Hoe je jouw ISMS Copilot-account kunt beveiligen
Overzicht
Het beveiligen van je ISMS Copilot-account beschermt je gevoelige nalevingsgegevens, klantinformatie en gespreksgeschiedenis. Deze gids laat zien hoe je de juiste verificatiemethode kiest, beveiligingsinstellingen configureert en best practices volgt om je account veilig te houden.
Voor wie is dit?
Dit artikel is bedoeld voor:
Nieuwe gebruikers die hun ISMS Copilot-account instellen
Beveiligingsbewuste professionals die met gevoelige gegevens werken
Compliance-consultants die meerdere klantprojecten beheren
Iedereen die de beveiliging van zijn account wil verbeteren
Voordat je begint
Wat je nodig hebt
Een actief e-mailadres voor accountmeldingen
Toegang tot een sterke wachtwoordmanager (aanbevolen)
Optioneel: Google- of Microsoft-account voor OAuth-verificatie
Gebruik voor maximale beveiliging een wachtwoordmanager zoals 1Password, Bitwarden of LastPass om unieke wachtwoorden te genereren en op te slaan voor elke service die je gebruikt.
Een verificatiemethode kiezen
ISMS Copilot biedt drie verificatiemethoden. Kies de methode die het beste bij jouw beveiligingseisen past:
Optie 1: E-mail & Wachtwoord (Goede beveiliging)
Het meest geschikt voor:
Gebruikers die de voorkeur geven aan traditionele verificatie
Organisaties die geen Google of Microsoft gebruiken
Gebruikers die volledige controle willen over hun inloggegevens
Beveiligingsniveau: Goed (bij gebruik van een sterk, uniek wachtwoord)
Hoe in te stellen:
Ga naar de inlogpagina van ISMS Copilot
Klik op Sign Up
Voer je e-mailadres in
Maak een sterk wachtwoord aan dat aan alle eisen voldoet:
Minimaal 8 tekens
Ten minste één hoofdletter (A-Z)
Ten minste één kleine letter (a-z)
Ten minste één cijfer (0-9)
Ten minste één speciaal teken (!@#$%^&*()_+-=[]{}|;':\"<>?,./`)
Vink het vakje aan: I agree to the terms and conditions and the data processing agreement
Klik op Create account
Verwacht resultaat: "Success! Please check your email to confirm your account."
Gebruik wachtwoorden nooit opnieuw voor verschillende diensten. Als één dienst gecompromitteerd is, kunnen aanvallers toegang krijgen tot al je accounts met hetzelfde wachtwoord. Gebruik altijd een uniek wachtwoord voor ISMS Copilot.
Optie 2: Google OAuth (Betere beveiliging)
Het meest geschikt voor:
Gebruikers met Google Workspace- of Gmail-accounts
Organisaties die Google al gebruiken voor verificatie
Gebruikers die Google's 2-stapsverificatie willen inschakelen
Beveiligingsniveau: Beter (vooral als Google 2FA is ingeschakeld)
Hoe in te stellen:
Ga naar de inlogpagina van ISMS Copilot
Klik op Continue with Google
Selecteer je Google-account
Controleer het machtigingsverzoek
Klik op Allow om toegang te verlenen
Verwacht resultaat: Je bent automatisch ingelogd en wordt omgeleid naar de startpagina van ISMS Copilot.
Wanneer je Google OAuth gebruikt, ziet of bewaart ISMS Copilot je Google-wachtwoord nooit. De verificatie wordt volledig door Google afgehandeld en je kunt de toegang op elk moment intrekken via je Google-accountinstellingen.
Optie 3: Microsoft/Azure OAuth (Betere beveiliging)
Het meest geschikt voor:
Gebruikers met Microsoft 365- of Microsoft Entra ID (Azure AD)-accounts
Enterprise-organisaties die Microsoft-verificatie gebruiken
Gebruikers die de multifactor-authenticatie van Microsoft willen benutten
Beveiligingsniveau: Beter (vooral als Microsoft MFA is ingeschakeld)
Wat ISMS Copilot zal opvragen
Wanneer je inlogt met Microsoft, vraagt ISMS Copilot alleen om drie standaard inlogbereiken:
openid — inlogidentiteit
email — je zakelijke e-mailadres
profile — je naam en basisprofielinformatie
ISMS Copilot vraagt geen toegang tot mailboxen, bestanden, agenda's of andere Microsoft 365-gegevens.
Hoe in te stellen — standaard tenants
Ga naar de inlogpagina van ISMS Copilot
Klik op Continue with Microsoft
Voer je Microsoft e-mailadres en wachtwoord in
Voltooi eventuele MFA-uitdagingen indien ingeschakeld
Controleer het machtigingsverzoek en klik op Accept om toegang te verlenen
Hoe in te stellen — enterprise tenants waarbij toestemming van de gebruiker is uitgeschakeld
Sommige Microsoft Entra-tenants schakelen OAuth-toestemming door eindgebruikers uit als beveiligingsbeleid. Als je gebruikers geen toestemmingsscherm zien (of op Accept klikken en er gebeurt niets), moet een beheerder binnen je organisatie eenmalig toestemming geven voor de hele tenant. Dit is een eenmalige actie die je hele tenant in staat stelt om ISMS Copilot te gebruiken.
Een Microsoft Entra tenant-beheerder bij jouw organisatie opent deze URL, ingelogd als admin, beoordeelt de machtigingen en keurt deze goed:
https://login.microsoftonline.com/{your-tenant-id-or-domain}/adminconsent?client_id={our-client-id}
Na goedkeuring kan iedereen in je tenant die toegang heeft tot ISMS Copilot de knop Continue with Microsoft gebruiken zonder een individueel toestemmingsscherm te zien.
Als je deze URL vooraf ingevuld wilt hebben voor jouw tenant, neem dan contact op met [email protected].
Officiële documentatie van Microsoft voor de admin-consent flow: https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent
Opmerking voor IT-beheerders: Tijdens het beoordelen van de toestemming zie je mogelijk een waarschuwing "publisher not verified". ISMS Copilot is bezig met het voltooien van het verified-publisher-programma van Microsoft. De feitelijke machtigingen die worden verleend, blijven beperkt tot openid, email en profile, ongeacht de verificatiestatus van de uitgever.
SSO instellen voor je hele organisatie? Zie Microsoft SSO instellen voor je organisatie (Azure admin consent).
Beveiligingsvergelijking
Methode | Beveiligingsniveau | MFA-ondersteuning | Beste use-case |
|---|---|---|---|
E-mail & Wachtwoord | Goed | Nee (eigen) | Voorkeur voor traditionele verificatie |
Google OAuth | Beter | Ja (via Google) | Google Workspace-gebruikers |
Microsoft OAuth | Beter | Ja (via Microsoft) | Microsoft 365 / Azure AD-gebruikers |
Multifactor-authenticatie (MFA) inschakelen
ISMS Copilot heeft geen eigen MFA, maar je kunt deze beveiligingslaag toevoegen via OAuth-providers.
Voor Google OAuth-gebruikers
Zoek de sectie 2-stapsverificatie
Klik op Aan de slag
Kies je verificatiemethode:
Google Authenticator-app (meest veilig)
SMS-bericht (minder veilig maar handig)
Telefoongesprek
Beveiligingssleutel (hardware token - hoogste beveiliging)
Volg de installatie-instructies van Google
Sla back-upcodes op een veilige locatie op
Verwacht resultaat: Elke keer dat je inlogt op ISMS Copilot met Google, moet je je tweede factor opgeven.
Voor Microsoft OAuth-gebruikers
Klik op Geavanceerde beveiligingsopties
Zoek Verificatie in twee stappen
Klik op Verificatie in twee stappen instellen
Kies je verificatiemethode:
Microsoft Authenticator-app (meest veilig)
SMS-bericht
Telefoongesprek
Beveiligingssleutel (FIDO2) (hoogste beveiliging)
Volg de installatie-instructies van Microsoft
Sla herstelcodes op een veilige locatie op
Verwacht resultaat: Elke keer dat je inlogt op ISMS Copilot met Microsoft, moet je je tweede factor opgeven.
Het inschakelen van MFA bij je OAuth-provider voegt een cruciale beveiligingslaag toe aan je ISMS Copilot-account. Zelfs als iemand je wachtwoord steelt, kunnen ze geen toegang krijgen tot je account zonder je tweede factor.
Best practices voor wachtwoordbeveiliging
Een sterk wachtwoord aanmaken
Als je e-mail- en wachtwoordverificatie gebruikt, volg dan deze richtlijnen:
Wel doen:
Gebruik ten minste 12-16 tekens (langer is beter)
Gebruik een wachtwoordmanager om willekeurige wachtwoorden te genereren
Maak een uniek wachtwoord aan voor ISMS Copilot (nooit hergebruiken)
Gebruik hoofdletters, kleine letters, cijfers en speciale tekens
Gebruik wachtwoordzinnen: "Compliance!Audit@2024#ISO27001" (makkelijk te onthouden, moeilijk te kraken)
Niet doen:
Persoonlijke informatie gebruiken (naam, verjaardag, bedrijfsnaam)
Veelvoorkomende woorden of patronen gebruiken ("Wachtwoord123!")
Wachtwoorden van andere diensten hergebruiken
Je wachtwoord delen met collega's
Wachtwoorden op briefjes schrijven of in onversleutelde bestanden opslaan
Veelvoorkomende wachtwoordpatronen zoals "Wachtwoord123!" of "Welkom2024!" zijn de eerste combinaties die aanvallers proberen. Deze wachtwoorden kunnen in enkele seconden worden gekraakt met geautomatiseerde tools.
Wachtwoord herstellen
Als je je wachtwoord bent vergeten of vermoedt dat het gecompromitteerd is:
Ga naar de inlogpagina van ISMS Copilot
Klik op Forgot your password?
Voer je geregistreerde e-mailadres in
Klik op Send reset link
Controleer je inbox voor een bericht over het herstellen van je wachtwoord
Klik op de herstellink in de e-mail (24 uur geldig)
Voer een nieuw sterk wachtwoord in
Klik op Reset password
Verwacht resultaat: "Password successfully reset. You can now log in with your new password."
De e-mailbezorging voor wachtwoordherstel en verificatie is aanzienlijk verbeterd. Je zou de e-mail binnen enkele minuten moeten ontvangen. Als je deze niet ziet, controleer dan je spamfolder.
Gegevensretentie configureren
Bepaal hoe lang je gespreksgegevens worden bewaard om een balans te vinden tussen beveiliging en compliance-eisen.
Je retentieperiode instellen
Klik op het icoon van het gebruikersmenu (rechtsboven)
Selecteer Settings
Kies in het veld Data Retention Period:
Korte retentie (1-30 dagen): Voor zeer gevoelig tijdelijk werk
Gemiddelde retentie (90-365 dagen): Voor de meeste compliance-projecten
Lange retentie (1-7 jaar): Voor projecten die langdurige verslaglegging vereisen
Keep Forever: Voor een permanente organisatorische kennisbank
Klik op Save Settings
Verwacht resultaat: Het dialoogvenster Instellingen sluit en de retentieperiode wordt opgeslagen.
Gegevens die ouder zijn dan je retentieperiode worden elke dag automatisch verwijderd. Deze verwijdering is permanent en kan niet ongedaan worden gemaakt. Stel retentieperiodes zorgvuldig in op basis van je compliance- en wettelijke vereisten.
Aanbevelingen voor retentie per use-case
Use-case | Aanbevolen retentie | Redenering |
|---|---|---|
Tijdelijke adviesprojecten | 90-180 dagen | Bewaar gegevens tot afronding van het project plus een buffer |
Jaarlijkse compliance-audits | 365-730 dagen | Bewaar bewijsmateriaal tot en met de audit van volgend jaar |
Zeer vertrouwelijk werk | 30-60 dagen | Minimaliseer de blootstellingsperiode voor gevoelige gegevens |
Organisatorische kennisbank | Keep Forever | Bouw in de loop van de tijd institutionele kennis op |
ISO 27001 implementatie | 2-3 jaar | Dekking voor initiële certificering + eerste hercertificering |
Sessiebeveiliging
Hoe sessies werken
Wanneer je inlogt bij ISMS Copilot:
Er wordt een beveiligde JWT (JSON Web Token) gegenereerd
Het token wordt opgeslagen in de sessieopslag van je browser
Elk verzoek aan ISMS Copilot bevat dit token
Tokens verlopen automatisch na een periode van inactiviteit
Het sluiten van je browser wist de sessieopslag
Veilig uitloggen
Klik op het icoon van het gebruikersmenu (rechtsboven)
Selecteer Logout in het vervolgkeuzemenu
Je wordt omgeleid naar de inlogpagina
Verwacht resultaat: Je sessietoken wordt gewist en je moet opnieuw inloggen om toegang te krijgen tot ISMS Copilot.
Log altijd uit wanneer je gedeelde of openbare computers gebruikt. Iedereen die de computer na jou gebruikt, zou toegang kunnen krijgen tot je ISMS Copilot-account als je ingelogd blijft.
Best practices voor sessies
Laat ISMS Copilot niet onbeheerd openstaan op gedeelde computers
Sluit je browser af wanneer je klaar bent op openbare wifi-netwerken
Wis periodiek de cache van je browser
Gebruik de privé/incognito-modus bij toegang vanaf gedeelde apparaten
Workspace-beveiliging
Waarom workspaces belangrijk zijn voor de beveiliging
Workspaces bieden gegevensisolatie voor verschillende projecten of klanten:
Elke workspace heeft een afzonderlijke gespreksgeschiedenis
Geüploade bestanden zijn gekoppelde aan specifieke workspaces
Aangepaste instructies blijven binnen elke workspace
Het verwijderen van een workspace verwijdert alle bijbehorende gegevens
Veilige workspace-praktijken
Voor compliance-consultants:
Maak één workspace per klant aan
Geef workspaces duidelijke namen maar vermijd gevoelige klant-identificaties
Stel workspace-specifieke retentieperiodes in die overeenkomen met klantcontracten
Verwijder workspaces wanneer projecten zijn afgerond
Voor organisaties:
Maak workspaces aan per project, afdeling of framework
Beperk wie toegang heeft tot gevoelige informatie in de workspace
Documenteer de workspace-structuur in je gegevensinventaris
Archiveer of verwijder voltooide projecten regelmatig
Gebruik beschrijvende maar niet-gevoelige namen voor workspaces. Gebruik in plaats van "Acme Corp - Financial Audit 2024", bijvoorbeeld "Klant A - ISO 27001 Project" om blootstelling te verminderen als je scherm zichtbaar is voor anderen.
Een workspace verwijderen
Ga naar de pagina Workspaces
Zoek de workspace die je wilt verwijderen
Klik op de knop Delete op de kaart van de workspace
Er verschijnt een bevestigingsvenster: "Are you sure?"
Klik op Delete om te bevestigen
Verwacht resultaat: De workspace en al zijn gesprekken, bestanden en aangepaste instructies worden permanent verwijderd.
Het verwijderen van een workspace is onmiddellijk en permanent. Exporteer alle belangrijke gegevens voordat je een workspace verwijdert. Deze actie kan niet ongedaan worden gemaakt.
Browser-beveiligingsinstellingen
Aanbevolen browserconfiguratie
Houd je browser up-to-date:
Schakel automatische browser-updates in
Gebruik actuele versies van Chrome, Firefox, Safari of Edge
Vermijd verouderde browsers (Internet Explorer, oude Safari-versies)
Privacy-instellingen:
Schakel "Do Not Track" in de browserinstellingen in
Blokkeer cookies van derden
Wis periodiek je browsegegevens
Gebruik de modus "alleen HTTPS" indien beschikbaar
Extensies & add-ons:
Installeer alleen vertrouwde browserextensies
Controleer de machtigingen van extensies zorgvuldig
Schakel ongebruikte extensies uit of verwijder ze
Wees voorzichtig met extensies die webpagina's aanpassen
Netwerkbeveiliging
Veilige netwerken voor ISMS Copilot
Aanbevolen netwerken:
De beveiligde wifi van je organisatie
Je eigen wifi thuis (met WPA3- of WPA2-versleuteling)
Mobiele dataverbinding (4G/5G)
Vertrouwde VPN-verbinding
Te vermijden netwerken:
Openbare wifi in cafés, op luchthavens of in hotels (tenzij je een VPN gebruikt)
Open netwerken zonder wachtwoord
Netwerken met verdachte of onbekende namen
Openbare computers in internetcafés of bibliotheken
Openbare wifi-netwerken kunnen door aanvallers worden gemonitord. Hoewel ISMS Copilot HTTPS-versleuteling gebruikt, is het verstandig om geen toegang te zoeken tot gevoelige compliance-gegevens op openbare netwerken, tenzij je een vertrouwde VPN gebruikt.
Een VPN gebruiken
Als je ISMS Copilot op openbare netwerken moet gebruiken:
Gebruik een gerenommeerde VPN-service (bijv. NordVPN, ExpressVPN, ProtonVPN)
Maak verbinding met de VPN voordat je ISMS Copilot opent
Controleer of de VPN-verbinding actief is (zoek naar het VPN-icoon)
Gebruik ISMS Copilot zoals gebruikelijk
Log uit en verbreek de VPN-verbinding als je klaar bent
Beveiligingsbedreigingen herkennen
Phishing-aanvallen
Waarschuwingstekens voor phishing-e-mails:
E-mailadres van afzender komt niet overeen met het domein @ismscopilot.com
Dringend taalgebruik dat aanzet tot onmiddellijke actie
Verdachte links (beweeg de muis erover om de URL te bekijken voordat je klikt)
Verzoeken om wachtwoord- of betalingsinformatie
Slechte grammatica of spelfouten
Algemene begroetingen ("Beste gebruiker" in plaats van je naam)
ISMS Copilot zal je NOOIT vragen om je wachtwoord te verstrekken via e-mail, telefoon of chat. Elk dergelijk verzoek is een phishing-poging. Meld dit onmiddellijk en reageer er niet op.
Wat te doen als je phishing vermoedt
Klik niet op links in de verdachte e-mail
Download geen bijlagen
Beantwoord de e-mail niet
Stuur de e-mail door naar de support van ISMS Copilot
Verwijder de e-mail uit je inbox
Als je op een link hebt geklikt, wijzig dan onmiddellijk je wachtwoord
Accountmonitoring
Regelmatige beveiligingscontroles
Voer deze controles maandelijks uit:
Controleer je workspaces: Zoek naar onbekende workspaces of gesprekken
Audit gespreksgeschiedenis: Zoek naar berichten die je niet zelf hebt verstuurd
Controleer accountinstellingen: Verifieer of het e-mailadres en de retentieperiode niet zijn gewijzigd
Controleer factuurgegevens: Premium-gebruikers moeten hun abonnementsstatus controleren
Tekenen van onbevoegde toegang
Neem onmiddellijk contact op met de support als je het volgende opmerkt:
Workspaces die je niet zelf hebt aangemaakt
Gesprekken of berichten die je niet herkent
Wijzigingen in accountinstellingen die je niet zelf hebt doorgevoerd
Onverwachte e-mails voor het herstellen van je wachtwoord
Inlogmeldingen van onbekende locaties (indien geïmplementeerd)
Incidentrespons
Als je account gecompromitteerd is
Wijzig onmiddellijk je wachtwoord
Gebruik het proces voor wachtwoordherstel
Maak een nieuw, uniek wachtwoord aan
Controleer accountactiviteit
Controleer alle workspaces op onbevoegde wijzigingen
Beoordeel de gespreksgeschiedenis
Controleer geüploade bestanden
Neem contact op met de support van ISMS Copilot
Meld het beveiligingsincident
Vraag auditlogs aan indien beschikbaar
Volg de instructies van de support voor herstel
Informeer betrokken partijen
Als er mogelijk toegang is verkregen tot klantgegevens, informeer dan je klanten
Documenteer het incident voor je compliance-administratie
Volg de incidentrespons-procedures van je organisatie
Als je een datalek ontdekt waarbij klantinformatie betrokken is, heb je mogelijk wettelijke verplichtingen om dit te melden onder de AVG (GDPR) of andere regelgeving. Raadpleeg onmiddellijk je juridische team of compliance-team.
Checklist beveiliging
Initiële configuratie
✓ Kies een verificatiemethode (OAuth met MFA aanbevolen)
✓ Maak een sterk, uniek wachtwoord aan (indien e-mailverificatie wordt gebruikt)
✓ Verifieer je e-mailadres
✓ Schakel MFA in bij je OAuth-provider
✓ Stel een passende retentieperiode in voor gegevens
✓ Bekijk en accepteer het privacybeleid
Lopende beveiliging
✓ Log uit op gedeelde computers
✓ Vermijd openbare wifi zonder VPN
✓ Houd je browser up-to-date
✓ Controleer maandelijks je accountactiviteit
✓ Verwijder voltooide workspaces
✓ Werk wachtwoorden elk kwartaal bij (bij e-mailverificatie)
✓ Wees waakzaam voor phishing-pogingen
Beperkingen
Functies die momenteel niet beschikbaar zijn
Eigen multifactor-authenticatie (gebruik in plaats daarvan OAuth-providers)
Dashboard voor sessiebeheer (actieve sessies kunnen niet worden bekeken)
Inlogmeldingen voor nieuwe apparaten of locaties
Whitelisting van IP-adressen
Ondersteuning voor hardware-beveiligingssleutels (FIDO2/WebAuthn)
Single Sign-On (SSO/SAML) voor ondernemingen
Wat nu?
Bezoek het Trust Center voor gedetailleerde beveiligingsdocumentatie
Hulp krijgen
Als je hulp nodig hebt bij de beveiliging:
Neem contact op met de support via het Helpcenter-menu
Markeer je bericht als dringend bij vermoedelijke beveiligingsincidenten
Gebruik de link "Forgot your password?" om je wachtwoord te herstellen
Bekijk de Statuspagina voor problemen met de dienstverlening