Privacy en Security bij Yellenge is méér dan een vinkje. Het zit in ons DNA.

Bij Yellenge draait eventmanagement niet alleen om beleving, maar ook om veiligheid. Zeker omdat het platform wordt gebruikt door overheden, zorginstellingen en corporates, is informatiebeveiliging cruciaal. Security officers Rik en Ronnie vertellen hoe Yellenge dit aanpakt en waarom het onderwerp zo diep in het DNA van het bedrijf zit.

Wat houdt jullie werk precies in?

Rik: “Als security officer houden wij toezicht op het databeveiligingsbeleid en de uitvoering hiervan.”

Ronnie: “Naast het toezicht houden adviseren wij ook het management, zorgen we voor de implementatie en monitoring, en geven we awareness trainingen aan onze medewerkers. We blijven zelf continu up-to-date, onder andere via het Nationaal Cyber Security Centrum. En we zijn het aanspreekpunt voor al onze collega’s.”

Waarom is security zo belangrijk voor Yellenge?

Rik: “Als bedrijf steken we relatief veel tijd in security. We werken met persoonsgegevens en dat betekent dat we verplicht zijn dit goed te regelen. We willen toekomstbestendig zijn en problemen voor zijn.”

Ronnie: “Die motivatie zat er vanaf dag één in. Samen met medeoprichter Joost Callaars bouwden we bewust aan een systeem dat we zelf zouden vertrouwen. Informatiebeveiliging zit in ons DNA.”

Voor wat voor organisaties werken jullie?

Ronnie: “We werken veel voor Nederlandse overheidsorganisaties, corporates, onderwijsinstellingen en zorgorganisaties. Daar gelden de strengste eisen, en dat daagt ons uit om continu scherp te blijven”.

Hoe gaat Yellenge om met data in het platform?

Ronnie: “Volgens de GDPR (AVG) mag je data niet langer bewaren dan nodig. Daarom verwijderen wij deelnemersdata standaard 30 dagen na een event. Zo doen we dat al vanaf de oprichting. Je kunt deelnemersdata het beste beschermen door het niet meer te hebben en door het niet te verzamelen. Op onze eventwebsites gebruiken we alleen functionele cookies, en alle data die in het Yellenge platform staat, staat bij een Nederlandse hostingpartij.

Rik: “Soms kiezen we bewust voor veiligheid boven gemak. Zo kregen we ooit de vraag van een klant of deelnemers niet één dashboard konden krijgen voor meerdere events. Gebruiksvriendelijk, zeker. Maar minder veilig. Voor ons gaat beveiliging in zo’n geval boven gebruikersgemak. Daarnaast hebben deelnemers zelf geen keuze om wel of niet in Yellenge te komen. De organisatie maakt die keuze voor hen. Daarom zijn wij ons er extra van bewust dat we uiterst zorgvuldig met de data moeten omgaan. Alle data blijft altijd binnen het Yellenge-platform.”

Welke eisen stellen klanten aan jullie?

Ronnie: Dat verschilt natuurlijk per klant, maar een aantal zaken komt altijd terug. Veel organisaties werken met single sign-on (SSO). Daarmee loggen medewerkers in via hun eigen werkomgeving. Het voordeel is dat het toegangsbeheer voor klanten eenvoudiger wordt. Als iemand bijvoorbeeld uit dienst gaat, vervalt automatisch ook de toegang tot Yellenge. Daarnaast is two-factor-authentication (2FA) een veelgestelde eis. Ook data-encryptie hoort erbij, net als de jaarlijkse pentest die ons platform ondergaat.”

Rik: “ISO-certificering komt ook vaak ter sprake. Inmiddels voldoen heel veel bedrijven daaraan, dus het is minder onderscheidend dan vroeger, maar nog steeds essentieel. Waar wij extra trots op zijn is dat ons platform 100% scoort op internet.nl. Die eis komt vaak vanuit de overheid. Daarnaast voldoen we ook aan de BIO, de Baseline Informatiebeveiliging Overheid. Dat geeft klanten de zekerheid dat we aan de strenge standaarden voldoen.”

Hoe kijken jullie naar AI?

Rik: “AI kun je niet negeren. We volgen het nauwlettend en kijken naar het beleid van systemen die we gebruiken. Wat voor AI beleid hebben ze en wat is de eventuele impact hiervan? Dat is voor ons van cruciaal belang.”

Ronnie: “We denken na over een interne AI in het Yellenge-platform, maar dan moet de gebruiker het zelf kunnen aan- of uitzetten. We zullen AI nooit zonder toestemming van de klant toepassen. Intern omarmen we het zeker, maar in het platform zijn we terughoudend.”

Hoe zorgen jullie dat medewerkers op de hoogte zijn van jullie security beleid?

Rik: “Eén keer per jaar geven we een security awareness-training. Daarin komen alle basisprincipes weer voorbij en bespreken we actuele cases en nieuwe ontwikkelingen. Ook is voor iedere nieuwe medewerker zo’n training onderdeel van het onboardingproces, zodat iedereen vanaf dag één dezelfde basis meekrijgt.”

Ronnie: “Security is echt een onderdeel van onze bedrijfscultuur. Iedereen draagt er aan bij. We geven zelf het goede voorbeeld en stimuleren medewerkers om elkaar aan te spreken wanneer ze iets zien. Sociale controle werkt, juist in dit domein.”

Rik: “We proberen niet alleen onze medewerkers, maar ook onze klanten meer bewust te maken. Onlangs hebben we een nieuwe functionaliteit ontwikkeld waarmee je data in Yellenge kunt classificeren. Daarmee geven we klanten meer zicht op welke informatie gevoeliger is, en hoe je daar zorgvuldig mee omgaat.”

Welke tips hebben jullie voor anderen?

Rik: “Word zelf een data-professional. Kijk welke richtlijnen je organisatie heeft, en wees je bewust dat privacy zowel zakelijk als privé cruciaal is.”

Ronnie: “Maak security tastbaar en leuk. Een klant van ons heeft bijvoorbeeld een cyber escape room gebouwd. Dat vergroot het bewustzijn veel meer dan droge regels.”

Tips voor Yellenge gebruikers:

• Gebruik een wachtwoordmanager en zet overal 2FA aan.
• Vraag alleen gegevens uit die écht nodig zijn. Leeftijdscategorie in plaats van geboortedatum kan al een groot verschil maken.
• Exporteer zo min mogelijk data.
• Verwijder bestanden die je niet meer nodig hebt, inclusief de prullenbak.

Meer weten over databeveiliging bij Yellenge? Lees hier meer.

Rik van der Velden Security Officer & Test Engineer

Neem contact op