Passende technische en organisatorische maatregelen. 4.1 De Partijen treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Passende technische en organisatorische maatregelen. In deze bijlage moeten de normen en maatregelen die Leverancier in het kader van de beveiliging van de Verwerking moet hanteren respectievelijk treffen worden gespecificeerd. Hiervoor kan worden verwezen naar documenten waarin normen en maatregelen zijn vastgelegd, zoals in voorkomend geval het programma van eisen of de offerteaanvraag.
Passende technische en organisatorische maatregelen. Hier volgt een puntsgewijs overzicht van de Technische en Organisatorische Beveiligings- maatregelen die Opdrachtnemer neemt in het licht van de Verwerking van Persoonsgegevens. De maatregelingen zijn te allen tijde afgestemd op het risico voor alle Betrokkenen. In willekeurige volgorde:
Passende technische en organisatorische maatregelen. Art. 4.1 Inschakeling subverwerkers Art. 4.5 Verwerker verleent bijstand bij verzoeken van betrokkene Art. 4.6 Verwerker verleent bijstand bij nakoming art. 32 t/m 36 Art. 4.1 / 5 / 4.7 Verwerker wist persoonsgegevens of geeft deze na afloop verwerking terug Art. 2.1 en 7.1 NB: Over andere onderwerpen zoals de uitvoering van audits, aansprakelijkheid en de exit-strategie maken partijen afspraken in de hoofdovereenkomst. Als hierover geen afspraken zijn gemaakt, adviseren wij partijen om dat alsnog te doen, hetzij in de hoofdovereenkomst, of in een addendum bij de hoofdovereenkomst. In die gevallen dat er helemaal geen hoofdovereenkomst is, kunnen partijen er voor kiezen om deze afspraken te maken in een addendum bij de Standaard VWO. En dus niet in de Standaard VWO zelf. Over de inhoud van de nader te maken afspraken verwijzen wij naar de GIBIT 2020: Aansprakelijkheid : artikel 13 Exit-strategie : artikel 20.14 en artikel 22 Audit : artikel 211
Passende technische en organisatorische maatregelen. Instructie: Instructie:
Passende technische en organisatorische maatregelen. Opmerking: hier moet een overzicht van de beveiligingsmaatregelen worden opgenomen. Om vast te stellen wat passende technische en organisatorische beveiligingsmaatregelen zijn moet een afweging worden gemaakt op basis van de risico’s van de verwerking aan de hand van onder meer de volgende punten:
Passende technische en organisatorische maatregelen. (artikel 7.1) Opdrachtnemer heeft een (informatie)beveiligingsbeleid opgesteld en de hierin beschreven maatregelen aantoonbaar geïmplementeerd. Dit beleid wordt met regelmaat getoetst en geactualiseerd. De beveiligingsmaatregelen zijn passend voor en in overeenstemming met de waarde van de te verwerken gegevens. Wanneer Opdrachtnemer gebruik maakt van subverwerkers, dienen deze expliciet te zijn beschreven en bekend te zijn bij Opdrachtgever. De subverwerker houdt zich aan minimaal dezelfde beveiligingseisen en –maatregelen als Opdrachtnemer.
Passende technische en organisatorische maatregelen. Verwerker verklaart de volgende technische en/of organisatorische maatregelen te hebben getroffen om te kunnen voldoen aan hetgeen is bepaald in de verwerkersovereenkomst. Om vertrouwelijkheid te garanderen: [X] Controle op fysieke toegang tot persoonsgegevens [X] Controle op elektronische toegang tot persoonsgegevens [X] Controle op interne toegang tot persoonsgegevens [X] Pseudonimisering en versleuteling van persoonsgegevens [X] Isoleren van persoonsgegevens (het separaat opslaan van persoonsgegevens van verschillende Verwerkingsverantwoordelijken). Om de integriteit te garanderen: [X] Controle op de doorgifte van persoonsgegevens [X] Controle op de invoer van gegevens Om de beschikbaarheid en veerkracht van gebruikte systemen te garanderen: [X] Controle op beschikbaarheid van data (b.v. door het maken van back-ups) [X] Toegang tot persoonsgegevens kunnen herstellen (met middelen om deze persoonsgegevens na een incident snel te kunnen herstellen) Om op gezette tijdstippen de doeltreffendheid van de technische en organisatorische maatregelen te testen, beoordelen en evalueren: [X] Een intern incidentenprotocol opgesteld en nageleefd [X] Controle van instructies van de Verwerkingsverantwoordelijke(n) [X] Maatregelen om privacy by design te bewerkstelligen [X] Maatregelen om privacy by default te bewerkstelligen
Passende technische en organisatorische maatregelen. Gehanteerde normen en genomen maatregelen t.a.v. de beveiliging van de Verwerking Alarmsysteem en Cameratoezicht Bewaartermijn van gegevens tijdens de looptijd van de Overeenkomst NAW-gegevens Opdrachtgevers
Passende technische en organisatorische maatregelen. Hier onder een niet limitatieve opsomming van maatregelen die door Silvasoft wordt genomen om uw gegevens te beschermen: • Binnen Silvasoft werken we o.b.v. een need-to-know basis en hebben we een duidelijke functieonderscheiding. Op database niveau betekent dit dat er maar enkele personen zijn die daadwerkelijk bij de productiedatabase kunnen komen (beheerder/ontwikkelaar). De toegang tot de productiedatabase is beveiligd en afgeschermd. Onze support desk kan niet bij de database komen. • Op applicatie niveau hebben we ook verregaande beveiliging van uw gegevens doorgevoerd. Silvasoft kent geen ‘superusers’. Er is dus geen enkele medewerker van Silvasoft die via de applicatie in uw ‘mijn-Silvasoft’ kan inloggen. Enkel wanneer u ons expliciet toegang geeft kan een medewerker meekijken in uw administratie. • Op testomgevingen werken we zoveel mogelijk met testdata. De testomgeving draait eveneens in de Google Cloud. Indien het nodig is voor reproductie van issues/bugs kunnen we bij uitzondering gebruik maken van de productiedatabase. Deze wordt dan tijdelijk op een testomgeving geplaatst en weer verwijderd zodra het issue is opgelost. • De workstations van onze medewerkers zijn beveiligt en maken gebruik van o.a. Bitlocker voor de encryptie van schijven. • We gebruiken binnen Silvasoft geen transferabele media (USB sticks, externe schrijven, etc.). • We hebben geschreven procedures voor indiensttreding en uitdiensttreding van medewerkers zodat de toegang correct wordt ingeregeld en correct wordt ontnomen.