Alle artikelen

Waarom we elk jaar onze eigen software laten hacken (en waarom dat goed nieuws is)

HG
Harmony Group
Business
Harmony staat bekend om zijn nuchtere aanpak van zowel zakendoen als IT. Wij helpen organisaties transformeren naar een digitale organisatie en we doen dit binnen verschillende sectoren en domeinen. Harmony biedt een geïntegreerde dienstverlening: van advies tot implementatie van kant-en-klare oplossingen en beheerde diensten.
Deel deze post

Als je persoonsgegevens van miljoenen mensen beheert, is "we denken dat het veilig is" niet genoeg. Daarom huren we elk jaar ethische hackers in om te proberen ons platform CustomerConnect binnen te dringen. En ja, ze vinden altijd wel iets.

Dat klinkt misschien alarmerend, maar het is precies de bedoeling. Want het verschil tussen een veilige organisatie en een onveilige? Dat zit hem niet in het voorkómen van elke mogelijke kwetsbaarheid, dat is simpelweg onmogelijk in onze complexe digitale wereld.

Het verschil zit in hoe serieus je security neemt, hoe proactief je zoekt naar zwakke plekken, en hoe snel je handelt wanneer je ze vindt.

Verantwoordelijkheid van verwerken van gevoelige data

Harmony CustomerConnect is onder andere het kloppend hart van de communicatie tussen de grootste Nederlandse zorgverzekeraars en hun verzekerden. Maar ook andere bedrijven zoals de Goede Doelen Loterij werken met CustomerConnect.

Die verantwoordelijkheid nemen we niet licht op. Wanneer bedrijven ons data toevertrouwen via beveiligde verbindingen, dan moeten ze er blind op kunnen vertrouwen dat wij die informatie beschermen alsof het onze eigen meest vertrouwelijke gegevens zijn.

Hoe test je een complex ecosysteem?

CustomerConnect is een geavanceerd platform dat communiceert met externe service providers, gestructureerde data uit backoffice systemen van de klant verwerkt, en beschikbaar is via een beveiligde webinterface met moderne authenticatie.

Zo'n complex systeem test je niet met een standaard checklist. Daarom werken we met externe gespecialiseerde pentestpartners die het hele platform grondig doorlichten volgens internationaal erkende methodieken zoals de Pentest Execution Standard (PTES) en de OWASP Testing Guide.

Meerdere testperspectieven

We testen ons platform vanuit verschillende invalshoeken om een zo compleet mogelijk beeld te krijgen van onze security posture:

De buitenstaander: Pentesters krijgen alleen publiek beschikbare informatie - precies zoals een kwaadwillende hacker die zou hebben. Geen credentials, geen achtergrondinfo over de architectuur. De vraag is simpel maar confronterend: kan iemand van buitenaf onze verdediging doorbreken?

De insider bedreiging: In een volgende fase krijgen pentesters wel toegangsrechten - vergelijkbaar met een normale gebruiker van het platform. Dit simuleert het scenario van een gecompromitteerd account of een kwaadwillende insider. De cruciale vraag hier: zijn onze verschillende omgevingen echt goed gescheiden? Kan een gebruiker van bedrijf A bij de data van bedrijf B komen? Kunnen gebruikers meer doen dan hun rol zou moeten toestaan?

Configuratie review: We laten onze configuratie en koppelingen met externe service providers grondig reviewen. Hoe sturen we data door naar partners? Zijn onze verbindingen correct beveiligd? Gebruiken we de juiste encryptie voor data-overdrachten? Deze reviews gebeuren zonder actieve penetratie, maar zijn niet minder belangrijk. Een foutieve configuratie kan immers net zo goed leiden tot datalekken als een kwetsbaarheid in de code zelf.

Wat we ontdekken (en hoe we ermee omgaan)

Elk jaar levert een penetratietest bevindingen op. Dat variëert van kwetsbaarheden die directe aandacht vereisen tot best practice aanbevelingen die de security posture verder versterken.

Het belangrijkste is niet of er bevindingen zijn - die zijn er altijd - maar hoe je ermee omgaat.

Binnen Harmony Group hanteren we een strikte remediation roadmap.

Een concreet voorbeeld van onze aanpak: wanneer een bevinding wordt gedaan, staat deze binnen enkele dagen in de sprint van ons ontwikkelteam. We plannen vervolgens een hertest om de fix te valideren. Pas dan wordt het definitieve rapport afgesloten – na een goedkeurend resultaat.

Die snelheid van schakelen is cruciaal. Want een kwetsbaarheid die je kent maar niet oplost, is eigenlijk een bewuste keuze om risico te lopen. En dat past niet bij de verantwoordelijkheid die we dragen voor de data van miljoenen verzekerden.

Certificeringen: meer dan papier

Penetratietesten zijn onderdeel van een breder security framework. Harmony Group is gecertificeerd volgens twee belangrijke standaarden:

ISO 27001 - Dit is de internationale norm voor informatiebeveiligingsmanagement. Het beschrijft wat organisaties moeten regelen om veilig om te gaan met data: beleid, procedures, technische maatregelen, toegangscontrole, incidentmanagement en risicoanalyses. ISO 27001-certificering is een essentiële baseline voor softwareleveranciers die met bedrijfskritische data werken.

NEN 7510 - Dit is de Nederlandse norm voor informatiebeveiligingsmanagement in de gezondheidszorg. De norm is specifiek ontwikkeld om zorginstellingen en hun leveranciers te helpen bij het veilig en betrouwbaar verwerken van patiëntgegevens. Het voegt extra, strengere eisen toe die voortvloeien uit de Nederlandse wetgeving en de uitzonderlijke gevoeligheid van medische dossiers.

Naast deze certificeringen laten we ook een onafhankelijke assuranceverklaring door een accountant opstellen. Deze bevestigt dat we niet alleen procedures op papier hebben staan, maar deze ook daadwerkelijk uitvoeren. Een accountant controleert of onze beheersmaatregelen in de praktijk werken zoals bedoeld. Het is het verschil tussen "we zeggen dat we het doen" en "we kunnen bewijzen dat we het gedaan hebben".

Voor onze klanten, die vaak zelf ook strenge compliance-eisen hebben, zijn deze certificeringen en assurance rapportage een cruciale bron van vertrouwen.

Security is een teamsport

Security is niet de verantwoordelijkheid van één persoon binnen ons team. Bij Harmony Group is het een samenwerking tussen verschillende disciplines:

Ons CustomerConnect team zorgt voor de dagelijkse ontwikkeling en beheer van het platform. Zij kennen elke functionaliteit, elke integratie, elke dataflow. Wanneer een bevinding binnenkomt, zijn zij degenen die de fix implementeren en testen. \

Onze Security & Privacy Officer coördineert de pentesten, beoordeelt de bevindingen vanuit risicoperspectief, en zorgt dat de remediation roadmap wordt gevolgd. Ook bewaakt deze functie de compliance met ISO 27001, NEN7510, ISAE 3000 en andere relevante regelgeving zoals de AVG.

Onze infrastructuur partners zorgen voor de onderliggende cloud-omgeving, netwerksegmentatie, firewalls en andere infrastructurele beveiligingslagen. Veel moderne aanvallen richten zich niet alleen op applicaties maar ook op de infrastructuur zelf. Deze partners moeten minimaal aan dezelfde eisen voldoen als waar Harmony aan voldoet.

En natuurlijk de externe pentestpartner die met een onafhankelijke, kritische blik naar het geheel kijkt.

Deze multidisciplinaire aanpak zorgt ervoor dat we security niet alleen als technisch vraagstuk zien, maar als organisatorische verantwoordelijkheid die iedereen aangaat.

Transparantie als vertrouwensbasis

We zouden dit artikel kunnen schrijven zonder te vermelden dat er kwetsbaarheden worden gevonden. We zouden in externe communicatie kunnen volstaan met "we zijn ISO gecertificeerd en we doen de nodige pentesten" zonder in details te treden. Dat doen we niet.

Want de realiteit is dat elk complex softwaresysteem kwetsbaarheden bevat. De vraag is niet of je ze hebt, maar of je ze vindt voordat kwaadwillenden dat doen. En als je ze vindt, of je dan snel en effectief handelt.

Door transparant te zijn over onze security aanpak - inclusief het feit dat als we bevindingen hebben we die vervolgens oplossen - hopen we het vertrouwen te versterken in plaats van te schaden. Want echte security is geen marketing claim, maar een continue commitment.

Voor organisaties die overwegen om CustomerConnect te gebruiken, is dit misschien wel het belangrijkste signaal: we nemen security zo serieus dat we er actief naar zoeken, extern laten testen, en transparant zijn over onze aanpak. Dat is fundamenteel anders dan organisaties die pas in actie komen wanneer er al een incident is.

Tot slot: security is nooit 'klaar'

Er komt nooit een moment waarop we kunnen zeggen: "Nu is CustomerConnect 100% veilig, we zijn klaar." Security is geen eindpunt maar een proces. Een continue cyclus van testen, leren, verbeteren en opnieuw testen.

Wat we wel kunnen zeggen: we nemen die verantwoordelijkheid serieus. We investeren in pentesten, certificeringen, training en tooling. We zijn transparant over onze aanpak. En we handelen snel wanneer er actie nodig is.

Voor de miljoenen mensen van wie de gegevens via CustomerConnect worden verwerkt, voor de klanten die ons vertrouwen, en voor de service providers waarmee we samenwerken: dat commitment is onze belofte.

Wil je meer weten over hoe Customer Connect de communicatie tussen bedrijven en klanten veiliger, efficiënter en betrouwbaarder maakt? Ontdek onze klantcommunicatie oplossingen

Op zoek naar een betrouwbare partner in klantcommunicatie?
Of je nu een potentiële nieuwe klant bent met een project voor Harmony, of een consultant op zoek naar een nieuwe uitdaging - wij gaan altijd voor een lange en duurzame relatie.
Spreek met ons over een project
Gerelateerde artikelen
Alle artikelen
Harmony IT en Jetmail introduceren kostenefficiënt communicatie- platform voor publieke en private sector
Klantcommunicatie
Harmony IT en Jetmail BV hebben vandaag hun strategische samenwerking aangekondigd om samen een geïntegreerd communicatieplatform aan te bieden.
Lees meer
Achter de schermen bij de premie-aanpassing van zorgverzekeraars
Klantcommunicatie
In de wereld van zorgverzekeringen is het einde van het jaar een cruciale periode. Het is het moment waarop zorgverzekeraars zoals Menzis, ONVZ en Zorg & Zekerheid de premies voor het nieuwe jaar bekendmaken aan hun klanten. Dit betekent een golf van informatie die de verzekerden bereikt via diverse kanalen zoals papier, e-mail en websites. Maar hoe komt de juiste informatie precies bij de juiste klant terecht?
Lees meer
Hoe personaliseer je klantcommunicatie?
Klantcommunicatie
Customer experience (CX) staat voor de emotionele en rationele menselijke binding die tot stand komt tussen de klant en een organisatie. CX omvat de beleving van de klant en kijkt naar de manier waarop de gehele service wordt ervaren. Ook de ervaring met diverse kanalen en contactmomenten horen daarbij. Klantcommunicatie kan gezien worden als het visitekaartje voor je organisatie. Via onze CCM in the Cloud oplossing (Customer Communication Management) kan je hier onderscheidend in zijn!
Lees meer
E-mail Effectiviteit Ontcijferd
Klantcommunicatie
Ondanks het feit dat de email ondertussen al 52 jaar oud is, is het nog steeds een van de krachtigste middel om je doelgroep te bereiken. Een goeie email kan de aandacht van (potentiële) klanten vangen en je bedrijf laten schitteren te midden van de concurrentie. Maar om dit te laten gebeuren, moeten ze wel juist worden ingezet. Daarom is het cruciaal om inzicht te hebben in de effectiviteit van je mailings. In deze blog nemen we je mee in de kunst van meten en optimaliseren.
Lees meer
CCM in the Cloud & Maatschappelijk Verantwoord Ondernemen
Klantcommunicatie
Bij Harmony zijn we ons bewust van onze impact op de samenleving en het milieu. We streven ernaar om deze impact te minimaliseren en nemen onze verantwoordelijkheid. Vanuit Customer Communication Management (CCM) houden wij ons bezig met klantcommunicatie. Op het gebied van klantcommunicatie is de impact van digitale communicaties op het milieu kleiner dan bij fysieke communicaties en vaak ook efficiënter. Denk aan het digitaal (meervoudig) ondertekenen van een communicatie. Dat gaat veel sneller dan de conventionele manier waarbij een papieren document geprint en gescand wordt en het een tijdrovende en arbeidsintensieve klus is om ervoor te zorgen dat het document door alle partijen getekend wordt.
Lees meer
Til jouw e-mail communicatie naar een hoger niveau met CCM in the Cloud
Klantcommunicatie
E-mail is niet meer weg te denken uit de communicatietoolkit van bedrijven. Het is een snelle en goedkope manier om klanten te bereiken met gepersonaliseerde boodschappen. Maar communiceren via e-mail heeft ook een pijnpunt waar bedrijven soms niet bij stilstaan, namelijk de opmaak. Met CCM in the Cloud, het communicatieplatform van Harmony, zorg je ervoor dat de e-mails die je verstuurt er áltijd netjes uitzien en in lijn liggen met jouw huisstijl.
Lees meer

Wij helpen bedrijven groeien door digitale transformatie
met business consultancy en IT-oplossingen.

Onze producten
Business Next StepMuleSoftOutSystemsCustomerConnect
Onze diensten
Business ConsultancyBusiness Architectuur24/7 Servicedesk
Meer weten?
Boek een demoBlog
Over Harmony
ContactWorking @ HarmonyWie wij zijn
Follow us:
Responsible DisclosurePrivacy Policies
No items found.