Veilige groei begint met betrouwbare partners

Greenstep is sinds 2023 ISO/IEC 27001:2022-gecertificeerd. Onze certificering bevestigt dat ons informatiebeveiligingsbeleid, procedures en processen voldoen aan de hoogste internationale normen.

Onze richtlijnen omvatten o.a.:

• Beveiligd software-ontwikkelingbeleid

• Informatiebeveiligingsbeleid & privacy

• Toegangsbeheer & wachtwoordbeleid

• Business continuity & back-up procedures

• Logging, dataretentie, cryptografie en endpoint security

• Gedragscode en leveranciersbeleid

Al deze processen worden jaarlijks geaudit en zijn afgestemd op het ISO 27001-framework.

De NIS2-richtlijn (EU 2022/2555) heeft als doel om het niveau van cybersecurity in Europa structureel te verhogen. Waar de AVG draait om privacy, richt NIS2 zich op digitale weerbaarheid van bedrijven en kritieke infrastructuren.

Vanaf oktober 2024 wordt NIS2 omgezet in nationale wetgeving, waaronder de Cyberbeveiligingswet in Nederland. Deze wet verplicht bepaalde organisaties om zich te registreren (vóór 1 januari 2025), risico’s actief te managen en cyberincidenten te melden binnen strikte termijnen.

Wie valt onder NIS2?

De reikwijdte is breed en geldt o.a. voor:

• Leveranciers van essentiële diensten (zoals energie, water, telecom)

• Farmacie, financiële instellingen, IT-dienstverleners

• Boekhoud- en salarisadministratiekantoren met cloudgebaseerde software

Er zijn twee categorieën:

• Belangrijke entiteiten: ≥50 medewerkers of ≥€10 mln omzet + balans

• Essentiële entiteiten: >250 medewerkers of omzet >€50 mln én balans >€43 mln

Toepassing op Greenstep

Binnen de Greenstep Group geldt:

• Greenstep Oy (Finland) wordt beschouwd als een essentiële entiteit en valt volledig onder NIS2, inclusief ex-ante toezicht

• Bezala (Renance Oy) valt buiten scope vanwege de kleinere omvang

• Onze activiteiten in Estland en Nederland vallen niet onder NIS2, maar volgen wel het groepsbrede informatiebeveiligingsbeleid

• Noorwegen en het VK zijn momenteel slechts deels betrokken bij NIS2-wetgeving

Onze aanpak: beleid en voorbereiding

• Greenstep past het ISO/IEC 27001:2022-framework toe voor risicobeheer en naleving

• Alle entiteiten hanteren centrale richtlijnen voor incidentrespons, toegangsbeheer en databeveiliging

• We monitoren de lokale implementatie van NIS2 in elk land waar we actief zijn

Incidentmeldingen: 3 fasen

Bij ernstige cybersecurity-incidenten geldt een drieledige meldingsplicht:

1. Binnen 24 uur: vroege waarschuwing

2. Binnen 72 uur: formele incidentmelding

3. Binnen 1 maand: eindrapportage

Greenstep voldoet al aan meldverplichtingen vanuit ISO 27001, AVG en klantcontracten. NIS2-specifieke procedures (zoals templates) worden voorbereid waar nodig.

Verdere informatie:

• EU: EU-wetgeving (EUR-Lex)

• Nederland: Cyberbeveiligingswet (NIS2-richtlijn) | Wet beveiliging netwerk- en informatiesystemen (Wbni) | Rijksinspectie Digitale Infrastructuur (RDI)

• Finland: https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Sivut/HE_57+2024.aspx

• Zweden: Nya regler om cybersäkerhet – Regeringen.se

• Estland: Implementation of the NIS Directive in Estonia | Shaping Europe’s digital future (europa.eu)

• VK: Introduction to the Cyber Assessment Framework – NCSC.GOV.UK

• Noorwegen: de NIS2-richtlijn is niet opgenomen in de EER-overeenkomst.

Greenstep voldoet aan de Algemene Verordening Gegevensbescherming (AVG/GDPR).

Naast de AVG gelden er ook lokale wetgevingen die wij naleven — en die in sommige gevallen zelfs strenger zijn dan de AVG.

Een voorbeeld: in sommige landen heeft een werknemer van onze klant niet direct het recht om ‘vergeten’ te worden bij salarisadministratie, omdat lokale wet- en regelgeving bepaalt hoelang deze gegevens verplicht moeten worden bewaard.

Bekijk ons volledige privacybeleid

Finland
Greenstep is lid van de Financial Management Association of Finland. Onze organisatie en individuele professionals worden jaarlijks geaudit op het gebied van boekhouding en salarisadministratie. We hebben meer dan 40 geautoriseerde medewerkers binnen accounting en payroll.

Zweden
Greenstep is geaudit lid van de Swedish Association of Accounting and Payroll Consultants (SRF). Meerdere medewerkers zijn geautoriseerde accountants die werken volgens de Zweedse standaard voor accountancy, genaamd Rex. Deze professionals ondergaan elke zes jaar een kwaliteitscontrole door SRF-konsulterna. De autorisatie is een kwaliteitskeurmerk dat de hoge deskundigheid en ervaring van onze accountants bevestigt.

Noorwegen
Finanstilsynet (de Noorse financiële toezichthouder) heeft Greenstep de toestemming verleend om boekhoudkundige diensten te leveren in Noorwegen.

Estland
Greenstep is ondersteunend lid van de nationale vereniging van accountants in Estland.

Know Your Customer (KYC) is een essentieel proces binnen Greenstep als boekhoudkantoor, waarmee wij de identiteit van onze klanten verifiëren en voldoen aan de regelgeving rondom het voorkomen van witwassen (AML).

Greenstep volgt de Europese Anti-Money Laundering Directive (2015/849), die de belangrijkste juridische basis vormt. Deze richtlijn is doorgevoerd in de nationale wetgeving van alle EU-lidstaten en wordt nageleefd in elk land waar Greenstep actief is.

In Finland, Åland, Zweden, Noorwegen en Estland is Greenstep geregistreerd als dienstverlener onder de KYC-regelgeving voor boekhoudkantoren. De EU-wetgeving is breed toepasbaar, maar in het geval van Greenstep zijn boekhoudkantoren wettelijk verantwoordelijk voor het voorkomen van witwassen en de financiering van terrorisme.

Voor Greenstep geldt dat de KYC-verplichting van toepassing is op al onze klanten. De mate van due diligence hangt af van het risicoprofiel dat tijdens onboarding en monitoring wordt vastgesteld.

Alleen in uitzonderlijke gevallen kan er worden afgeweken van de KYC-verplichting. Zelfs bij bijvoorbeeld beursgenoteerde bedrijven voeren we doorgaans een KYC-check uit, op basis van publiek beschikbare informatie.

Richtlijnen van de autoriteiten:

• Aluehallintovirasto in Finland Rahanpesulain valvonta – Raha ja omaisuus – Valvonta ja kantelut – Yritys-tai yhteisö – Aluehallintovirasto (avi.fi)
• Rahanpesu – Poliisi
• Ekobrotsmyndigheten in Zweden Penningtvättsbrott | Ekobrottsmyndigheten
• Finanstillsynet in Noorwegen Money laundering and financing of terrorism – Finanstilsynet.no
• Finantsinspektsioon in Esland Prevention of money laundering in general | FSA (fi.ee)

Accounting Softwares:

Payroll Softwares

Bij Greenstep stimuleren we verantwoord zakelijk handelen en een integere werkwijze. Wij nemen alle signalen van illegaal, onethisch of beleidsschendend gedrag serieus.

Daarom hebben we een vertrouwelijk meldkanaal ingericht. We moedigen medewerkers, partners en andere stakeholders aan om vermoedens van misstanden te melden.

In eerste instantie raden we aan om contact op te nemen met een leidinggevende binnen onze organisatie. Als dat geen optie is, kun je een melding doen via ons beveiligde meldkanaal.

Je hoeft geen hard bewijs te hebben — meldingen mogen worden gedaan op basis van een vermoeden, zolang dit eerlijk en te goeder trouw gebeurt.
Opzettelijk onjuiste meldingen zijn niet toegestaan.

Let op:

• Deel geen gevoelige of persoonlijke informatie tenzij strikt nodig

• Informatie die wettelijk verboden is om te verwerken, kunnen we mogelijk niet behandelen

• Bijlagen worden automatisch ontdaan van metadata om je anonimiteit te waarborgen

Je kunt je naam en contactgegevens delen, maar het is ook mogelijk om volledig anoniem te melden. Na het indienen van de melding ontvang je een unieke token waarmee je later vertrouwelijk kunt communiceren en de voortgang kunt volgen.

Het meldkanaal wordt beheerd door Lexia Asianajotoimisto Oy, die ook verantwoordelijk is voor de correcte juridische verwerking van de meldingen.
Alle meldingen worden vertrouwelijk onderzocht volgens vaste procedures. Vervolgacties worden pas ondernomen na zorgvuldige beoordeling.

🔗 Dien een anonieme melding in via EasyWhistle