Use of cryptography

Wat we doen

Al het transport van vertrouwelijke en persoonsgegevens buiten ons netwerk wordt versleuteld. Data op mobiele apparaten is beschermd (uitzondering: testapparaten zonder gevoelige data).

Toepassingen:

• VPN — Wireguard naar kantoor en cloud-omgevingen
• SSL/TLS — alle publieke portalen via AWS Certificate Manager of Certbot
• Encryption at rest — apps met gevoelige data + back-ups met gezondheidsinformatie
• Wachtwoorden — 1Password (versleutelde kluis, sterk wachtwoordbeleid)
• E-mail — end-to-end encryptie voor vertrouwelijke data

Sleutelbeheer

• Aanmaken — productiesleutels door DevOps, development-sleutels door de developer zelf
• Opslag — alle sleutels in 1Password. Productiesleutels nooit in broncode (bij lekkage: direct revoken)
• Distributie — uitsluitend via 1Password
• Vernietigen — verwijderen uit 1Password + revoken op het systeem
• Rotatie — bij vermoeden van compromittering direct revoken en opnieuw aanmaken

Verantwoordelijkheden

• DevOps — productiesleutels, VPN, SSL-certificaten, secret management
• Developers — development/test-sleutels, geen productiesleutels in code
• Alle medewerkers — 1Password gebruiken, encryptiebeleid naleven

Gaps

• Geen formele sleutelrotatieschema’s — rotatie is alleen reactief (bij vermoeden van compromittering).
• Secret management “waar mogelijk” — niet overal consistent toegepast.
• Encryptiemethoden worden niet periodiek getoetst aan de stand van de techniek.
• Datatransport van opdrachtgever naar ons is contractueel hun verantwoordelijkheid, maar we verifiëren dit niet.

Bewijs

• 1Password Business account
• Wireguard VPN configuratie (kantoor Rotterdam)
• AWS Certificate Manager / Certbot (server configuratie)
• Secret management configuratie (AWS/GCP)