De CyberSafe Check

De CyberSafe Check

Ontdek in 15 minuten hoe CyberSafe jouw bedrijf is, welke risico's je mogelijk loopt en welke maatregelen je kunt nemen.
Jouw bedrijf
Hoeveel medewerkers heeft je bedrijf?*
In welke sector is je bedrijf actief?*

Je informatieregister
Heb je een actueel overzicht: van de verschillende systemen en programma's die je gebruikt om informatie te verwerken en op te slaan, en welke informatie je in die systemen voor welk doel verwerkt?*
Beoordeel je regelmatig opnieuw de risico's voor je bedrijf die bij het gebruik van deze systemen en programma's komen kijken?*

Toegang tot informatie
Gebruiken je medewerkers eigen accounts voor deze systemen en programma's? (Dus geen accounts die je met meerdere medewerkers deelt)*
Hebben medewerkers alleen de toegang en functionaliteiten/rechten die ze nodig hebben om hun werk uit te voeren?*
Is er een vast proces voor het verwijderen van de toegang tot informatie en systemen van medewerkers die uit dienst gaan?*
Heb je 2-factor authentificatie verplicht ingesteld voor de belangrijkste programma's en gegevens?*

Backups
Worden er regelmatig backups gemaakt van de belangrijkste bedrijfsgegevens?*
Wordt het backup-proces ook getest door eens in de zoveel tijd te kijken of het terugzetten van een backup goed werkt?*
Wordt er regelmatig een backup gemaakt van de netwerkconfiguratie van het lokale netwerk (indien aanwezig)*

Apparaat beveiliging
Is er een actueel overzicht van welke apparaten er in gebruik zijn in het bedrijf?*
Is er, op alle apparaten waar dat kan, antivirus software geinstalleerd?*
Staan 'automatische updates' aan op alle apparaten?*
Is encryptie ingeschakeld op alle mobiele apparaten?*
Zijn 'macro's standaard uitgeschakeld bij office applicaties?*

Noodplannen
Heb je een uitgeprinte 'bellijst' met mensen of bedrijven die je moet bellen in het geval van een cyberincident? (Denk aan: IT-leveranciers, SaaS-leveranciers, verzekering, verantwoordelijken binnen het bedrijf.)*
Heb je een (uitgeprint) plan waarin beschreven wat je moet doen wanneer systemen met belangrijke gegevens worden geraakt door een incident? *
Heb je een (uitgeprint) plan waarin beschreven staat hoe je het bedrijf draaiend houdt, of zo snel mogelijk weer draaiend krijgt, in het geval van een incident of ramp?*

AVG
Heb je een Privacy Verklaring en is die terug te vinden op je website? *
Houdt je een verwerkingsregister of informatieregister bij met daarin welke persoonsgegevens je verwerkt, wat het doel daarvan is, wat de 'rechtsgrond' is (bijvoorbeeld. toestemming, wettelijke verplichting, uitvoering van een overeenkomst), hoelang je de gegevens bewaart, wie toegang heeft en hoe je ze beveiligt?*
Informeer je betrokken personen over hoe hun gegevens worden verwerkt en vraag je expliciete toestemming bij het gebruik van cookies en tracking op je website? *
Verzamel en verwerk je alleen de persoonsgegevens die je minimaal nodig hebt voor het doel van de verwerking? *
Heb je een Data Protection Impact Assessment gedaan voor verwerkingen die naar verwachting een hoog risico voor de privacy opleveren? *

AVG
Meld je datalekken die een risico vormen voor betrokkenen binnen 72 uur bij de autoriteit persoonsgegevens? (Weet je hoe dat moet?) en informeer je de betrokkenen wanneer er een hoog risico voor hen is? *
Is er een manier voor individuen om hun rechten op het gebied van privacy uit te voeren? (Inzage in de gegevens die je van hen verwerkt, correctie, verwijdering, beperking van verwerkingen, overdraagbaarheid, bezwaar. Let op: betrokkenen hebben niet in elke situatie dezelfde rechten, dat is mede afhankelijk van de rechtsgrond van de verwerking.) *
Heb je verwerkersovereenkomsten met alle leveranciers (voornamelijk van software en systemen) die persoonsgegevens voor jou verwerken?*
Heb je verwerkersovereenkomsten met alle klanten voor wie jij persoonsgegevens verwerkt in opdracht? (Dus niet de gegevens van je klant zelf, maar de gegevens van bijvoorbeeld hun klanten of medewerkers).*
Worden de persoonsgegevens binnen de EU of een ander land waar de GDPR van kracht is verwerkt? Of heb je in andere gevallen goed uitgezocht of de verwerking daar is toegestaan volgens de GDPR?*

Beveiliging bij dienstverleners
Zijn je domeinnaam en hosting goed beveiligd?*
Heb je afspraken (een contract) met alle leveranciers van software en systemen waar jouw bedrijfsgegevens in worden verwerkt en opgeslagen over de beveiliging van die systemen?*

Bewustwording
Krijgen medewerkers training over digitale veiligheid?*
Krijgt de directie training over digitale veiligheid?*
Is de directie zich bewust van de eindverandwoordelijkheid en mogelijke aansprakelijkheid op het gebied van cybersecurity en privacy?*

Waar mogen we het rapport van jouw CyberSafe Check naartoe sturen?
Naam*

VoornaamAchternaam
Bedrijf*
Email*
example@example.com
GDPR overeenkomst*

Ik ga ermee akkoord dat Seyfo mijn informatie opslaat en gebruikt in overeenkomst met de privacy verklaring van Seyfo (https://seyfo.io/privacy-verklaring/). We gebruiken je informatie om jou het CyberSafe Rapport toe te sturen en je relevante informatie met betrekking tot cyber security en onze dienstverlening te geven.

Scores
CyberSafe Score
Toelichting CyberSafe Score
AVG Scores
Toelichting AVG Score
NIS-2 Score
Toelichting NIS-2 Score
CyberSafe Score
AVG Score
NIS-2 Score

Score Toelichtingen
CyberSafe - Kwetsbaar (0-5)
De basismaatregelen zijn onvoldoende of ontbreken, waardoor er een groot risico is op cyberaanvallen en gegevensverlies. We adviseren om op korte termijn basismaatregelen te nemen die in dit rapport worden genoemd. Zonder actie blijft de organisatie een aantrekkelijk doelwit voor aanvallers.
AVG - Kwetsbaar (0-5)
Er is onvoldoende aandacht besteed aan de naleving van de AVG, wat kan leiden tot hoge boetes en reputatieschade. Basisprincipes zoals toestemming en dataminimalisatie worden vaak genegeerd. Wij adviseren om een inventarisatie te doen van de verwerking van persoonsgegevens en een plan te maken voor het implementeren van de juiste maatregelen om aan de AVG te voldoen.
NIS-2 - Kwetsbaar (0-5)
De organisatie voldoet niet aan de eisen van NIS-2, wat de continuïteit en veiligheid van essentiële diensten in gevaar brengt. Er ontbreken procedures voor incidentbeheer en risicobeoordeling. Indien je bedrijf onder de verplichting van NIS-2 valt is onmiddellijke aanpak is vereist om te voldoen aan de wetgeving.
CyberSafe - Gemiddeld (5-7)
Er zijn enkele maatregelen genomen, maar er zijn nog steeds grote gaten in de beveiliging. Door aanvullende stappen te zetten die in dit rapport worden genoemd, kan de weerbaarheid aanzienlijk verbeteren. Dit niveau biedt enige bescherming, maar risico's zijn nog steeds aanwezig.
AVG - Gemiddeld (5-7)
Er is een begin gemaakt met naleving van de AVG, maar belangrijke vereisten, zoals verwerkingsregisters en datalekprocessen, zijn niet volledig gedekt. Er zijn meer maatregelen nodig om te voldoen aan de eisen van de AVG. Regelmatige controle en aanpassing zijn noodzakelijk.
NIS-2 - Gemiddeld (5-7)
De basisprincipes van NIS-2 worden gedeeltelijk toegepast, maar belangrijke tekortkomingen zoals auditing en risicomanagement blijven bestaan. Met gerichte verbeteringen kan aan de richtlijn worden voldaan. Het huidige niveau is echter niet voldoende om te voldoen aan wettelijke verplichtingen.
CyberSafe - Goed (7-9)
De meeste beveiligingsmaatregelen zijn op orde, met een breed spectrum aan technische en organisatorische maatregelen. Er zijn nog wel aandachtspunten voor het versterken van de beveiliging, maar in de basis is het niveau goed.
AVG - Goed (7-9)
De AVG wordt grotendeels nageleefd, met gedocumenteerde processen en beveiliging van persoonsgegevens. Er zijn wel een aantal verbeterpunten die een risico kunnen vormen.
NIS-2 - Goed (7-9)
De organisatie voldoet grotendeels aan de NIS-2-richtlijn, met een sterke focus op risicobeheer, incidentrespons en samenwerking. Er zijn minimale aanpassingen nodig om volledig compliant te worden. Dit niveau biedt al een goede bescherming tegen incidenten.
CyberSafe - Beschermd (9-10)
De beveiliging is optimaal ingericht en er is sprake van een proactieve aanpak met regelmatige evaluaties en verbeteringen. Risico’s worden continu gemonitord en aangepakt. Jouw bedrijf is uitstekend voorbereid tegen cyberdreigingen.
AVG - Beschermd (9-10)
Volledige AVG-compliance is gerealiseerd met een continu verbeterproces en goede beveiliging.
NIS-2 - Beschermd (9-10)
Uw organisatie voldoet aan de NIS-2-richtlijn en loopt voorop in sectorstandaarden en samenwerking. Er is sprake van continue monitoring, verbeteringen en incidentrespons. Dit zorgt voor een hoog niveau van veiligheid en compliance met de regelgeving.

Antwoorden
Urgent
Heb je een overzicht van systemen en programma’s die je gebruikt?
☐ Maak een lijst van alle programma's en systemen die je gebruikt, inclusief wat je ermee doet en welke gegevens je daarin bewaart. Vraag hulp aan een Cybersecurity specialist als dat nodig is. Zorg dat je ook softwareversies en licenties bijhoudt om verouderde of kwetsbare systemen te identificeren.
Beoordeel je regelmatig de risico's van je systemen en programma's?
☐ Analyseer de risico's die je loopt per proces in je bedrijf. Vraag een cybersecurity specialist om een rapport met concrete aanbevelingen, zoals kwetsbaarheidsscans en een actieplan om risico's te minimaliseren.
Is de directie zich bewust van de verantwoordelijkheid?
☐ Bespreek regelmatig met de directie mogelijke risico’s en juridische verplichtingen er zijn.


Gebruiken medewerkers eigen accounts?
☐ Zorg dat iedereen een eigen inlog heeft. Deel geen wachtwoorden. Gebruik een wachtwoordmanager om sterke en unieke wachtwoorden te genereren en bewaren.
Is er een proces voor het afsluiten van toegang bij vertrek?
☐ Stel samen met HR een stappenplan op voor het blokkeren van toegang wanneer een medewerker vertrekt.
Staan automatische updates aan?
☐ Controleer regelmatig of automatische updates goed werken. Dit geldt voor je besturingssysteem, software én firmware van apparaten.
Gebruik je 2-factor authenticatie?
☐ Activeer tweestapsverificatie voor alle belangrijke programma’s. Kijk of je gebruik kunt maken van apps zoals Google Authenticator of Microsoft Authenticator.
Maak je regelmatig back-ups?
☐ Zorg dat belangrijke bestanden automatisch worden gekopieerd naar een veilige plek, zoals een externe harde schijf of cloudopslag. Wanneer je werkt vanuit de cloud; controleer dan ook of er van de cloud-opslag regelmatig een backup wordt gemaakt op een aparte fysieke locatie. Vraag een specialist om te controleren of de back-up beveiligd is met encryptie.
Hebben al je apparaten antivirus?
☐ Installeer een betrouwbaar antivirusprogramma en stel automatische updates in. Vraag je IT-leverancier naar een Endpoint Detection and Response (EDR)-oplossing.
Is encryptie ingeschakeld op mobiele apparaten?
☐ Schakel encryptie in op alle apparaten. Gebruik tools zoals BitLocker voor Windows of FileVault voor Mac. Vraag advies over het beveiligen van smartphones en tablets.
Heb je een Privacy Verklaring?
☐ Stel een Privacyverklaring op waarin staat hoe je met persoonsgegevens omgaat. Zorg dat deze altijd up-to-date is. Vraag, indien nodig, een privacy professional of jurist om advies.
Houd je bij welke gegevens je verwerkt?
☐ Maak een overzicht waarin je bijhoudt welke persoonsgegevens je verwerkt, waarom, wat de juridische basis is (toestemming, uitvoeren van een overeenkomst, wettelijke verplichting etc.) en hoe lang. Hiervoor zijn standaard templates te vinden.
toestemming cookies
☐ Gebruik een tool zoals Cookiebot om automatisch toestemming te vragen voor cookies en tracking op je website.
Zijn je domeinnaam en hosting beveiligd?
☐ Controleer of je hosting en domeinnamen goed zijn beveiligd. Vraag je hostingprovider of website-bouwer naar de volgende zaken:

DNSSEC
Firewalls
2-factor authenticatie
SSL-certificaten
Back-up opties
Instellingen zoals "allow_url_fopen" en "open_basedir" uitschakelen
Beveiliging van ".htaccess" bestanden
Verwijder ongebruikte plugins, thema's en domeinen
Voorkom openbare indexen.
Belangrijk
Hebben medewerkers alleen toegang die ze nodig hebben?
☐ Stel 'toegang op basis van rol' (role-based access control) in. Laat een IT-professional controleren of medewerkers alleen toegang hebben tot wat ze echt nodig hebben.
Test je back-ups?
☐ Voer elke drie maanden een test uit om te controleren of je bestanden uit de back-up kunt terugzetten. Documenteer de resultaten van deze test.
Heb je een overzicht van apparaten in gebruik?
☐ Maak een overzicht van alle apparaten (computers, telefoons, laptops, alles dat aan het netwerk gekoppeld wordt). Dit helpt om verouderde of ongebruikte apparaten snel te identificeren en in de gaten te houden of apparaten beveiligd zijn en worden geupdate.
Zijn macro’s standaard uitgeschakeld in Office?
☐ Schakel Macro's standaard uit in Office via groepsbeleid of instellingen. Dit helpt aanvallen via schadelijke documenten te voorkomen.
Heb je een bellijst voor noodgevallen?
☐ Stel een bellijst samen met IT-support, je verzekering en belangrijke leveranciers. Zorg dat de lijst digitaal én op papier beschikbaar is.
Heb je een plan voor noodgevallen?
☐ Maak een stappenplan waarin staat wat je moet doen bij een cyberincident. Denk hierbij aan wie verantwoordelijk is, wie je moet informeren en hoe je systemen herstelt.
Heb je een plan om door te werken bij een ramp?
☐ Documenteer hoe je bedrijf kan blijven draaien bij een incident. Zorg dat kritieke processen ook handmatig of vanuit een andere locatie kunnen worden uitgevoerd.
Verzamel je alleen gegevens die je nodig hebt?
☐ Controleer je formulieren en processen om te zorgen dat je alleen de benodigde gegevens vraagt. Minder gegevens betekent minder risico.
Heb je een DPIA gedaan voor risicovolle gegevensverwerking?
☐ Laat een privacy-expert een DPIA (Data Privacy Impact Analyse) uitvoeren als je veel gevoelige gegevens verwerkt.
Heb je verwerkersovereenkomsten met leveranciers?
☐ Controleer of je met alle leveranciers die persoonsgegevens verwerken een verwerkersovereenkomst hebt. Gebruik standaardmodellen als basis.
Heb je verwerkersovereenkomsten met klanten?
☐ Controleer of je met alle klanten waar je in opdracht gegevens voor verwerkt een verwerkersovereenkomst hebt. Is dit onderdeel van je kernactiviteit? Laat een specialist een verwerkersovereenkomst voor je opstellen.
Worden persoonsgegevens binnen de EU verwerkt?
☐ Controleer waar je gegevens worden opgeslagen. Laat je adviseren door een privacy-expert als dit buiten de EU is, om te voldoen aan de AVG.
Minder dringend
Maak je een back-up van je netwerkinstellingen?
☐ Laat een IT-expert een back-up maken van je netwerkconfiguratie. Zorg ervoor dat deze veilig wordt opgeslagen.
Meld je datalekken op tijd?
☐ Neem het stappenplan datalek melden van de Autoriteit Persoonsgegevens door: (https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/datalek-dit-moet-u-doen#stappenplan-datalek) en bespreek het met de medewerkers in je bedrijf die je hierbij nodig hebt.
Kunnen mensen hun gegevens inzien of laten aanpassen?
☐ Zorg dat klanten eenvoudig hun gegevens kunnen inzien of aanpassen via een formulier of e-mail.
Heb je afspraken over beveiliging met leveranciers?
☐ Controleer of jouw leveranciers voldoende beveiligingsmaatregelen hebben. Certificeringen zoals ISO 27001 kunnen je zekerheid bieden over de beveiliging bij je leveranciers.
Krijgen medewerkers training over digitale veiligheid?
☐ Plan een jaarlijkse training waarin medewerkers leren hoe ze veilig omgaan met phishing, wachtwoorden en bedrijfsdata.
Krijgt de directie training over digitale veiligheid?
☐ Organiseer een workshop voor de directie om bewustwording en verantwoordelijkheid op het gebied van cybersecurity te vergroten.
Geen urgente maatregelen
Uit de check komen geen urgente maatregelen naar voren die doorgevoerd zouden moeten worden.
Geen belangrijke maatregelen
Uit de check komen geen maatregelen naar voren die we classificeren als 'belangrijk, maar niet urgent.'
Geen minder dringende maatregelen
Uit de check komen geen maatregelen naar voren die we classificeren als 'minder dringend'.

Antwoordvelden
Urgent
Geen urgente maatregelen
Heb je een overzicht van systemen en programma’s die je gebruikt?
Beoordeel je regelmatig de risico's van je systemen en programma's?
Is de directie zich bewust van de verantwoordelijkheid?
Gebruiken medewerkers eigen accounts?
Is er een proces voor het afsluiten van toegang bij vertrek?
Staan automatische updates aan?
Gebruik je 2-factor authenticatie?
Maak je regelmatig back-ups?
Hebben al je apparaten antivirus?
Is encryptie ingeschakeld op mobiele apparaten?
Heb je een Privacy Verklaring?
Houd je bij welke gegevens je verwerkt?
toestemming cookies
Zijn je domeinnaam en hosting beveiligd?
Belangrijk
Geen belangrijke maatregelen
Hebben medewerkers alleen toegang die ze nodig hebben?
Test je back-ups?
Heb je een overzicht van apparaten in gebruik?
Zijn macro’s standaard uitgeschakeld in Office?
Heb je een bellijst voor noodgevallen?
Heb je een plan voor noodgevallen?
Heb je een plan om door te werken bij een ramp?
Verzamel je alleen gegevens die je nodig hebt?
Heb je een DPIA gedaan voor risicovolle gegevensverwerking?
Heb je verwerkersovereenkomsten met leveranciers?
Heb je verwerkersovereenkomsten met klanten?
Worden persoonsgegevens binnen de EU verwerkt?
Minder dringend
Geen minder dringende maatregelen
Maak je een back-up van je netwerkinstellingen?
Meld je datalekken op tijd?
Kunnen mensen hun gegevens inzien of laten aanpassen?
Heb je afspraken over beveiliging met leveranciers?
Krijgen medewerkers training over digitale veiligheid?
Krijgt de directie training over digitale veiligheid?
GCLID
Should be Empty:

De CyberSafe Check

Jouw bedrijf

Je informatieregister

Toegang tot informatie

Backups

Apparaat beveiliging

Noodplannen

AVG

AVG

Beveiliging bij dienstverleners

Bewustwording

Waar mogen we het rapport van jouw CyberSafe Check naartoe sturen?

Scores

Score Toelichtingen

Antwoorden

Urgent

Belangrijk

Minder dringend

Antwoordvelden

Urgent

Belangrijk

Minder dringend