Juridisch & beleid

Beveiliging en naleving

Bijgewerkt 3.11.2025

Bij Mapita nemen we gegevensbescherming serieus. Wij zetten ons in om te voldoen aan wetgeving en normen met betrekking tot gegevensbeveiliging, privacy en toegankelijkheid, zowel in de Europese Unie als wereldwijd. Maptionnaire is ontwikkeld in de veronderstelling dat de service kan en zal worden gebruikt om persoonlijke informatie te verzamelen, inclusief gevoelige persoonlijke informatie.

Alle aspecten van Maptionnaire zijn vanaf het begin ontworpen om rekening te houden met dit uitgangspunt en om ervoor te zorgen dat de verzamelde informatie veilig is in alle stadia van de levenscyclus. We gebruiken administratieve, organisatorische, technische en fysieke waarborgen om de persoonlijke gegevens die we verzamelen en verwerken te beschermen. Onze beveiligingscontroles zijn ontworpen om een passend niveau van vertrouwelijkheid, integriteit, beschikbaarheid, veerkracht en herstelmogelijkheid van gegevens te handhaven.

Maptionnaire streeft ernaar een open en toegankelijk engagementplatform te bieden dat beschikbaar is voor een zo breed mogelijk publiek. Maptionnaire voldoet aan het AA-niveau van de Web Content Accessibility Guidelines (WCAG 2.1). Toegankelijkheid is een topprioriteit voor ons en we streven er altijd naar om ervoor te zorgen dat ons platform voldoet aan de hoogste toegankelijkheidsnormen en best practices. We doen dit bijvoorbeeld door ervoor te zorgen dat alle vragenlijstelementen dienovereenkomstig zijn gecodeerd en dat schermlezers en andere ondersteunende technologie respondenten kunnen helpen bij het gebruik van de service.

Onze service is ISO 27001 gecertificeerd, wat betekent dat onze beheersystemen voor informatiebeveiliging voldoen aan internationale normen. U kunt ons certificaat hier vinden.

De service wordt intern ontwikkeld in Helsinki, Finland.

1. Privacy

‍

Processing Agreement (DPA) including the European Commission’s Standard Contractual Clauses (SCC) in place to govern the sub-processing and transfer of this data.

Visiting Maptionnaire Questionnaires with maps

Maptionnaire questionnaires are quite often map based, which means that when you visit a questionnaire, you may be retrieving maps from a third party. In that case the map provider will receive your IP address and browser information as well as information about which area of the map is being loaded.

Maptionnaire offers two third party map providers for creators to use in their questionnaires: MapTiler and Mapbox. Both companies are well established, reliable providers of mapping services. Mapbox is a USA based company and Maptionnaire has an appropriate DPA including SCCs in place to govern the sub-processing and transfer of this data. MapTiler is based in Switzerland and has a strong emphasis on privacy including a maximum retention time of 20 minutes for data that is being processed by them.

Creators can also choose to use other mapping providers in questionnaires. In that case it is the responsibility of the creator of the questionnaire to ensure a suitable DPA is in place, and to give proper notification thereof to visitors of the questionnaire.

Youtube and Vimeo

Maptionnaire allows creators to embed Youtube and Vimeo videos in questionnaires and pages. When you reach a page that contains such an embedded video, your IP address and browser information will be processed by the relevant company. Maptionnaire only uses privacy preserving “do not track” version of the media players provided by Youtube and Vimeo.

Youtube and Vimeo only provide DPAs for content creators on their platform. It is thus the responsibility of the creator of the questionnaire to ensure a suitable DPA is in place, and to give proper notification thereof to visitors of the questionnaire or page.

Social sharing buttons

Maptionnaire provides the ability to include social media sharing buttons in questionnaires and pages. Maptionnaire ensures that these sharing buttons do not transmit data unless and until the button is pressed by a visitor.

Accounts and Login providers

Maptionnaire allows users to create accounts on the service by using a functioning email address and password. As an alternative to password based authentication, users can create accounts using  Facebook and Google as authentication providers. In the latter case Maptionnaire ensures that no data is transferred to the authentication providers unless and until the respective “Login with…” button is pressed by a visitor.

When using an authentication provider Maptionnaire receives the email address associated with the provider account as well as an application specific unique authentication token. We only requests the minimal possible set of information from the provider and ensure that only the email address and authentication token are used by Maptionnaire.

Organisation specific Microsoft SSO is also available.

2. Security

Maptionnaire’s primary aim is to guarantee the confidentiality, integrity, and availability of response data collected by our customers. To achieve this goal, Maptionnaire has implemented technical and organizational controls in accordance with the ISO27001 standard for information security management. Maptionnaire also conducts regular security reviews and penetration testing by accredited external reviewers. Below is a non-exhaustive list of some of the most important controls in place.

Application

Application servers and databases have secure access controls in place and run recent, security supported OS / database versions with automatic security updates enabled. Maptionnaire uses security-supported, recent versions of all software and packages needed for providing the service.

Application deployment ensures continuity by using version control, continuous deployment, continuous integration, and automated testing for zero downtime updates with last known good state fallbacks. Maptionnaire runs in a fault-tolerant, redundant configuration with automated recovery, and servers are continuously monitored for performance issues and deviations from expected behaviour.

Network

All network connections to Maptionnaire are encrypted and we actively maintain an A+ rating on SSLLabs’s SSL Server Test. Internally Maptionnaire  servers and databases operate in redundant Virtual Private Networks (VPN) with strict access control. In particular database servers are only accessible from within the VPN, and administrative access to application servers is limited to PEM certificate based authentication from whitelisted IP addresses.

Data

Data is encrypted at rest and during transfer. Application servers and databases make regular encrypted backups with daily, weekly, and monthly retention policies. These backups are retained for a maximum of 2 years. The Maptionnaire service logs access to response data, and these logs are available to users with the appropriate access permissions in their Maptionnaire team.

Maptionnaire is committed to providing access to the response data (for users with the appropriate access permissions) in an open and standard format.

3. Hosting

Maptionnaire is hosted by amazon Web Services (AWS). AWS is a well known, reliable, and secure cloud provider that meets the requirements of several globally recognized security standards including ISO27001 and SOC. Read more about AWS’s security and compliance.

The Maptionnaire service is deployed in AWS’s US and Ireland data centers.

4. Toegankelijkheid

Maptionnaire volgt de W3C-standaard voor het ontwikkelen van webservices. Maptionnaire volgt de toegankelijkheidsrichtlijn van de EU en verplicht zich tot het implementeren van niveau AA van de Web Content Accessibility Guidelines (WCAG2.1), ontwikkeld door het W3C.

Uitzonderingen

Achtergrondkaarten en andere webgebaseerde kaartdiensten zijn niet compatibel met ondersteunende technologie. Hierdoor zijn kaartgebaseerde onderdelen van Maptionnaire inherent incompatibel met bepaalde toegankelijkheidshulpmiddelen zoals schermlezers. Dit is een algemeen erkend probleem en daarom worden kaartgebaseerde webdiensten expliciet uitgezonderd in de toegankelijkheidsrichtlijn van de EU en de Finse wet op de levering van digitale diensten.

Toegankelijkheidsniveau

Maptionnaire is bedoeld om de niet-kaartgerelateerde delen van de service toegankelijk te maken, binnen de richtlijnen en normen die hierboven zijn beschreven. In het bijzonder moeten pagina's en elementen van de vragenlijst beschikbaar zijn voor schermlezers en vragenlijsten moeten navigatie via het toetsenbord ondersteunen, inclusief kaarten waar mogelijk. Maptionnaire servicefuncties zijn aanpasbaar en klanten kunnen onbedoeld slecht toegankelijke ontwerpen produceren. Om dit te beperken, zorgen we voor de juiste standaardwaarden en bieden we geschikte kleurenpaletten.

5. Milieu- en sociale verantwoordelijkheid

Mapita zet zich in voor verantwoordelijk zakelijk gedrag en streeft ernaar ethisch goedgekeurde projecten te bevorderen. Wij leggen de nadruk op sociale, economische en ecologische verantwoordelijkheid en op eerlijkheid en transparantie in onze relaties met werknemers, partners, klanten, autoriteiten en andere belangengroepen. Wij zetten ons in om internationaal erkende mensenrechten in al onze activiteiten te respecteren en deze in de praktijk te bevorderen.

Wij zetten ons in om ervoor te zorgen dat moderne slavernij, dwang- en kinderarbeid en mensenhandel geen rol spelen in onze toeleveringsketen of in enig onderdeel van ons bedrijf. Mapita voldoet aan internationale, nationale en lokale wet- en regelgeving en respecteert internationale overeenkomsten met betrekking tot mensenrechten en arbeidsrechten, zoals de Universele Verklaring van de Rechten van de Mens van de Verenigde Naties, en veroordeelt het gebruik van dwang- en kinderarbeid.

Mapita maakt waar mogelijk milieubewuste keuzes. We willen een service leveren die onze klanten ondersteunt bij het bereiken van hun duurzaamheidsdoelen.

• Ons kantoor is papierloos. Overeenkomsten en ander papierwerk worden elektronisch afgehandeld.
• Er wordt rekening gehouden met energiezuinigheid doordat iedereen alleen laptops heeft. Verlichting maakt gebruik van spaarlampen en lampen worden uitgeschakeld als de ruimtes niet worden gebruikt.
• Ons kantoor is zo gevestigd dat iedereen er gemakkelijk met het openbaar vervoer naartoe kan komen. Velen van ons gaan ook op de fiets of lopend naar het werk.
• We gebruiken elektronische middelen om met onze klanten te communiceren, maar als vliegen nodig is, compenseren we de CO2-uitstoot.
• Circulaire economie is altijd onze eerste optie bij het inkopen van meubilair en andere kantoorbenodigdheden.
• We doen ons uiterste best om de productie van elektronisch afval tot een minimum te beperken en streven ernaar om elektronische apparaten van goede kwaliteit aan te schaffen die binnen het bedrijf kunnen worden hergebruikt.
• We serveren alleen vegetarisch eten op onze evenementen en onze koffiekopjes bevatten alleen plantaardige dranken.