneer je op een pagina komt die zo'n video bevat, worden je IP-adres en browserinformatie verwerkt door het betreffende bedrijf. Maptionnaire gebruikt alleen privacybeschermende "do not track"-versie van de mediaspelers die worden aangeboden door Youtube en Vimeo.
Youtube en Vimeo bieden alleen DPA's voor makers van inhoud op hun platform. Het is dus de verantwoordelijkheid van de maker van de vragenlijst om ervoor te zorgen dat er een geschikte DPA is en om bezoekers van de vragenlijst of pagina hiervan op de hoogte te stellen.
Knoppen voor delen via sociale media
Maptionnaire biedt de mogelijkheid om knoppen voor het delen van sociale media op te nemen in vragenlijsten en pagina's. Maptionnaire zorgt ervoor dat deze knoppen voor delen geen gegevens verzenden, tenzij en totdat de knop wordt ingedrukt door een bezoeker.
Accounts en aanmeldingsproviders
Maptionnaire stelt gebruikers in staat om accounts aan te maken op de service door een werkend e-mailadres en wachtwoord te gebruiken. Als alternatief voor authenticatie op basis van een wachtwoord kunnen gebruikers accounts aanmaken met Facebook en Google als authenticatieproviders. In het laatste geval zorgt Maptionnaire ervoor dat er geen gegevens worden overgedragen aan de authenticatieproviders, tenzij en totdat de betreffende knop "Inloggen met..." wordt ingedrukt door een bezoeker.
Bij gebruik van een authenticatieprovider ontvangt Maptionnaire het e-mailadres dat is gekoppeld aan de provideraccount en een applicatiespecifiek uniek authenticatietoken. We vragen alleen de minimaal mogelijke informatie van de provider en zorgen ervoor dat alleen het e-mailadres en het authenticatietoken worden gebruikt door Maptionnaire.
2. Security
Maptionnaire staat voor het garanderen van de vertrouwelijkheid, integriteit en beschikbaarheid van responsgegevens die door onze klanten worden verzameld. Om dit doel te bereiken, heeft Maptionnaire technische en organisatorische controles geïmplementeerd, in overeenstemming met de ISO27001-norm voor informatiebeveiligingsbeheer. Maptionnaire voert ook regelmatig beveiligingsbeoordelingen en tests uit door geaccrediteerde externe beoordelaars. Hieronder volgt een lijst van enkele van de belangrijkste bestaande controles.
Toepassing
Applicatieservers en databases hebben beveiligde toegangscontroles en draaien recente, beveiligingsondersteunde OS-/databaseversies met automatische beveiligingsupdates ingeschakeld. Maptionnaire gebruikt beveiligingsondersteunde, recente versies van alle software en pakketten die nodig zijn voor het leveren van de service.
De implementatie van applicaties zorgt voor continuïteit door gebruik te maken van versiebeheer, continue implementatie, continue integratie en geautomatiseerd testen voor updates, zonder downtime met fallbacks naar de laatst bekende goede staat. Maptionnaire draait in een fouttolerante, redundante configuratie met geautomatiseerd herstel en servers worden continu bewaakt op prestatieproblemen en afwijkingen van verwacht gedrag.
Netwerk
Alle netwerkverbindingen naar Maptionnaire zijn versleuteld en we behouden actief een A+ rating op SSLLabs' SSL Server Test. Intern werken Maptionnaire servers en databases in redundante Virtual Private Networks (VPN) met strikte toegangscontrole. Met name databaseservers zijn alleen toegankelijk vanuit VPN en administratieve toegang tot applicatieservers is beperkt tot authenticatie op basis van PEM-certificaten vanaf IP-adressen die op een witte lijst staan.
Gegevens
Gegevens worden tijdens de overdracht versleuteld. Applicatieservers en databases maken regelmatig versleutelde back-ups met een dagelijks, wekelijks en maandelijks bewaarbeleid. Deze back-ups worden maximaal 2 jaar bewaard. De Maptionnaire service logt de toegang tot responsgegevens en deze logs zijn beschikbaar voor gebruikers met de juiste toegangsrechten in hun Maptionnaire team.
Maptionnaire streeft ernaar toegang te bieden tot de responsgegevens (voor gebruikers met de juiste toegangsrechten) in een open en standaard formaat.
3. Hosting
Maptionnaire wordt gehost door Amazon Web Services (AWS). AWS is een bekende, betrouwbare en veilige cloudprovider die voldoet aan de eisen van verschillende wereldwijd erkende beveiligingsstandaarden, waaronder ISO27001 en SOC. Lees meer over de beveiliging en compliance van AWS.
De Maptionnaire service wordt uitsluitend ingezet in het datacenter van AWS in Ierland (eu-west-1).
4. Accessibility
Maptionnaire volgt de W3C-standaard voor het ontwikkelen van webservices. Maptionnaire volgt de toegankelijkheidsrichtlijn van de EU en verplicht zich tot het implementeren van niveau AA van de Web Content Accessibility Guidelines (WCAG2.1), ontwikkeld door het W3C.
Uitzonderingen
Achtergrondkaarten en andere webgebaseerde kaartdiensten zijn niet compatibel met ondersteunende technologie. Hierdoor zijn kaartgebaseerde onderdelen van Maptionnaire inherent incompatibel met bepaalde toegankelijkheidshulpmiddelen zoals schermlezers. Dit is een algemeen erkend probleem en daarom worden kaartgebaseerde webdiensten expliciet uitgezonderd in de toegankelijkheidsrichtlijn van de EU en de Finse wet op de levering van digitale diensten.
Toegankelijkheidsniveau
Maptionnaire is bedoeld om de niet-kaartgerelateerde delen van de service toegankelijk te maken, binnen de richtlijnen en normen die hierboven zijn beschreven. In het bijzonder moeten pagina's en elementen van de vragenlijst beschikbaar zijn voor schermlezers en vragenlijsten moeten navigatie via het toetsenbord ondersteunen, inclusief kaarten waar mogelijk. Maptionnaire servicefuncties zijn aanpasbaar en klanten kunnen onbedoeld slecht toegankelijke ontwerpen produceren. Om dit te beperken, zorgen we voor de juiste standaardwaarden en bieden we geschikte kleurenpaletten.
5. Environmental and social responsibility
Mapita zet zich in voor verantwoordelijk zakelijk gedrag en streeft ernaar ethisch goedgekeurde projecten te bevorderen. Wij leggen de nadruk op sociale, economische en ecologische verantwoordelijkheid en op eerlijkheid en transparantie in onze relaties met werknemers, partners, klanten, autoriteiten en andere belangengroepen. Wij zetten ons in om internationaal erkende mensenrechten in al onze activiteiten te respecteren en deze in de praktijk te bevorderen.
Wij zetten ons in om ervoor te zorgen dat moderne slavernij, dwang- en kinderarbeid en mensenhandel geen rol spelen in onze toeleveringsketen of in enig onderdeel van ons bedrijf. Mapita voldoet aan internationale, nationale en lokale wet- en regelgeving en respecteert internationale overeenkomsten met betrekking tot mensenrechten en arbeidsrechten, zoals de Universele Verklaring van de Rechten van de Mens van de Verenigde Naties, en veroordeelt het gebruik van dwang- en kinderarbeid.
Mapita maakt waar mogelijk milieubewuste keuzes. We willen een service leveren die onze klanten ondersteunt bij het bereiken van hun duurzaamheidsdoelen.
- Ons kantoor is papierloos. Overeenkomsten en ander papierwerk worden elektronisch afgehandeld.
- Er wordt rekening gehouden met energiezuinigheid doordat iedereen alleen laptops heeft. Verlichting maakt gebruik van spaarlampen en lampen worden uitgeschakeld als de ruimtes niet worden gebruikt.
- Ons kantoor is zo gevestigd dat iedereen er gemakkelijk met het openbaar vervoer naartoe kan komen. Velen van ons gaan ook op de fiets of lopend naar het werk.
- We gebruiken elektronische middelen om met onze klanten te communiceren, maar als vliegen nodig is, compenseren we de CO2-uitstoot.
- Circulaire economie is altijd onze eerste optie bij het inkopen van meubilair en andere kantoorbenodigdheden.
- We doen ons uiterste best om de productie van elektronisch afval tot een minimum te beperken en streven ernaar om elektronische apparaten van goede kwaliteit aan te schaffen die binnen het bedrijf kunnen worden hergebruikt.
- We serveren alleen vegetarisch eten op onze evenementen en onze koffiekopjes bevatten alleen plantaardige dranken.