Data Governance & Security Overzicht
ISO 27001 ISMS — Informatief document voor integrators & partners
| Opgesteld voor | Integratiepartner — informatief gebruik |
| Datum | Maart 2026 |
| Classificatie | Vertrouwelijk — Beperkte verspreiding |
| Eigenaar | CISO, TelSmart BV |
| Status ISMS | In opmaak — ISO 27001 certificering lopend |
1. Scope & Organisatie
Dit document beschrijft hoe TelSmart omgaat met de data van haar klanten. Het biedt een overzicht voor partners en integratoren die samenwerken met TelSmart en waarbij vragen rond security en GDPR relevant zijn.
1.1 Juridische entiteit & locaties
| Bedrijfsnaam | The Smart Group BVBA — TelSmart |
| Primaire locatie | Torhoutsesteenweg 236, 8210 Zedelgem |
| Secundaire locatie | Grootrees 12, 2460 Kasterlee |
| ISMS scope | Softwareontwikkeling en implementatie van cloud-gebaseerde VoIP-telefonie en gerelateerde integratieoplossingen |
| IT-infrastructuur | Volledig binnen ISMS-scope: zowel on-premise als AWS-omgeving |
1.2 Afdelingen binnen scope
Management — Sales — Internal IT — Development — DevOps — Finance — HR — Support / Deployment
2. Datalocatie & Infrastructuur
2.1 Primaire hosting — AWS Frankfurt
| Cloud provider | Amazon Web Services (AWS) |
| Regio | eu-central-1 — Frankfurt, Duitsland (binnen EU/EER) |
| Diensten | EC2 (compute), ECS (containers) |
| Redundantie | Minimaal 2 availability zones voor alle kritieke services |
| Uitzondering | SBC’s (Session Border Controllers): manuele interventie bij uitval |
| Primaire verbinding | Colt (primair) + Sewan (failover) |
| Internetklanten | edpnet, via Proximus-infrastructuur |
Alle klantdata blijft binnen de Europese Economische Ruimte. Er wordt geen data opgeslagen buiten de EU/EER.
2.2 Back-upbeleid
AWS Cloud Back-up (productiediensten)
- Dagelijkse geautomatiseerde back-ups via AWS Backup Plans
- Back-updata blijft binnen eu-central-1 (Frankfurt)
- Versleuteld opgeslagen via AWS KMS — AES-256
- Retentietermijn: minimaal 30 dagen voor dagelijkse back-ups; langetermijn conform dataretentiebeleid
- Jaarlijkse restore-test: IT voert minimaal één volledig herstel uit in testomgeving en documenteert het resultaat
- Verantwoordelijkheid: IT Manager / System Administrator, gerapporteerd aan CISO
On-premise (House of Happiness)
- Back-ups beheerd via Proxmox, opgeslagen op Synology NAS
- Dagelijkse back-ups, offloaded naar Backblaze
⚠ Gedetailleerde per-service herstelprocedures zijn in voorbereiding en worden gedocumenteerd door de System Administrator.
3. Gegevensbescherming & Encryptie
3.1 Encryptie-overzicht
| Asset / Systeem | Encryptiemethode | Algoritme / Protocol |
|---|---|---|
| Laptops / endpoints | BitLocker schijfversleuteling | AES-128 / AES-256 |
| VPN-verbindingen | FortiClient / AWS Endpoint VPN | TLS 1.1 of hoger |
| Websites & API’s | SSL-certificaten | SHA-256 |
| E-mailverkeer | Verplicht versleuteld | TLS |
| Wachtwoorden | Hashing (voorkeur) of schijfversleuteling | PBKDF2-256 |
| Opnames & samenvattingen | AWS KMS versleuteling | AES-256 |
3.2 Defense-in-depth aanpak
- Laag 1 — Beleid: informatieveiligheidsbeleid, clean desk, teleworking richtlijnen
- Laag 2 — Toegangsbeheer: need-to-know, Active Directory security groups, MFA
- Laag 3 — Encryptie: data in transit (TLS) en at rest (AES-256)
- Laag 4 — Logging & monitoring: event logging voor detectie van malicieuze activiteit
- Laag 5 — Pseudonimisering / anonimisering waar van toepassing
4. Toegangsbeheer
4.1 Principes
- Standaard verboden, tenzij expliciet toegestaan (default-deny principe)
- Need-to-know basis: toegang gekoppeld aan functie en aantoonbare noodzaak
- Privileged access beperkt tot goedgekeurd personeel, jaarlijks gereviewd
- MFA toegepast waar technisch mogelijk
- Bij uitdiensttreding: onmiddellijke blokkering, rechten ingetrokken, account 6 maanden bewaard voor forensische doeleinden
4.2 Jaarlijkse review per systeem
| Systeem | Verantwoordelijke |
|---|---|
| Active Directory (AD) | IT Manager |
| AWS | IT Manager |
| Telsy / Unify / … | Application Owner |
| Odoo (ERP) | COO |
| Marketing tools | Marketing Manager |
| Administratieve tools | COO |
5. Gespreksopnames & AI-samenvattingen
5.1 Hoe het werkt
TelSmart biedt haar klanten de mogelijkheid om gesprekken op te nemen. Deze opnames worden automatisch verwerkt door een AI-systeem dat een samenvatting genereert. Zowel de opname als de samenvatting worden versleuteld opgeslagen op AWS Frankfurt (eu-central-1).
5.2 Bewaartermijnen
| Type data | Standaard termijn | Afwijking mogelijk? |
|---|---|---|
| Gespreksopnames | 1 jaar | Ja — in schriftelijk overleg met klant |
| AI-samenvattingen | 1 jaar (gelijk aan opname) | Idem als opname |
5.3 Wettelijk kader België
Het Belgische recht legt geen verbod op het opnemen van gesprekken door een deelnemer aan dat gesprek. De relevante wetgeving is als volgt:
Strafwetboek Art. 314bis & WEC Art. 124 — opname door deelnemer toegelaten
- Art. 314bis Strafwetboek verbiedt uitsluitend het opnemen van gesprekken door personen die NIET deelnemen aan dat gesprek, zonder toestemming van alle partijen.
- Zolang de gebruiker zelf deelneemt aan het gesprek, is opname wettelijk toegelaten — ook zonder de andere partij(en) vooraf te verwittigen (bevestigd door rechtspraak Hof van Cassatie en rechtsleer, o.a. Evocaat, elfri.be).
- WEC Art. 124 verbiedt het kennisnemen van informatie die ‘niet voor u bestemd is’ — dit is niet van toepassing wanneer u zelf gespreksdeelnemer bent.
Gebruik en distributie van de opname — hier zit de verantwoordelijkheid
- Het opnemen is toegelaten; wat u daarna met de opname doet, is wél aan strikte regels onderworpen.
- De opname mag niet worden verspreid of gedeeld buiten de eigen organisatie zonder rechtmatige grondslag (Art. 8 EVRM — recht op privéleven).
- Elk gebruik buiten eigen context (bv. publicatie, doorgeven aan derden) kan een schending zijn van Art. 8 EVRM en de GDPR, ongeacht de rechtmatigheid van de opname zelf.
- De opname blijft persoonsdata onder de GDPR: de verwerkingsverantwoordelijke (de klant van TelSmart) draagt de verantwoordelijkheid voor rechtmatige verwerking en beveiliging.
Bewaartermijn — geen wettelijke termijn, wel GDPR-beginsel
- Er bestaat geen specifieke wettelijke bewaartermijn voor gespreksopnames in België.
- De GDPR vereist dat data niet langer bewaard wordt dan noodzakelijk voor het verwerkingsdoel (opslagbeperkingsbeginsel, Art. 5 GDPR).
- TelSmart hanteert 1 jaar als standaardtermijn; langere bewaring is mogelijk in schriftelijk overleg met de klant, mits aantoonbaar doel.
Rechten van betrokkenen
- Recht op inzage en kopie van hun opnames (Art. 15 GDPR)
- Recht op verwijdering, tenzij wettelijke bewaarplicht van toepassing is (Art. 17 GDPR)
⚠ De verantwoordelijkheid voor rechtmatig gebruik en distributie van opnames ligt bij de klant als verwerkingsverantwoordelijke. TelSmart treedt op als verwerker en handelt uitsluitend conform de instructies van de klant, vastgelegd in de verwerkersovereenkomst.
5.4 Privacy by design — toegangscontrole samenvattingen
- Per gebruiker is instelbaar dat enkel de betrokken persoon zijn/haar eigen samenvattingen kan raadplegen.
- Samenvattingen die als ‘privé’ zijn ingesteld, blijven privé — ook voor de werkgever.
- Bij uitdiensttreding: TelSmart verleent geen toegang aan het bedrijf tot privé-ingestelde samenvattingen.
- Historische privé-instellingen worden altijd gerespecteerd — wat privé was, blijft privé.
- Dit principe is consistent van toepassing, ongeacht de aanvrager (HR, management, etc.).
- Privécontactenlijst (beschikbaar vanaf juni 2026): medewerkers kunnen privécontacten toevoegen aan een persoonlijke lijst. Gesprekken met deze contacten worden automatisch uitgesloten van opname. Dit is met name relevant voor bedrijven waarbij medewerkers een bedrijfs-GSM gebruiken voor zowel professionele als persoonlijke gesprekken.
Dit is in lijn met CAO 81 (privacy van werknemers) en het GDPR-beginsel van dataminimalisatie.
6. GDPR-compliance
6.1 Dataretentie — overzicht
| CRM-contacten | Max. 5 jaar na laatste contact — daarna verwijderd |
| CDR-records (oproepdata) | Termijn te documenteren — zie aandachtspunten |
| Gespreksopnames | 1 jaar standaard; langer in schriftelijk overleg met klant |
| Facturen (in- en uitgaand) | 10 jaar (wettelijke boekhoudkundige bewaarplicht) |
| HR-dossiers medewerkers | 7 jaar na beëindiging arbeidsovereenkomst |
| E-mailarchief medewerkers | 6 maanden na einde contract |
⚠ CDR-records en voice recordings hebben nog geen vastgestelde retentietermijn in de huidige ISMS-documentatie. Dit wordt aangevuld in overleg met de DPO.
6.2 Datalek- & incidentprocedure
- Melding aan de Gegevensbeschermingsautoriteit (GBA) binnen 72 uur bij waarschijnlijk risico voor betrokkenen (Art. 33 GDPR)
- DPO coördineert de incidentrespons en stelt een incidentresponsteam samen
- Betrokkenen worden geïnformeerd wanneer er een hoog risico bestaat (Art. 34 GDPR)
- Alle datalekken worden geregistreerd in het incidentregister (Freshdesk)
- Contactpunt voor datalekken: sec.incidents@telsmart.eu
6.3 Rechten van betrokkenen
- Recht op inzage: TelSmart kan de opgeslagen data tonen op verzoek
- Recht op verwijdering: verzoeken behandeld in overleg met de DPO binnen 30 dagen
- Verwijdering is niet mogelijk voor data die wettelijk bewaard moet worden
7. Cloud Governance
7.1 Goedkeuringsproces nieuwe clouddiensten
Elke nieuwe clouddienst moet vooraf goedgekeurd worden via een IT-request. Beoordeeld wordt:
- Doel en businessjustificatie
- Geografische opslaglocatie van data
- Aanwezigheid van PII-data
- SSO- en MFA-mogelijkheden
- Privacy Policy en End User Agreement
- Relevante certificeringen (ISO 27001, SOC-2, …)
- Exit-strategie: dataportabiliteit, herstel, datawissing na beëindiging
Na review door de CISO volgt goedkeuring door het managementteam. Bij goedkeuring wordt een cloud service owner aangesteld.
7.2 Wachtwoordbeheer
Toegangscredentials voor alle clouddiensten worden beheerd via de bedrijfsbrede password manager: 1Password.
8. Disclaimer
Dit document is opgesteld op basis van de interne ISO 27001 ISMS-documentatie van TelSmart en is bedoeld als informatief overzicht voor partners en integratoren.
Het juridische luik met betrekking tot gespreksopnames (Sectie 5.3) is gebaseerd op publiek beschikbare Belgische wet- en regelgeving (GDPR, WEC Art. 124) en sectorrichtlijnen. TelSmart adviseert bij specifieke juridische vragen een gekwalificeerde jurist te raadplegen.
Dit document is vertrouwelijk en uitsluitend bestemd voor de ontvanger. Verdere verspreiding vereist schriftelijke toestemming van de CISO van TelSmart.
Let’s make it frictionless.