Veel organisaties en individuen vertrouwen op Paragin Group voor veilige opslag van hun gegevens. Dit nemen we niet lichtvaardig op. Veiligheid, betrouwbaarheid en beveiliging zijn kernbegrippen binnen onze organisatie, die we elke dag met grote zorg behandelen. Dit zorgt ervoor dat we een betrouwbare partner zijn voor onze klanten, partners en gebruikers.
Naleving en certificering
We implementeren beveiliging op basis van bewezen best practices. Er zijn geen compromissen of uitzonderingen toegestaan: alle relevante controles in de ISO 27001-norm zijn van toepassing verklaard en zijn ingebed in onze organisatie - met uitzondering van de controles die niet binnen onze organisatie plaatsvinden. Dit wordt periodiek gecontroleerd en gecertificeerd door externe auditors. Meer informatie over ISO 27001 vind je hieronder.
Veilige en robuuste software
We werken hard om robuuste en veilige software te ontwikkelen. Dankzij firewalls, taakverdeling en de configuratie met hoge beschikbaarheid van onze infrastructuur bieden we een uptime van 99,5% of meer per maand, die 24/7 wordt bewaakt door ons technisch team en gedocumenteerd in Service Level Agreements (SLA's) en gegevensverwerkingsovereenkomsten, zodat u en uw gebruikers gemoedsrust hebben.
Datacenters en netwerken
De datacenters waarin de serverinfrastructuur van Paragin is ondergebracht, zijn, net als onze eigen organisatie, ISO 27001-gecertificeerd. Samen met onze partners werken we aan een volledig beveiligde keten waarin software, hardware en menselijke processen en procedures elkaar versterken. Dit wordt regelmatig getest door externe organisaties en ons interne beveiligingsteam met beveiligingsaudits en penetratietests.
Authenticatie en versleuteling
Single Sign-On, 0Auth2-authenticatie, SAML-ondersteuning, SURFconext, identiteitsbeheer, Microsoft Entra, twee-factor-authenticatie (TOTP), wachtwoordhashing met behulp van adaptieve algoritmen: onze software implementeert veilige authenticatie met behulp van industriestandaard protocollen. Alle communicatie wordt versleuteld met behulp van TLS met een minimum A-rating, zodat alle gegevens die u met onze software uitwisselt, versleuteld en veilig zijn.
Ons privacybeleid en ISO 27001-certificeringen
Sinds 2015 is Paragin Group gecertificeerd volgens de internationale norm voor informatiebeveiliging en -beheer, ISO 27001. Paragin Group is gecertificeerd voor alle beheerde technische activa en alle softwareproducten die we aanbieden. Dit biedt jou en je gebruikers:
- Beveiliging van informatie en gegevens in de software van Paragin, waarbij alle gegevens zijn opgeslagen binnen de Europese Economische Ruimte (EER);
- Vertrouwen met betrekking tot de naleving van wet- en regelgeving met betrekking tot informatiebeveiliging en privacy, zowel nu als in de toekomst;
- Een sterke technische basis gebaseerd op beste praktijken, die regelmatig door onafhankelijke organisaties worden getest door middel van beveiligings- en penetratietests;
- Alleen geautoriseerde toegang tot gegevens, zowel fysiek als online;
- Continue monitoring en verbetering van processen en procedures.
Subverwerkers
Paragin Group maakt gebruik van generieke of productspecifieke externe subverwerkers en partners om ons te helpen diensten en software te leveren aan onze klanten, partners en gebruikers. Als voorwaarde om een subverwerker in staat te stellen persoonsgegevens te verwerken, sluit Paragin Group een schriftelijke overeenkomst met elke subverwerker die verplichtingen inzake gegevensbescherming bevat die minstens even beschermend zijn als de technische en organisatorische maatregelen die Paragin Group zelf heeft genomen om persoonsgegevens van klanten te beschermen tegen onbedoelde of onwettige vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking of toegang.
Dit overzicht van subprocessors is voor het laatst bijgewerkt op 20 augustus 2025 en is effectief vanaf 1 september 2025. Zie hieronder voor een overzicht van wijzigingen in dit overzicht van subverwerkers.
Onze productspecifieke subverwerkers
| Subverwerker: | Amazon-webservices |
| Omschrijving/doel: | Datacenters en infrastructuur |
| Verwerkingslocatie (s): | Nederland, Duitsland, Luxemburg |
| Subverwerker: | Cloutive Technology Solutions B.V. |
| Omschrijving/doel: | Infrastructuurondersteuningspartner met toegang tot hostinginfrastructuur |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Amazon-webservices |
| Omschrijving/doel: | Datacenters en infrastructuur |
| Verwerkingslocatie (s): | Nederland, Duitsland, Luxemburg |
| Subverwerker: | Cloutive Technology Solutions B.V. |
| Omschrijving/doel: | Infrastructuurondersteuningspartner met toegang tot hostinginfrastructuur |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Sentry/Functional Software, Inc. |
| Omschrijving/doel: | Foutregistratie, monitoring en rapportage |
| Verwerkingslocatie (s): | Duitsland |
| Subverwerker: | Amazon-webservices |
| Omschrijving/doel: | Datacenters en infrastructuur |
| Verwerkingslocatie (s): | Nederland, Duitsland, Luxemburg |
| Subverwerker: | Cloutive Technology Solutions B.V. |
| Omschrijving/doel: | Infrastructuurondersteuningspartner met toegang tot hostinginfrastructuur |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Sentry/Functional Software, Inc. |
| Omschrijving/doel: | Foutregistratie, monitoring en rapportage |
| Verwerkingslocatie (s): | Duitsland |
| Subverwerker: | Amazon-webservices |
| Omschrijving/doel: | Datacenters en infrastructuur |
| Verwerkingslocatie (s): | Nederland, Duitsland, Luxemburg |
| Subverwerker: | Cloutive Technology Solutions B.V. |
| Omschrijving/doel: | Infrastructuurondersteuningspartner met toegang tot hostinginfrastructuur |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Sentry/Functional Software, Inc. |
| Omschrijving/doel: | Foutregistratie, monitoring en rapportage |
| Verwerkingslocatie (s): | Duitsland |
| Subverwerker: | ProctorU, Inc. d/b/a/Meaure Learning |
| Omschrijving/doel: | Partner voor bewaking op afstand, compatibel met SOC 2 Type II |
| Verwerkingslocatie (s): | In de VS gevestigde versleutelde servers (AES 256) |
| Subverwerker: | Microsoft Corporation - Azure |
| Omschrijving/doel: | Opslag van documenten, hosting van specifieke diensten |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | MongoDB, Inc. |
| Omschrijving/doel: | Hosting en beheer van databases |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Microsoft Corporation - Azure |
| Omschrijving/doel: | Opslag van documenten, hosting van specifieke diensten |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | MongoDB, Inc. |
| Omschrijving/doel: | Hosting en beheer van databases |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Microsoft Corporation - Azure |
| Omschrijving/doel: | Opslag van documenten, hosting van specifieke diensten |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | MongoDB, Inc. |
| Omschrijving/doel: | Hosting en beheer van databases |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Onderling verbinden |
| Omschrijving/doel: | Datacenter, hosting, hardwarebeheer, systeembeheer |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Amazon-webservices |
| Omschrijving/doel: | Datacenters en infrastructuur |
| Verwerkingslocatie (s): | Nederland, Duitsland, Luxemburg |
| Subverwerker: | Cloutive Technology Solutions B.V. |
| Omschrijving/doel: | Infrastructuurondersteuningspartner met toegang tot hostinginfrastructuur |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Amazon-webservices |
| Omschrijving/doel: | Datacenters en infrastructuur |
| Verwerkingslocatie (s): | Nederland, Duitsland, Luxemburg |
| Subverwerker: | Cloutive Technology Solutions B.V. |
| Omschrijving/doel: | Infrastructuurondersteuningspartner met toegang tot hostinginfrastructuur |
| Verwerkingslocatie (s): | Nederland |
| Subverwerker: | Sentry/Functional Software, Inc. |
| Omschrijving/doel: | Foutregistratie, monitoring en rapportage |
| Verwerkingslocatie (s): | Duitsland |
Servicespecifieke subverwerkers van Paragin Group
Om onze diensten als bedrijf te leveren, worden de volgende subverwerkers gebruikt voor het contact met onze organisatie. Deze platforms worden nooit gebruikt voor gegevens van studenten of kandidaten.
| Subverwerker | Omschrijving/doel: | Categorieën van persoonsgegevens | Verwerkingslocatie (s) |
|---|---|---|---|
| Atlassian Corporation | Online documentatie- en serviceondersteuningssysteem | Naam, geslacht en e-mailadres van functionele beheerders en belangrijke gebruikers. Potentieel persoonlijk identificeerbare gegevens in ondersteuningstickets. | Binnen de EER |
| Asana, Inc. | Software voor projectbeheer | Naam, geslacht en e-mailadres van contactpersonen van klanten, functionele beheerders en belangrijke gebruikers. | Binnen de EER |
| Productbord, Inc. | Beheer en openbaarmaking van de routekaart | Naam, geslacht en e-mailadres van functionele beheerders en belangrijke gebruikers. | Binnen de EER |
| Zendesk, Inc. | Online documentatie, kenniscentra en ticketingsysteem | Naam, geslacht en e-mailadres van functionele beheerders en belangrijke gebruikers. Potentieel persoonlijk identificeerbare gegevens in ondersteuningstickets. | Binnen de EER |
Klantspecifieke subverwerkers
Om aanvullende diensten binnen onze softwareproducten te leveren, kan onze software connecteren/integreren met andere leveranciers van de klant om de totaaloplossing te leveren. De uitwisseling met deze partijen vindt uitsluitend plaats op basis van de Verwerkersovereenkomst van de klant met deze leveranciers. Een overzicht van mogelijke integratiepartners wordt getoond in het onderstaande overzicht.
| Categorie subverwerkers | Categorieën persoonsgegevens |
| Archiveringssystemen | Export van persoonsgegevens met betrekking tot voltooide opdrachten naar een archiveringssysteem in overeenstemming met de accreditatievereisten. |
| Business Intelligence-platforms | Uitwisseling van (niet-persoonlijke) gebruikers-/gebruiksgegevens voor het opzetten van externe dashboards. |
| Loopbaantests | Uitwisseling van persoonsgegevens van kandidaten voor het gebruik van de sollicitatie- of loopbaantest. |
| CRM | Uitwisseling van persoonsgegevens van gebruikers van en/of naar het leerbeheersysteem. |
| Digitaal ondertekenen | Uitwisseling van persoonsgegevens in overeenkomsten die digitaal ondertekend moeten worden. |
| Geïntegreerde diensten voor examens | Uitwisseling van identificeerbare gegevens (bijv. IP-adressen) met integraties van examenvragen van derden, bijvoorbeeld in STEM en wiskunde |
| Examenlocaties (fysiek) | Uitwisseling van persoonsgegevens voor de toets- en examenplanning, inclusief controle van persoonlijke identificatiedocumenten. |
| Examensystemen | Uitwisseling van persoonsgegevens voor de toets- en examenplanning en uitwisseling van cijfers en feedback. |
| Federatieve aanmelding | Uitwisseling van persoonsgegevens voor het identificeren en authenticeren van gebruikers. |
| HR-systemen | Uitwisseling van persoonsgegevens van werknemers voor het gebruik van de applicatie. |
| Systemen voor leerbeheer | Uitwisseling van persoonsgegevens van gebruikers van en/of naar het leerbeheersysteem. |
| Betalingsproviders | Uitwisseling van (geminimaliseerde) persoonsgegevens van kandidaten voor de verwerking van betalingen. |
| Aanbieders van plagiaat | Uitwisseling van (geminimaliseerde) persoonsgegevens van kandidaten en het uitvoeren van plagiaatscans op ingezonden werk. |
| Proctoring op afstand | Uitwisseling van persoonsgegevens, waaronder visueel/video, voor de test- en examenplanning en proctoring op afstand, inclusief controle van persoonlijke identificatiedocumenten. |
| Informatiesystemen voor studenten | Uitwisseling van persoonsgegevens van gebruikers van en/of naar het studenteninformatiesysteem. |
| Software/services voor tekst-naar-spraak | Uitwisseling van identificeerbare gegevens (bijv. IP-adressen) met tekst-naar-spraak-integraties van derden |
Tabel met versies en wijzigingen
Vanwege de aard van onze wereldwijde activiteiten en onze voortdurende inspanningen om onze klanten, partners en gebruikers te ondersteunen, te faciliteren en tevreden te stellen, kunnen onze subverwerkers van tijd tot tijd veranderen. We kunnen bijvoorbeeld een subverwerker afkeuren om ons gebruik van subverwerkers te consolideren en tot een minimum te beperken, of we kunnen een subverwerker toevoegen als we denken dat dit ons vermogen zal vergroten om onze software en diensten op een betere of robuustere manier te leveren.
U kunt per e-mail meldingen ontvangen als we deze pagina bijwerken om subverwerkers toe te voegen of te vervangen, als een van onze subverwerkers de diensten die ze leveren wezenlijk wijzigt, of als ze hun voorwaarden of verwerkingslanden wijzigen. Alle wijzigingen in de overzichten van subverwerkers op deze pagina worden in de onderstaande tabel bijgehouden.
| Versie | Categorieën | Aangebrachte wijzigingen | Effectief per |
|---|---|---|---|
| 1,0 | Alles | Publicatie eerste versie met het overzicht van de subprocessor | 1 september 2025 |
Escrow en continuïteit
Paragin Group is een betrouwbare organisatie met jarenlange oprichters/management die sinds 2000 bij de organisatie werken, een langetermijnvisie en bedrijfsmodel, en een groot en divers klantenbestand. Dit is echter niet altijd een garantie voor het voortbestaan van een organisatie. Om de belangen en continuïteit van onze klanten en partners te waarborgen, hebben we een escrow-regeling opgesteld om de continuïteit en beschikbaarheid van de software van Paragin Group te waarborgen.
Paragin Group biedt hiervoor een escrow-overeenkomst in een driewegovereenkomst met Escrow4all B.V. Escrow4all is ISO/IEC 27001-gecertificeerd en is ook een goedgekeurde escrow-provider voor onder andere Microsoft en ICANN.
Voor het aangaan en onderhouden van de escrow-overeenkomst en de continuïteitsgarantie op naam van de klant kunnen jaarlijkse kosten in rekening worden gebracht. Klanten die voor deze optie kiezen, worden in het Escrow4all-portaal geregistreerd als stakeholder en worden actief op de hoogte gehouden van de status van de escrow-overeenkomst. Dit beschermt de rechten van onze klanten, en Escrow4all is er onmiddellijk van op de hoogte als de escrow-regeling moet worden geactiveerd. Voor meer informatie over de mogelijkheden kunt u contact met ons opnemen.
Openbaarmaking van verantwoorde kwetsbaarheden
Bij Paragin Group vinden we de veiligheid en beveiliging van onze software van het grootste belang. Ondanks onze toewijding aan systeembeveiliging, zoals hierboven beschreven, kunnen er nog steeds kwetsbaarheden optreden.
Als je een kwetsbaarheid hebt ontdekt in een van onze softwareproducten, laat het ons dan weten zodat we zo snel mogelijk actie kunnen ondernemen. We doen er alles aan om met u samen te werken om onze klanten, gebruikers, partners en onze systemen zo goed mogelijk te beschermen.
In de geest van verantwoorde openbaarmaking vragen we u om:
- Mail je bevindingen naar support@paragin.com;
- Maak geen misbruik van de geïdentificeerde kwetsbaarheid door bijvoorbeeld meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van derden te openen, te verwijderen of te wijzigen;
- Een sterke technische basis gebaseerd op beste praktijken, die regelmatig door onafhankelijke organisaties worden getest door middel van beveiligings- en penetratietests;
- Deel de kwetsbaarheid niet met anderen totdat deze is opgelost en verwijder alle vertrouwelijke gegevens die via de kwetsbaarheid zijn verkregen onmiddellijk nadat deze is opgelost;
- Gebruik geen fysieke beveiligingsaanvallen, gedistribueerde denial-of-service, spam of toepassingen van derden; geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. De URL van het getroffen systeem en een beschrijving van de kwetsbaarheid zijn meestal voldoende, maar er kunnen complexere kwetsbaarheden nodig zijn.
Wat we beloven in het kader van verantwoorde openbaarmaking:
- We behandelen uw melding vertrouwelijk en delen uw persoonsgegevens niet met derden zonder uw toestemming, tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting. Melden onder een pseudoniem is mogelijk;
- We houden u op de hoogte van de voortgang van het oplossen van het probleem;
- In de communicatie over het gemelde probleem zullen wij, indien u dat wenst en op prijs stelt, uw naam als ontdekker vermelden;
- Als u het probleem hebt gemeld in overeenstemming met deze verklaring inzake verantwoorde openbaarmaking, zullen we geen juridische stappen ondernemen — we waarderen en waarderen uw inbreng;
- Als dank voor je hulp bieden we een beloning voor elke melding van een beveiligingsprobleem dat ons nog niet bekend is. De hoogte van de beloning wordt bepaald op basis van de ernst van de kwetsbaarheid en de kwaliteit van het rapport. We streven ernaar om problemen zo snel mogelijk op te lossen en werken graag actief samen met iedereen die ons kan helpen.
De bovenstaande verklaring maakt deel uit van het initiatief voor verantwoorde openbaarmaking om de softwarebeveiliging te verbeteren. Met dank aan Floor Terra en coordinatedvulnerability disclosure.org.
Meer informatie
We hopen dat deze pagina zoveel mogelijk informatie geeft over onze aanpak van informatiebeveiliging en privacybescherming. Als u echter nog vragen heeft, kunt u ons een e-mail sturen naar support@paragin.com.