Veiligheid bij Yuki

Amazon

Yuki maakt gebruik van de public Web Services Cloud van Amazon. Amazon is de marktleider in cloud-infrastructuur. De servers van Yuki bevinden zich in de datacenters van Amazon Europe. De data staat opgeslagen bij Amazon in Frankfurt & Dublin, en daarom binnen de EU en haar wet- en regelgeving. Hoe Amazon omgaat met de bescherming van Data in Europa, kun je vinden via deze link. Voor informatie over fysieke en operationele beveiliging van Amazon kun je vinden via deze link.

Monitoring beschikbaarheid server & back-ups

Ondanks dat wij ervan uitgaan dat de server Amazon altijd beschikbaar is, zodat wij onze dienstverlening altijd kunnen bieden, monitoren wij de beschikbaarheid van de servers continu. Automatisch worden aanvragen gedaan vanuit verschillende locaties in de wereld, waaropvolgend de responsetijd wordt gemeten. Indien de responsetijd te lang is, zullen daarvoor aangewezen personen binnen de organisatie hiervan direct op de hoogte worden gesteld door middel van een automatisch bericht. Hierop kunnen wij dan zo snel mogelijk handelen. Daarnaast hebben we een uitgebreid back-up beleid, dat zekerheid van behoud van gegevens vergroot. Yuki hanteert een beleid waarbij er drie back-ups worden gemaakt. Deze back-ups vinden plaats op twee verschillende back-up media (de database-server en Amazon S3). Deze back-up media zijn verspreid over verschillende locaties. Door verschillende back-ups te maken borgen we dat continuïteit in het geval van een calamiteit mogelijk is.

Encryptietechnieken

Alle dataverkeer tussen uw PC en de servers van Yuki wordt versleuteld middels de SSL encryptietechniek (1024 bits RSA versleuteling). Dit houdt in dat alle gegevens die over het internet gaan (zoals wachtwoorden en financiele cijfers) beveiligd zijn tegen ‘afluisteren van het dataverkeer op het internet’.

Opleiden medewerkers

Alle medewerkers die starten bij Yuki krijgen op de eerste werkdag een security training. In deze training worden ze op de hoogte gesteld van de do’s en dont’s omtrent de beveiliging en het veilig houden van de gegevens waar men mee in aanraking kan komen. Daarnaast worden de belangrijkste interne procedures die bij Yuki worden gehanteerd, mondeling besproken. Hierdoor zijn we er zeker van dat alle nieuwe medewerkers de procedures minimaal een keer hebben doorgenomen. Uiteraard laten we het niet bij die enkele training op de allereerste werkdag. We houden onze medewerkers op de hoogte van nieuwe ontwikkelingen rondom de beveiliging door interne nieuwsbrieven te versturen. Op deze manier kunnen nieuwe maatregelen door alle medewerkers worden geïmplementeerd en blijven de medewerkers gedurende hun Yuki-carrière goed op de hoogte van alle ontwikkelingen.

Fysieke beveiliging

De fysieke beveiliging van de servers wordt uiteraard verzorgd door Amazon, zie hiervoor het onderdeel over Amazon. Uiteraard bevinden onze medewerkers zelf, alsmede de door ons gebruikte apparatuur in ons eigen kantoorpand. Daarom is het van belang dat ook voor de toegang van ons eigen kantoorpand ook strenge beveiliging is toegepast. Hiervoor hebben wij een interne procedure die ziet op de toegangsbeveiliging, controle en evaluatie van de maatregelen die zijn getroffen.

ISAE 3402-certificering

Bij Yuki zijn we verheugd om aan te kondigen dat we elk jaar de prestigieuze ISAE 3402-certificering behalen, waarmee onze onuitputtende toewijding aan beveiliging, privacy en naleving wordt benadrukt.

ISAE 3402 is een op maat gemaakte certificering die specifiek is ontworpen voor digitale boekhoudplatforms zoals Yuki. Het toont onze toewijding op het gebied van: Betrouwbaarheid, Beveiliging, Continuïteit, Kwaliteit en functionaliteit, Juridische beveiliging en Compliance. Deze uitgebreide certificering omvat alle kritieke aspecten van onze bedrijfsvoering.

Gedurende een grondige auditperiode van 6 maanden worden we onderworpen aan nauwgezet onderzoek, waarbij meer dan 75 controles grondig worden geëvalueerd. Deze uitgebreide beoordeling zorgt ervoor dat ons platform voldoet aan de hoogste branchestandaarden en beste praktijken.

Als onderdeel van de audit onderwerpen we ook onze systemen aan een penetratietest. Deze test simuleert aanvallen van zogenaamde ethische hackers in de echte wereld om de sterkte van onze beveiligingsmaatregelen te beoordelen. Door deze proactieve oefening uit te voeren, versterken we voortdurend onze verdediging en handhaven we een robuuste beveiligingspositie.

Het is belangrijk om op te merken dat de ISAE 3402-certificering wordt uitgevoerd door een onafhankelijke auditor. Deze onpartijdige beoordeling garandeert de geloofwaardigheid en objectiviteit van het certificeringsproces, zodat u gemoedsrust en vertrouwen hebt in de beveiliging van ons platform.

Bij Yuki zijn we enorm trots op het behalen van de ISAE 3402-certificering elk jaar. Het staat symbool voor onze onwankelbare toewijding om uw gegevens te beschermen en de hoogste niveaus van beveiliging, privacy en naleving te waarborgen. U kunt erop vertrouwen dat uw gevoelige informatie te allen tijde beschermd is.

Op rollen gebaseerde toegang

De toegang in Yuki is gebaseerd op verschillende rollen die verschillende mogelijkheden bieden. Het beheer van de toegang, alsmede het kunnen uitsluiten van bepaalde functionaliteiten en mogelijkheden voor bepaalde personen, kunnen ervoor zorgen dat u de Yuki omgeving zo kunt inrichten, dat de juiste mensen toegang hebben tot persoonsgegevens of andere gevoelige data.

Exportmogelijkheden

Yuki biedt veel mogelijkheden om de gegevens, documenten en overzichten te exporteren. Afhankelijk van welke rol je bezit en of je accountant of gebruiker bent kun je gebruik maken van deze exportmogelijkheden.

Sub-verwerker	Dienst	Locatie van verwerking en eventuele toepasselijke waarborgen voor gegevensverwerking
Amazon Web Services	Hosting infrastructuur (ISO 9001, 27001, 27008, 27017 gecertificeerd; SOC 1, SOC 2, SOC 3 compliance)	EU/EEA
Microsoft Azure DevOps	DevOps (ISO/IEC 27001 gecertificeerd, SOC 2 compliance)	EU/EEA
Freshdesk	Support software (ISO 27001 gecertificeerd, SOC 2 compliance)	EU/EEA
Google	Mail en Google apps (ISO 27001 gecertificeerd, SOC1, SOC 2, SOC 3 compliance)	EU/EEA
Appcues	Productontwikkeling, (SOC 2 compliance)	EU/EEA
Flowmailer	Uitgaande mailing vanuit Yuki (ISO 27001 gecertificeerd)	EU/EEA
Spotler	Mailing (ISO 27001 gecertificeerd)	EU/EEA
PRDCT	Customer Data Platform	EU/EEA
ZOHO	CRM platform (ISO 27001 gecertificeerd, SOC1, SOC 2, compliance)	EU/EEA
Medalia Strikedeck	Customer Success Platform (CRM) (ISO 27001 en SOC 2 type II gecertificeerd)	EU/EEA
Visma \| DizzyData	Factuurherkenning	EU/EEA
Mixpanel	Bedrijfsanalyse, data-analyse (ISO 27001 gecertificeerd, SOC1, SOC 2, SOC 3 compliance)	EU/EEA
Bynder	Digital Asset Management (DAM) (ISO 27001:2013 gecertificeerd)	EU/EEA
Slack	Productontwikkeling, berichtgeving (ISO 27001 gecertificeerd, SOC 2, SOC 3 compliance)	EU/EEA
CourseWare Totara	Opleidingsplatform platform (LMS) (ISO 27001 Gecertificeerd)	EU/EEA
FM Telecom 3CX	IT & Telecommunicatie	EU/EEA
InMoment Wootric	pNPS (ISO 27001 en SOC 2 Type II gecertificeerd)	EU/EEA
Snowflake	Data warehousing	EU/EEA
DataBricks	Data analyse en machine-learning	EU/EEA
Sentry	Error tracking, applicatie monitoring	EU/EEA
Twilio SendGrid	Digitale marketing tool, email marketing (ISO 27001 en SOC 2 gecertificeerd)	US: EU-U.S. Privacy Shield and Swiss-U.S. Privacy Shield & EU Model contract clause (SCC)
Productboard	Product roadmaps (ISO 27001 gecertificeerd en SOC 2 compliance)	US: EU-U.S. Privacy Shield and Swiss-U.S. Privacy Shield & EU Model contract clause (SCC) - TIA (Transfer Impact Assessment) uitgevoerd
Visma \| Smartscan	Document herkenning	EU/EEA
Datadog	IT infrastructuur monitoring	EU/EEA
Fivetran	Automatische gegevensverplaatsing	EU/EEA
Hubspot	Customer Relationship Management	EU/EEA
Wingify - VWO	Website testing en analyse	India (Transfer Impact Assessment uitgevoerd)
Visma \| Resolve	AI automatisatie herkenningsproces	EU/EEA
Mindee	Document herkenning API	EU/EEA

Een optionele sub-verwerker is een sub-verwerker die de onze partner of gebruiker op eigen initiatief selecteert en activeert. Indien partner of gebruiker een optionele sub-verwerker gebruikt, wordt een afzonderlijke handelsrelatie tot stand gebracht tussen de partner of gebruiker en de leverancier/verwerker. De partner of gebruiker is zelf verantwoordelijk voor de risico’s van het gebruik van deze optionele sub-verwerkers.
Yuki zal haar uiterste best doen om de optionele sub-verwerkers soortgelijke voorwaarden, verplichtingen en verantwoordelijkheden op te leggen als die gelden voor Yuki zelf.

Yuki controleert niet of en hoe de partner of gebruiker deze optionele sub-verwerker gebruikt.
Een overzicht van alle optionele sub-verwerkers vindt je hier: Yuki integraties

Notice – and takedown procedure

1. Definities

a. Inhoud: de door inhoudsaanbieder aangeboden gegevens, documenten of andere informatie
b. Inhoudsaanbieder: de persoon of instantie die inhoud in Yuki heeft verwerkt in zijn/haar werkomgeving
c. Melding: het door een melder aan Yuki melden van (vermeende) onrechtmatige of strafbare inhoud in de werkomgeving met als doel deze inhoud uit de werkomgeving te laten verwijderen, of het doen van een verzoek hiertoe
d. Melder: de persoon of instantie die melding maakt van
e. Opsporings- en veiligheidsdiensten: een daartoe bij of krachtens de wet aangewezen overheidsdienst die een algemene of bijzondere opsporingsbevoegdheid heeft
f. Werkomgeving: de in Yuki gevoerde administraties, evenals de domeinen waarin deze administraties gevoerd worden
g. Yuki: Yuki Works B.V.

2. Algemene bepalingen

a. Deze procedure ziet toe op de omgang van Yuki met meldingen van, of verzoeken tot het verwijderen van, onrechtmatige en/of strafbare inhoud binnen de werkomgeving.
b. Met behulp van deze procedure wil Yuki bereiken dat een melding altijd wordt afgedaan en dat strafbare en/of onrechtmatige inhoud uit Yuki verwijderd wordt en/of de werkomgeving buiten gebruik gesteld wordt.
c. Yuki kan in het kader van de procedure nadere vragen stellen of in overleg treden met de melder.
d. Yuki kan melder om expliciete vrijwaring verzoeken tegen aanspraken van de inhoudsaanbieder ten gevolge van het nemen van maatregelen ter afhandeling van de melding.
e. Deze procedure is niet van toepassing op formele verzoeken tot verwijdering van gegevens en/of het buiten gebruik stellen van de werkomgeving afkomstig van opsporings- of veiligheidsdiensten.

3. Melding

a. Verzoeken tot het verwijderen van inhoud of het buiten gebruik stellen van de werkomgeving worden alleen in behandeling genomen:

i. Indien deze worden ingediend door een belanghebbende;
ii. met het doel om tegen inhoud dat onmiskenbaar onrechtmatig en/of strafbaar is op te treden;
iii. indien melder en inhoudsaanbieder zelf onderling niet tot een passende oplossing kunnen komen, of inhoudsaanbieder bij melder niet bekend is;
iv. na ontvangst van een volledig ingevuld en van de vereiste bijlagen voorzien formulier.

4. Beoordeling

Na de ontvangst van een verzoek zal Yuki:

a. de ontvangst hiervan bevestigen;
b. controleren of het verzoek aan de formele vereisten voldoet en zo nodig verzoeken dit te herstellen;
c. beoordelen of andere mogelijkheden voldoende zijn uitgeput en zo nodig doorverwijzen;
d. beoordelen of er sprake is van inhoud die onmiskenbaar onrechtmatig en/of strafbaar is en of dit naar haar oordeel het verwijderen of buiten gebruik stellen van de werkomgeving rechtvaardigt;
e. de inhoud verwijderen dan wel de werkomgeving buiten gebruik stellen of het verzoek afwijzen;

5. Maatregelen

Op basis van de uitkomsten van het beoordelingsproces zoals beschreven onder 4, neemt Yuki een van de volgende maatregelen.

a. Indien Yuki van oordeel is dat er geen sprake is van onmiskenbare onrechtmatige en/of strafbare inhoud, stelt Yuki de melder hiervan op de hoogte en motiveert Yuki haar besluit.
b. Indien er volgens Yuki sprake is van onmiskenbare onrechtmatige en/of strafbare inhoud dan zorgt Yuki er voor dat de betreffende inhoud onverwijld verwijderd wordt en/of de werkomgeving buiten gebruik wordt gesteld.
c. Indien niet tot een eenduidig oordeel wordt gekomen of er al dan niet sprake is van onrechtmatige en/of strafbare inhoud, dan stelt Yuki de inhoudsaanbieder op de hoogte van de melding met het verzoek de inhoud te verwijderen of contact op te nemen met de melder. Indien de melder en de inhoudsaanbieder er niet uitkomen, kan de melder overgaan tot het doen van aangifte als hij of zij meent dat het om een strafbaar feit gaat. Gaat het om vermeende onrechtmatige inhoud, dan moet de melder bij voorkeur in staat worden gesteld zijn geschil met de inhoudsaanbieder voor de rechter te brengen. Indien de inhoudsaanbieder zich niet bekend wil maken aan de melder, kan Yuki overgaan tot het verstrekken van NAW-gegevens van de inhoudsaanbieder aan de melder of tot het verwijderen van de betreffende inhoud en/of het buiten gebruik stellen van de werkomgeving.
d. Teneinde te voorkomen dat bij de door Yuki te nemen maatregelen méér inhoud dreigt te worden verwijderd dan waarop de melding betrekking heeft, neemt de Yuki de nodige zorgvuldigheidseisen in acht.

6. Termijnen

a. De gehele procedure als hiervoor beschreven zal door Yuki binnen maximaal 15 werkdagen worden doorlopen.

7. Slotbepalingen

a. Indien een verzoek tot verwijdering van gegevens in strijd is met voor Yuki geldende wettelijke bewaarplichten kan Yuki besluiten de gegevens niet te verwijderen.
b. Indien Yuki besluit gegevens op grond van hetgeen bepaald in artikel 7, onder a van deze procedure, de gegevens niet te verwijderen, kan Yuki besluiten de werkomgeving buiten gebruik te stellen.