Versie 1.0 – oktober 2025
Verantwoordelijke: Madicom B.V. · Platinaweg 25 · 2544 EZ Den Haag · KvK 66783224
Contactpersoon informatiebeveiliging en privacy: beheer@madicom.nl
1. Doel van deze verklaring
Deze Beveiligings- & Complianceverklaring beschrijft hoe Madicom B.V. omgaat met informatiebeveiliging, gegevensbescherming en naleving van wet- en regelgeving.
Het doel is transparantie te bieden aan klanten, leveranciers en toezichthouders over de maatregelen die Madicom neemt om data te beschermen en risico’s te beheersen.
2. Toepassingsgebied
Deze verklaring is van toepassing op:
- alle diensten van Madicom, waaronder IT-beheer, projectmanagement, e-learning, trainingen en Shieldified (phishing-simulaties & microtrainingen);
- alle verwerkingen van persoonsgegevens die plaatsvinden in het kader van deze diensten;
- de interne organisatie, medewerkers, leveranciers en digitale infrastructuur van Madicom.
3. Beveiligingskader
Madicom hanteert een informatiebeveiligingsmanagementsysteem (ISMS) dat is ingericht conform de principes van ISO/IEC 27001:2022.
Hierbij worden risico’s systematisch geïdentificeerd, geëvalueerd en beheerst via beleidsmaatregelen en controles gericht op:
- vertrouwelijkheid, integriteit en beschikbaarheid van informatie;
- continuïteit van dienstverlening;
- naleving van de AVG, NIS2, Telecommunicatiewet en de EU Data Act (2025).
4. Technische en organisatorische maatregelen
Organisatorisch
- Informatiebeveiligingsbeleid en continu risicobeheer.
- Gestructureerde toegangsautorisatie (“least privilege”).
- Geheimhoudingsplicht en security-awareness-training voor medewerkers.
- Leveranciersbeheer met periodieke beoordeling van subverwerkers.
Technisch
- Versleuteling van data tijdens opslag en overdracht (TLS 1.2+, AES-256).
- Multifactor-authenticatie en logging op kernsystemen.
- Periodieke patch- en updatecycli.
- Redundante back-ups en beveiligde datacenters binnen de EER.
Operationeel
- Incident- en datalekprocedure conform AVG-vereisten.
- Continu monitoring van systemen en beveiligingsgebeurtenissen.
- Jaarlijkse interne en externe audits.
5. Leveranciers en gegevenslocaties
Madicom maakt uitsluitend gebruik van gecertificeerde leveranciers binnen de Europese Economische Ruimte (EER) voor hosting, opslag en verwerking van klantgegevens.
Voor specifieke functionaliteiten (zoals het white-label trainings- en phishingplatform) worden partners ingezet die voldoen aan internationale beveiligingsstandaarden, waaronder ISO 27001 en/of SOC 2 Type II.
De primaire data-infrastructuur bevindt zich binnen de EER.
Bepaalde ondersteunende processen, zoals technische monitoring, softwareonderhoud of facturatie, kunnen plaatsvinden buiten de EER.
In dat geval worden de Standard Contractual Clauses (SCC’s) van de Europese Commissie toegepast, aangevuld met passende technische en organisatorische maatregelen.
De identiteit van leveranciers wordt niet publiek gedeeld om veiligheids- en vertrouwelijkheidsredenen, maar kan op verzoek aan zakelijke klanten worden verstrekt onder een geheimhoudingsovereenkomst (NDA).
5A. Internationale doorgifte & landen
Klant-productiedata worden gehost binnen de EER.
Voor ondersteunende processen (zoals support, monitoring of bedrijfsadministratie) kan beperkte verwerking of technische toegang buiten de EER plaatsvinden via geselecteerde leveranciers of hun subverwerkers.
In die gevallen borgt Madicom de rechtmatigheid en veiligheid van doorgiften via:
- verwerking binnen de EER;
- een adequacy-besluit; of
- de Europese Standard Contractual Clauses (SCC’s), aangevuld met maatregelen zoals sterke encryptie, sleutelbeheer binnen de EER en toegangsbeperking.
Madicom onderhoudt een intern subverwerkersregister met per leverancier:
- de verwerkingsactiviteiten,
- betrokken landen,
- toepasselijke waarborgen (SCC/adequacy),
- certificeringen (ISO/SOC) en
- datum van laatste verificatie.
Op verzoek kan een overzicht van categorieën subverwerkers en betrokken landen worden gedeeld onder NDA.
6. Compliance en certificering
Madicom werkt conform de volgende kaders en richtlijnen:
- AVG / GDPR – volledige naleving van Europese privacywetgeving;
- ISO/IEC 27001:2022 – informatiebeveiligingsmanagement;
- NIS2-richtlijn – aangescherpte beveiligings- en meldverplichtingen voor ICT-dienstverleners;
- EU Data Act (2025) – transparantie over datatoegang en interoperabiliteit.
Madicom onderhoudt interne documentatie over beleid, procedures en risicoanalyses, die op verzoek kan worden ingezien onder vertrouwelijkheid.
7. Incident- en datalekbeheer
Madicom hanteert een formele procedure voor het melden, onderzoeken en registreren van beveiligingsincidenten en datalekken.
Bij een datalek wordt de klant zonder onredelijke vertraging geïnformeerd en – indien wettelijk vereist – melding gedaan bij de Autoriteit Persoonsgegevens.
8. Continuïteit en audit
Madicom voert periodieke interne controles uit op naleving van het beveiligingsbeleid.
Daarnaast kunnen onafhankelijke audits worden uitgevoerd door externe partijen of op verzoek van klanten (onder NDA en redelijke voorwaarden).
9. Contact en verzoeken
Voor vragen over beveiliging, privacy of compliance kan contact worden opgenomen via:
beheer@madicom.nl
Audit- of complianceverzoeken worden binnen redelijke termijn behandeld.
10. Slotbepaling
Deze verklaring is informatief van aard en vervangt geen formele certificeringsverklaring of verwerkersovereenkomst.
De inhoud kan periodiek worden herzien bij wijzigingen in wet- of regelgeving of in de dienstverlening van Madicom.
De meest recente versie is steeds beschikbaar via www.madicom.nl/compliance.