Vertrouwen #
Alles wat een inkoopbeoordelaar, FG of juridisch team nodig heeft om EthicsPortal te beoordelen.
Laatst bijgewerkt: 2026-05-24.
Contractpartij #
- Naam van de dienst: EthicsPortal
- Exploitant: Yaroslav Shmarov
- Geregistreerd adres: ul. Obrzeżna 1A, 02-691 Warschau, Polen
- Fiscaal identificatienummer (NIP): 5272755790
- Bevoegde ondertekenaar voor commerciële overeenkomsten, verwerkersovereenkomsten en beveiligingsvragenlijsten: Yaroslav Shmarov
- Commercieel contact: support@ethicsportal.eu
- Beveiligingscontact: security@ethicsportal.eu
- Contact voor privacy en gegevensbescherming: privacy@ethicsportal.eu
Registerbewijs en ondertekende contractdocumenten worden op verzoek tijdens de inkoop verstrekt.
Gegevenslocatie en verwerkersrelatie #
In het standaardabonnementsmodel is de klant de verwerkingsverantwoordelijke en treedt EthicsPortal op als verwerker voor de meldgegevens van de klant.
De kerngegevens van klokkenluidersmeldingen, waaronder de applicatie, de database en de bestandsopslag, worden gehost in Neurenberg, Duitsland bij Hetzner . Transactionele e-mail loopt via Mailjet (Frankrijk). De marketingwebsite gebruikt één genoemde niet-EU-sub-verwerker, Cloudflare (CDN), die volledig is vermeld op de pagina sub-verwerkers . Het meldportaal en het behandelportaal laden Cloudflare niet.
Continuïteit en personeel #
De klantgegevens zijn herstelbaar onafhankelijk van de beschikbaarheid van de exploitant. Op elk moment tijdens de relatie en bij contractbeëindiging hebben klantorganisaties recht op een volledige machineleesbare export van hun gegevens, plus een vastgestelde afbouwperiode om naar een alternatieve aanbieder te migreren. Deze afspraken zijn vastgelegd in de verwerkersovereenkomst en uitgewerkt in het bedrijfscontinuïteitsplan , dat de activeringscriteria, RPO 24 uur / RTO 4 uur en de procedure bij arbeidsongeschiktheid van de exploitant definieert.
Back-ups. Dagelijkse versleutelde PostgreSQL-dumps naar Hetzner Object Storage (EU, 7 dagen bewaring) plus Hetzner-snapshots op serverniveau (7 dagen bewaring). Laatste herstelproef: 2026-05-14.
Personeelsreikwijdte. Alle klantgegevens worden verwerkt door de genoemde exploitant. Er zijn geen andere werknemers of aannemers — een bewuste reikwijdtekeuze die aanbiederszijde-personeelsrisico’s (hiaten in achtergrondscreening, lekkage bij in-/uitdiensttreding, wildgroei van aannemers) uit het dreigingsmodel verwijdert. Beheersmaatregelen voor geprivilegieerde toegang voor de genoemde exploitant zijn gedocumenteerd en beschikbaar tijdens de inkoopbeoordeling.
Certificeringsstatus #
EthicsPortal claimt op deze site momenteel geen geaccrediteerde ISO 27001-certificering. Een onafhankelijke externe penetratietest staat momenteel niet geregistreerd. Wanneer een van beide verandert, wordt de naam van de certificering (of de reikwijdte, datum en samenvatting van het herstel van de test) hier gepubliceerd.
In plaats van geaccrediteerde certificering publiceert EthicsPortal een gestructureerde zelfbeoordeling tegen dezelfde beheersmaatregelensets die een externe audit zou beoordelen:
- Een ISO/IEC 27001:2022 Annex A-beheersmaatregelenmap die alle 93 beheersmaatregelen dekt, met status (Geïmplementeerd / Zelfbeoordeeld / Niet van toepassing / Compenserende maatregel) en bewijsverwijzingen voor elk.
- Een ISO 37002:2021-richtsnoerafstemmingsmap die de levenscyclus van het beheer van meldingen clausulegewijs dekt, met de grens tussen software en exploitant vermeld. (ISO 37002 is een richtsnoernorm — geen enkele organisatie kan ertegen worden gecertificeerd; afstemming is de enige eerlijke claim die een leverancier kan maken.)
- Genoemde beleidsdocumenten op /policies/ : informatiebeveiligingsbeleid , bedrijfscontinuïteitsplan , risicoregister .
- Een vooraf ingevulde CAIQ-afgestemde vragenlijst voor de vragen waarvan de antwoorden al openbaar zijn gedocumenteerd.
De zelfbeoordeling is de inhoud die een accreditatie zou bevestigen. EthicsPortal publiceert deze rechtstreeks zodat een inkoopbeoordelaar hetzelfde bewijs kan beoordelen zonder op een auditor te wachten.
Operationele levenscyclus #
| Vraag | Antwoord |
|---|---|
| Live beschikbaarheid | Gepubliceerd op secure.ethicsportal.eu/up voor de gedekte omgevingen. Zie serviceniveau-overeenkomst voor de meetmethodologie en uitsluitingen. |
| Levenscyclus van sessie en toegang | Sessies verlopen automatisch na 14 dagen inactiviteit en worden ’s nachts opgeruimd. Gebruikers kunnen hun eigen sessies op elk moment bekijken en intrekken. Elke sessie registreert last_seen_at zodat verouderde apparaten herkenbaar zijn. Deactivering van een lid snijdt de toegang af op de grens van het verzoek, maakt open meldingen ongedaan en verwijdert deelnemerschappen terwijl de auditgeschiedenis behouden blijft. Zie Beveiliging
. |
| Back-ups en herstel | Dagelijkse versleutelde PostgreSQL-dumps naar Hetzner Object Storage (EU, 7 dagen bewaring) plus Hetzner-snapshots op serverniveau (7 dagen bewaring). RPO 24 uur, RTO 4 uur. Laatste herstelproef: 2026-05-14. Zie Beveiliging . |
| Afhankelijkheids- en patchbeheer | Continue SCA in CI (Brakeman, bundler-audit, importmap audit) plus wekelijkse Dependabot-updates. Geen end-of-life-componenten uitgerold. Zie Beveiliging . |
| Export en verwijdering | Pdf-zaakexport is in-app beschikbaar voor elke zaak (beschrijving, berichten, audit trail, bijlagen). Machineleesbare bulkexport van de volledige organisatiegegevensset is op verzoek beschikbaar bij contractbeëindiging. Contractuele toezeggingen staan in de verwerkersovereenkomst . |
| Hersteldoelstellingen | Zie serviceniveau-overeenkomst . |
Contractuele standpunten #
Eén bron van waarheid voor de contractuele vragen die inkoopteams van ondernemingen het vaakst stellen. Elke rij verwijst naar het document dat geldt.
| Onderwerp | Standpunt van EthicsPortal |
|---|---|
| Geaggregeerd aansprakelijkheidsmaximum | 12 maanden aan vergoedingen betaald in de 12 maanden voorafgaand aan de gebeurtenis die aanleiding gaf tot de vordering (Voorwaarden §11 ). De verwerkersovereenkomst, de serviceniveau-overeenkomst en de IP-vrijwaring vallen alle binnen hetzelfde geaggregeerde maximum. |
| Vrijwaring bij inbreuk op intellectuele eigendom | De exploitant verdedigt de verwerkingsverantwoordelijke tegen vorderingen van derden inzake auteursrecht, merkrecht of octrooi die voortvloeien uit het gebruik van de dienst overeenkomstig de voorwaarden, behoudens standaarduitzonderingen (wijzigingen door de klant, ongeoorloofd gebruik, niet-geautoriseerde combinaties) en het geaggregeerde aansprakelijkheidsmaximum. Zie Voorwaarden §12 . |
| Termijn voor melding van inbreuken | Zonder onnodige vertraging en in elk geval binnen 72 uur na kennisname (verwerkersovereenkomst §6.6 ), afgestemd op Art. 33 AVG. Op standaardabonnementen wordt geen kortere termijn contractueel aangeboden, omdat kortere termijnen het risico van voortijdige melding met zich meebrengen en in strijd zijn met de door de AVG voorgeschreven forensische drempel. |
| Auditrechten | Overeenkomstig Art. 28(3)(h) AVG, op ten minste 30 dagen voorafgaande kennisgeving en tijdens normale kantooruren (verwerkersovereenkomst §6.9 ). De verwerker beantwoordt schriftelijke beveiligingsvragenlijsten in plaats van een audit ter plaatse waar de beoordeling van de verwerkingsverantwoordelijke daarmee kan worden voldaan. |
| Servicekredieten | Standaardabonnementen omvatten geen geldelijke servicekredieten. Verhaalsmogelijkheden bij wezenlijke of herhaalde beschikbaarheidstekortkomingen worden geregeld door het geaggregeerde aansprakelijkheidsmaximum (SLA ). |
| Door de klant beheerde versleutelingssleutels (BYOK / externe KMS) | Niet ondersteund. Door de verwerker beheerde sleutels zijn vereist om de sleutelgrens tussen melder en behandelaar en de end-to-end-verwijderingsgarantie te handhaven. Zie verwerkersovereenkomst §6.11 . |
| Broncode-escrow | Niet aangeboden. Continuïteit wordt geregeld via de bepalingen over arbeidsongeschiktheid van de exploitant in het bedrijfscontinuïteitsplan en de rechten van de verwerkingsverantwoordelijke op gegevensexport en -verwijdering onder verwerkersovereenkomst §6.8 . |
| Kennisgeving van wijziging van sub-verwerker | Ten minste 30 dagen voor het toevoegen of vervangen van een sub-verwerker; de verwerkingsverantwoordelijke kan bezwaar maken en opzeggen als geen oplossing wordt bereikt (verwerkersovereenkomst §6.4 ). |
| Gegevensexport en -verwijdering bij beëindiging | Zelfbediening pdf-zaakexport in het product, plus machineleesbare bulkexport op verzoek bij beëindiging, plus verwijdering binnen 30 dagen na opzegging van het abonnement op schriftelijk verzoek (verwerkersovereenkomst §6.8 ). |
| Cyberaansprakelijkheidsverzekering | In behandeling. Het dekkingsbedrag en de verzekeraar worden hier gepubliceerd zodra dit is geregeld. |
| Onafhankelijke externe penetratietest | Momenteel niet geregistreerd. Reikwijdte, datum en samenvatting van het herstel worden hier gepubliceerd zodra er een is uitgevoerd. |
| Toepasselijk recht en bevoegde rechter | Pools recht; rechtbanken van Warschau (Voorwaarden §13 ). EU-consumenten behouden het recht op een procedure in hun land van verblijf. |
Deze standpunten worden weerspiegeld in de gepubliceerde servicevoorwaarden , verwerkersovereenkomst en serviceniveau-overeenkomst . Wezenlijke afwijkingen worden op standaardabonnementen niet toegestaan.
Openbare documenten #
Alles wat een inkoopbeoordelaar nodig heeft, wordt openbaar gepubliceerd. Gegroepeerd op wat het document doet.
Contractueel #
Wat de relatie tussen EthicsPortal en de klant beheerst.
| Document | Doel |
|---|---|
| Servicevoorwaarden | Abonnementsvoorwaarden, opzegging, restituties, aansprakelijkheidsmaximum, IP-vrijwaring |
| Verwerkersovereenkomst | Verwerkersvoorwaarden onder artikel 28 AVG |
| Serviceniveau-overeenkomst | Beschikbaarheidsdoelstelling en meting |
| Privacybeleid | Hoe persoonsgegevens worden behandeld |
Operationeel #
Hoe de dienst dagelijks werkt en wie er nog meer bij betrokken is.
| Document | Doel |
|---|---|
| Beveiliging | Technische en organisatorische maatregelen |
| Sub-verwerkers | Genoemde sub-verwerkers en hun reikwijdte |
| Incidentenregister | Wezenlijke incidenten die persoonsgegevens raken |
| Toegankelijkheid | Conformiteitsstatus EAA / EN 301 549 |
Richtlijnreferentie #
Hoe EthicsPortal aansluit op en Richtlijn (EU) 2019/1937 leest.
| Document | Doel |
|---|---|
| Dekkingsoverzicht van Richtlijn (EU) 2019/1937 | Overzicht van functie naar artikel van Richtlijn (EU) 2019/1937 |
| Interpretaties van Richtlijn (EU) 2019/1937 | Interpretatieve standpunten over meerduidige bepalingen van de richtlijn |
| Klokkenluiderswetten per land | Nationale omzettingen, handhavingsautoriteiten |
| Sancties per land | Boetes en strafrechtelijke aansprakelijkheid per lidstaat |
Zelfbeoordeling #
Genoemde beleidsdocumenten en de beheersmaatregelentoewijzingen die een externe audit zou beoordelen.
| Document | Doel |
|---|---|
| Informatiebeveiligingsbeleid | Intentieverklaring, reikwijdte, rollen, toezeggingen inzake beheersmaatregelen |
| Bedrijfscontinuïteitsplan | Activeringscriteria, hersteldoelstellingen, openbaarmaking bij arbeidsongeschiktheid van de exploitant |
| Risicoregister | Toprisico’s, behandeling, restpositie |
| ISO/IEC 27001:2022 Annex A-beheersmaatregelenmap | Gestructureerde zelfbeoordeling tegen alle 93 beheersmaatregelen |
| CAIQ-afgestemde vragenlijst | Vooraf ingevulde beveiligingsbeoordeling van leveranciers (CSA CAIQ v4-domeinstructuur) |
Beschikbaar tijdens de inkoopbeoordeling #
De volgende materialen worden gedeeld in gecontroleerde openbaarmaking in plaats van openbaar te worden gepubliceerd:
- Ondertekende verwerkersovereenkomst
- Registeruittreksel en NIP-/belastingbewijs
- Ingevulde beveiligingsvragenlijst
- Samenvatting van geprivilegieerde productietoegang
- Samenvatting van de incidentrespons
- Reacties over bedrijfscontinuïteit, beëindiging en klantexport
- Samenvatting van de externe penetratietest (wanneer geregistreerd)
Om deze aan te vragen, mailt u support@ethicsportal.eu . Voor vragen over de beveiligingsbeoordeling mailt u security@ethicsportal.eu .
Laatst bijgewerkt: