Je kunt ons vertrouwen

Smartvatten is ISO/IEC 27001:2022 gecertificeerd. Dit is de toonaangevende internationale norm voor informatiebeveiligingsbeheer. Deze certificering laat zien dat onze informatiebeveiligingsmaatregelen op basis van risico zijn, gecontroleerd en doorlopend verbeterd worden.

• Informatiebeveiliging wordt systematisch beheerd, niet ad-hoc

• Risico's worden geïdentificeerd, beoordeeld en behandeld op een gestructureerde manier

• Maatregelen worden gecontroleerd door een onafhankelijke externe auditor

• Veiligheid is ingebed in dagelijks beheer en besluitvorming

Onze SO/IEC 27001:2022 certificering is geldig voor het volgende toepassingsgebied: informatiesystemen die worden gebruikt bij het ontwerpen, produceren en verkopen van watermeetsystemen in overeenstemming met de verklaring van toepasselijkheid (SOA) versie 2.0, gedateerd 17.9.2025.

Dit toepassingsgebied beslaat zowel Smartvattenlocaties in Finland als haar Europese dochterondernemingen. Het toepassingsgebied en de locaties worden beoordeeld en onderhouden als onderdeel van ons beheersysteem.

Een ISO 27001 certificering is niet een eenmalige onderneming. We houden deze op peil door:

• interne audits

• management reviews

• corrigerende maatregelen en verbeteringen

• regelmatige externe controles en hercertificeringsaudits

De verklaring van toepasbaarheid (SoA) is een belangrijk ISO 27001-document waarin wordt uitgelegd welke beveiligingsmaatregelen we toepassen en waarom.

De SoA:

• geeft een overzicht van de beveiligingsmaatregelen uit ISO 27001 Bijlage A

• bepaalt welke maatregelen van toepassing zijn op Smartvatten

• legt uit waarom maatregelen zijn opgenomen of uitgesloten

• documenteert de implementatiestatus van maatregelen die van toepassing zijn

In de praktijk koppelt het onze risicobeoordeling aan de maatregelen die we implementeren.

• Toont een aanpak op basis van risico in plaats van alleen afvinken van checklists

• Biedt auditors en stakeholders transparantie in de selectie van maatregelen

• Zorgt ervoor dat controles blijven aansluiten bij zakelijke en wettelijke vereisten

Om veiligheidsredenen wordt de volledige SoA behandeld als vertrouwelijke documentatie. We kunnen echter passende zekerheidsinformatie verstrekken aan klanten en partners als onderdeel van due diligence of veiligheidsbeoordelingen.

• CEO

  • Keurt het informatiebeveiligingsbeleid goed

  • Draagt de algemene verantwoordelijkheid voor de informatiebeveiliging

• Informatiebeveiligingsmanager

  • Ontwikkelt, onderhoudt en controleert het informatiebeveiligingsbeheersysteem

  • Houdt toezicht op risicomanagement en effectiviteit van beheer

• Informatiebeveiligingscommissie

  • Zorgt voor cross-functioneel toezicht

  • Stemt beveiligingsactiviteiten af op bedrijfsdoelen

De regelmatige evaluatie van informatiebeveiligingsdoelstellingen, risico's en prestaties maakt onderdeel uit van managementprocessen, zodat de beveiliging blijft aansluiten bij de strategie en het beheer van Smartvatten.

• Bedrijfscontinuïteit

Essentiële diensten tijdens storingen beschikbaar houden

• Veiligstelling bedrijfsontwikkeling

Groei, innovatie en samenwerkingen op een veilige manier mogelijk maken

• Risicomanagement & -bewustzijn

Informatiebeveiligingsrisico's identifceren, beoordelen en verminderen in de loop van de tijd

• Compliancebeheer

Voldoen aan de veiligheidseisen voor klanten, contracten en regelgeving

• Beveiligingscultuur

Bouwen aan bewustzijn en een gedeelde verantwoordelijkheid door de hele organisatie

Ons ISMS volgt een doorlopende verbeteringscyclus die het volgende omvat:

• terugkerende risicobeoordelingen

• interne en externe audits

• verificatie van beheer

• trainings- en bewustmakingsactiviteiten

• incidentsimulaties en -evaluaties

Het beleid heeft betrekking op:

• medewerkers van Smartvatten

• leveranciers en partners

• subcontractanten en andere relevante partijen

• beschermen van vertrouwelijkheid, integriteit en beschikbaarheid van informatie

• voorkomen en beperken van veiligheidsincidenten

• naleving van geldende wetten, regels en en normen

Smartvatten heeft procedures vastgesteld om:

• informatiebeveiligingsincidenten te detecteren

• te reageren op en om te gaan met informatiebeveiligingsincidenten

• incidenten te escaleren en te rapporteren op basis van duidelijke richtlijnen

• beveiligde communicatie via versleutelde verbindingen

• toegangs- en machtigingscontroles

• authenticatiemechanismen om identiteit en toegangsrechten te verifiëren

• beveiliging op netwerkniveau voor systemen en apparaten

We beoordelen en beheren veiligheidsrisico's gerelateerd aan:

• cloudservice leveranciers

• technologieleveranciers

• externe servicepartners

Dit is inclusief het beoordelen van relevante certificeringen, auditrapportages en contractuele beveiligingsvereisten.

Informatiebeveiliging is ingebed in alle fases van product- en softwareontwikkeling. Smartvatten integreert veiligheidsmaatregelen voor de volledige levensloop van systeem- en softwarecreatie, beginnend bij ontwerp en doorlopend tot en met de implementatie en het voortdurende onderhoud. Onze veilige ontwikkelingsmethodes zijn opgenomen in onze ISMS en zijn conform de normen van ISO/IEC 27001.

Onze veilige ontwikkelingsaanpak gaat uit van de volgende principes:

• Veiligheid by design en by default

• Risicogebaseerde controleselectie

• Minimale rechten- en toegangscontrole

• Scheiding van omhevingen

• Doorlopende verbetering en leren

• Informatiebeveiligingsrisico's gerelateerd aan software, systemen en veranderingen worden geïdentificeerd en beoordeeld binnen ons ISMS-risicomanagementproces

• Veiligheidsrisico's worden overwogen bij het introduceren van nieuwe functionaliteiten, technologieën of integraties

• Beslissingen over risicobeheer worden gedocumenteerd en gekoppeld aan controles die van toepassing zijn.

• Veiligheidseisen worden meegenomen tijdens het ontwerp van systemen en oplossingen

• Beslissingen over architectuur zijn erop gericht om het aanvalsoppervlak te verkleinen en de explosieradius te beperken

• Authenticatie, autorisatie en veilige communicatie worden behandeld als minimale voorwaarden

• Veranderingen aan systemen en software zijn controleerbaar en traceerbaar

• Toegang tot ontwikkelings-, test- en productieomgevingen is beperkt en afhankelijk van rol

• Taken zijn, waar van toepassing, gescheiden om het risico op ongeautoriseerde of ongeëvalueerde veranderingen te verminderen

• Controles die relevant zijn voor de beveiliging worden geverifieerd als onderdeel van ontwikkelings- en release-activiteiten

• Geïdentificeerden kwetsbaarheden en zwakke plekken worden gevolgd en aangepakt op basis van risico

• Geleerde lessen van incidenten, audits of testen worden ingezet om ontwikkelingspraktijken te verbeteren

• Gebruik van componenten, bibliotheken en diensten van derden wordt beoordeeld met het oog op veiligheidsrisico's

• Vereisten voor leveranciers- en cloudbeveiliging zijn afgestemd op het informatiebeveiligingsbeleid van Smartvatten

• Relevante certificeringen, auditrapporten en contractuele controles worden beoordeeld wanneer dat van toepassing is

• Beveiligde configuraties worden toegepast zodra systemen worden geïmplementeerd

• Logging, monitoring en toegangscontroles ondersteunen een veilige werking

• Beveiligingsupdates en -verbeteringen maken deel uit van doorlopend onderhoud en levenscyclusbeheer

Onze SDLC-praktijken ondersteunen de naleving van:

• ISO/IEC 27001 Annex A-controles, inclusief veilige systeemontwikkeling en veranderingsbeheer

• NIS2- risicomanagementverwachtingen, met name op het gebied van systeembeveiliging, incidentpreventie en weerbaarheid

• beveiligingsvereisten van klanten en partners