Technische en Organisatorische Maatregelen

Laatst bijgewerkt: Februari 2026

Introductie

Escrow4all B.V. (“Escrow4all”) implementeert uitgebreide technische en organisatorische maatregelen (“TOMs”) die het niveau van zorgvuldigheid, professionaliteit en informatiebeveiliging weerspiegelen dat redelijkerwijs mag worden verwacht van een professionele escrow dienstverlener die opereert in een omgeving waarin vertrouwen cruciaal is.

Deze maatregelen zijn gebaseerd op gevestigde praktijken op het gebied van informatiebeveiliging, risicomanagement en operationele beheersmaatregelen. Deze zijn afgestemd op erkende internationale normen, waaronder ISO/IEC 27001:2022 en ISO/IEC 27002:2022. Zij zijn ontworpen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen en gegevens te waarborgen, rekening houdend met het gevoelige karakter van escrow diensten en de verwerking van financiële, contractuele en persoonsgegevens.

De TOMs van Escrow4all omvatten governance, organisatorische beheersmaatregelen, personeelsbeveiliging, fysieke en technische waarborgen, incidentmanagement, bedrijfscontinuïteit en toezicht op leveranciers. Naleving van toepasselijke eisen inzake gegevensbescherming, waaronder artikel 32 van de AVG, is een integraal resultaat van deze maatregelen. De maatregelen worden doorlopend beoordeeld en verbeterd naar aanleiding van veranderende risico’s, technologische ontwikkelingen en regulatorische verwachtingen.

Dit document beschrijft de belangrijkste aspecten zoals deze zijn gedefinieerd in onze ISO 27001 Verklaring van Toepasselijkheid en is bedoeld om een overzicht op hoofdlijnen van de beveiligingsmaatregelen te geven. Voor een gedetailleerd inzicht is de Verklaring van Toepasselijkheid op verzoek beschikbaar.

1. Governance, beleid en risicomanagement

(ISO/IEC 27002:2022 – A.5 Organisatorische beheersmaatregelen)

a. Escrow4all hanteert formeel goedgekeurde beleidsregels voor informatiebeveiliging en onderwerp specifieke beleidsregels, die met geplande tussenpozen en bij materiële wijzigingen worden beoordeeld.

b. Rollen, verantwoordelijkheden en functiescheiding met betrekking tot informatiebeveiliging zijn duidelijk gedefinieerd en worden gehandhaafd.

c. Wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en gegevensbescherming worden geïdentificeerd, gedocumenteerd en actueel gehouden.

d. Informatiebeveiliging is geïntegreerd in projectmanagement, leveranciersmanagement, het gebruik van clouddiensten en de eigen portaalservices van Escrow4all.

e. Risicoanalyses en het verzamelen en analyseren van informatie over dreigingen worden uitgevoerd om risico’s voor informatiebeveiliging te identificeren, te beoordelen en te mitigeren.

2. Vertrouwelijkheid van gegevens

(ISO/IEC 27002:2022 – A.5, A.6, A.8)

a. Toegang tot gegevens wordt beperkt via op rollen gebaseerde toegangscontrole en het least privilege-principe van minimale bevoegdheden.

b. Tier 1-gegevens, die betrekking hebbend op het door cliënten voor escrow doeleinden in depot gegeven materiaal, kunnen uitsluitend door verificatieconsultants worden geraadpleegd teneinde de vereiste en contractueel gespecificeerde verificaties uit te voeren. De verificatiemanager is uitsluitend bevoegd het materiaal over te dragen in geval van een geautoriseerde afgiftegrond en slechts na overleg met de raad van bestuur van Escrow4all.

c. Identiteiten en toegangsrechten worden gedurende de volledige levenscyclus van gebruikers beheerd, waaronder toekenning, periodieke beoordeling en tijdige intrekking.

d. Beveiligde authenticatiemechanismen, waaronder multi-factor authenticatie (MFA) voor geprivilegieerde toegang, worden afgedwongen.

e. Personeel, leveranciers en andere zakelijke partners die essentieel zijn voor de dienstverlening van Escrow4all zijn gebonden aan vertrouwelijkheids- en geheimhoudingsverplichtingen.

f. Passende beveiligingsmaatregelen worden toegepast op regelingen voor werken op afstand.

3 – Integriteit van systemen en gegevens

(ISO/IEC 27002:2022 – A.8 Technologische beheersmaatregelen)

a. Wijzigingen aan de systemen en toepassingen van Escrow4all zijn onderworpen aan gedocumenteerde procedures voor wijzigingsbeheer.

b. Logging- en monitoringsmechanismen registreren toegang, wijzigingen en beveiligingsrelevante gebeurtenissen.

c. Praktijken voor een veilige ontwikkelcyclus, waaronder veilig coderen en beveiligingstesten, worden toegepast.

d. Configuratiebeheer waarborgt dat veilige basisconfiguraties voor systemen worden vastgesteld, onderhouden en beoordeeld.

e. Escrow4all stelt een online portaal ter beschikking waarmee partijen hun relevante documentatie kunnen raadplegen.

Partijen hebben, naast andere documentatie, toegang tot overeenkomsten, een overzicht van het in depot geplaatste materiaal en verificatierapporten.
Op rollen gebaseerde toegang omvat onder meer een overzicht van begunstigden en een registratieformulier.
Het portaal bevat uitsluitend metadata van het materiaal (bijv. naam en versie) en nooit het materiaal zelf.

4 – Beschikbaarheid en veerkracht

(ISO/IEC 27002:2022 – A.5.29–A.5.30, A.8.13–A.8.14)

a. Back-ups van systemen en gegevens – fysiek en/of digitaal (waar passend) – worden periodiek gemaakt, veilig opgeslagen en periodiek getest.

b. Interne beheersmaatregelen voor redundantie en capaciteitsbeheer worden geïmplementeerd ter ondersteuning van de beschikbaarheid van de dienstverlening. Externe redundantiemaatregelen worden ingericht via derden in het kader van de door hen geleverde diensten.

c. Plannen voor bedrijfscontinuïteit en ICT-gereedheid worden gedocumenteerd, onderhouden en getest.

d. Er zijn maatregelen getroffen om informatiebeveiliging tijdens verstoringen te waarborgen.

5 – Encryptie en het gebruik van cryptografie

(ISO/IEC 27002:2022 – A.8.24)

a. Gegevens worden tijdens overdracht beschermd door middel van beveiligde communicatieprotocollen.

b. Encryptie van gegevens in rust wordt, waar passend, toegepast op opslagsystemen en back-upmedia.

c. Procedures voor het beheer van cryptografische sleutels worden vastgesteld en geïmplementeerd.

6 – Incidentmanagement en respons op datalekken

(ISO/IEC 27002:2022 – A.5.24–A.5.28)

a. Escrow4all hanteert gedocumenteerde procedures voor het detecteren, beoordelen, afhandelen en herstellen van informatiebeveiligingsincidenten.

b. Beveiligingsincidenten worden gelogd, onderzocht en zonder onnodige vertraging verholpen.

c. Lessen die uit incidenten worden getrokken, worden gebruikt om beveiligingsmaatregelen te versterken en te verbeteren.

d. Er wordt onderscheid gemaakt tussen verlies van gegevens, in welk geval de gegevens onherstelbaar zijn en door geen enkele partij kunnen worden misbruikt (bijvoorbeeld), en datalekken, waarbij personen ongeautoriseerde toegang tot gegevens kunnen verkrijgen.

In geval van verlies van gegevens wordt dit door Escrow4all hersteld aan de hand van een back-up, tenzij de periode tussen deponering en het verlies van de gegevens te kort was en er geen back-up is gemaakt.
In geval van een datalek waarbij persoonsgegevens zijn betrokken, worden de richtsnoeren van de AVG gevolgd. Voor alle overige datalekken overlegt Escrow4all met alle betrokken partijen.

7 – Fysieke en omgevingsbeveiliging

(ISO/IEC 27002:2022 – A.7 Fysieke beheersmaatregelen)

a. Fysieke beveiligingsperimeters en toegangsbeveiliging beschermen kantoren, faciliteiten en infrastructuur.

b. Fysieke opslagkluizen bevinden zich op meerdere geografisch gescheiden locaties (met een onderlinge afstand van ten minste 15 km).

c. Hostingomgevingen, waaronder datacenters van derden, passen monitoring van fysieke toegang en omgevingsbeveiligingsmaatregelen toe.

d. Procedures voor veilige verwijdering en hergebruik worden toegepast op apparatuur en opslagmedia.

8 – Personeelsbeveiliging en bewustwording

(ISO/IEC 27002:2022 – A.6 Mensgerichte beheersmaatregelen)

a. Achtergrondscreening wordt uitgevoerd overeenkomstig toepasselijke wet- en regelgeving en functie-eisen.

b. Verantwoordelijkheden op het gebied van informatiebeveiliging worden opgenomen in arbeids- en opdrachtovereenkomsten.

c. Er wordt regelmatig training op het gebied van informatiebeveiliging en gegevensbescherming verzorgd.

9 – Leveranciers- en verwerkersmanagement

(ISO/IEC 27002:2022 – A.5.19–A.5.23)

a. Informatiebeveiligingseisen worden contractueel vastgelegd aan leveranciers en verwerkers.

b. Beveiligingspraktijken van leveranciers worden voorafgaand aan de samenwerking beoordeeld en daarna doorlopend geëvalueerd.

c. Clouddiensten worden beheerst door vastgestelde procedures voor aanschaf, beheer en beëindiging (exit).

d. Escrow4all maakt voor de levering van de escrow diensten gebruik van hostingproviders. Dit zijn TransIP, AWS en Microsoft.

10 – Dataminimalisatie, bewaartermijnen en verwijdering

(ISO/IEC 27002:2022 – A.5.34, A.8.10)

a. Gegevens worden uitsluitend verwerkt voor zover dit noodzakelijk is voor de vastgestelde en contractueel overeengekomen doeleinden.

b. De bewaartermijn volgt uit de overeenkomst; in bepaalde gevallen worden administratieve gegevens voor een langere periode bewaard. Het periodiek opschonen van het in depot gegeven materiaal vindt plaats (ten minste eenmaal per kwartaal) en geschiedt na beëindiging van de overeenkomst voor de betreffende gegevens.

c. Wanneer gegevens niet langer vereist zijn, worden procedures voor veilige verwijdering toegepast.

Verklaring van zekerheid

Escrow4all bevestigt dat de bovenstaande technische en organisatorische maatregelen zijn geïmplementeerd, worden onderhouden en regelmatig worden beoordeeld overeenkomstig ISO/IEC 27001:2022 en de Verklaring van Toepasselijkheid van Escrow4all, en het niveau van informatiebeveiliging en operationele beheersmaatregelen weerspiegelen dat passend is voor een professionele escrow dienstverlener.

Contact

Meer weten?

Over digital escrow oplossingen?
Of heb je een andere vraag?
Neem dan met ons contact op.

Meer informatie