AANHANGSEL
Gegevensexporteur(s)
AANHANGSEL
BIJLAGE I
A. LIJST VAN PARTIJEN
Naam: | De Klant die de Overeenkomst met Synology heeft gesloten. |
Adres: | Het adres dat de Klant heeft opgegeven bij zijn registratie voor het gebruik van de Synology C2- service. |
Naam, functie en contactgegevens van de contactpersoon: | De contactgegevens die de Klant heeft opgegeven bij zijn registratie voor het gebruik van de Synology C2- service. |
Activiteiten in verband met de overeenkomstig deze bepalingen doorgegeven gegevens: | De ontvangst van C2-services, door Synology verleend op grond van de Overeenkomst. |
Handtekening en datum: | Deze Gegevensbeschermingsovereenkomst (inclusief Standaardcontractbepalingen) worden geacht te zijn uitgevoerd zodra de Klant de Overeenkomst aanvaardt. |
Rol: | Verwerkingsverantwoordelijke |
Gegevensimporteur(s)
Naam: | Synology Inc. |
Adres: | 9F, No. 0, Xxxx Xxxx Xx., Xxxxxxx, Xxx Xxxxxx 000000 XXXXXX |
Naam, functie en contactgegevens van de contactpersoon: | Er kan contact met het gegevensbeschermingsteam van de gegevensimporteur worden opgenomen zoals beschreven in de Privacyverklaring. |
Activiteiten in verband met de overeenkomstig deze bepalingen doorgegeven gegevens: | Het verlenen van C2-services aan de Klant op grond van de Overeenkomst. |
Handtekening en datum: | Deze Gegevensbeschermingsovereenkomst (inclusief Standaardcontractbepalingen) worden geacht te zijn uitgevoerd zodra de Klant de Overeenkomst aanvaardt. |
Rol: | Verwerker |
B. BESCHRIJVING VAN DOORGIFTE
Categorieën van betrokkenen wier persoonsgegevens worden doorgegeven:
Individuen die Synology C2-services bestellen.
Categorieën van doorgegeven persoonsgegevens:
De categorieën van doorgegeven persoonsgegevens zijn gebaseerd op de selectie van de Klant. De Klant kan er bijvoorbeeld voor kiezen om persoonlijke bestanden, foto’s en video’s te back-uppen naar de Synology C2-service.
Gevoelige gegevens die worden doorgegeven (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de bijbehorende risico’s, zoals strikte doelbinding, toegangsbeperkingen (waaronder uitsluitend toegang voor personeelsleden die een gespecialiseerde opleiding hebben gevolgd), het in een register bijhouden van toegang tot de gegevens, beperkingen voor verdere doorgiften, of bijkomende beveiligingsmaatregelen.
De beperkingen en waarborgen die zijn beschreven in Bijlage II zijn van toepassing op deze categorieën van persoonsgegevens (indien van toepassing).
De frequentie van de doorgifte (bijv. of de gegevens eenmalig of continu worden doorgegeven).
Doorgegeven Persoonsgegevens kunnen continu worden doorgegeven, ofwel totdat ze worden verwijderd door de Klant, ofwel in overeenstemming met de Overeenkomst.
Aard van de verwerking:
De gegevensimporteur verwerkt Doorgegeven Persoonsgegevens om de
gegevens conform de Overeenkomst op te slaan, te herstellen en door te geven.
Doeleind(en) van de gegevensdoorgifte en verdere verwerking
De uitvoering van de C2-services conform de Overeenkomst.
De periode gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen:
De gegevensimporteur bewaart de Doorgegeven Persoonsgegevens ofwel totdat ze worden verwijderd door de Klant, ofwel in overeenstemming met de Overeenkomst.
Voor doorgiften aan (sub-)verwerkers ook het onderwerp, de aard en de duur van de verwerking opgeven:
Zie Bijlage III
C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
De bevoegde toezichthoudende autoriteiten identificeren in overeenstemming met Bepaling 13.
De Duitse Federale Commissaris voor Gegevensbescherming en Vrijheid van Informatie (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit ofwel BfDI).
BIJLAGE II
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN WAARONDER TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE BEVEILIGING VAN DE GEGEVENS TE WAARBORGEN
TOELICHTING:
De technische en organisatorische maatregelen moeten concreet (en niet op generieke wijze) worden beschreven. Zie ook de algemene opmerking op de eerste pagina van het Aanhangsel, met name met betrekking tot de noodzaak om duidelijk aan te geven welke maatregelen op elke doorgifte/reeks doorgiften van toepassing zijn.
Beschrijving van de technische en organisatorische maatregelen die de gegevensimporteur(s) heeft/hebben genomen (met inbegrip van eventuele relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, reikwijdte, context en doeleinden van de verwerking en met de risico’s voor de rechten en vrijheden van natuurlijke
personen.
• Maatregelen betreffende de pseudonimisering en versleuteling van persoonsgegevens
Wij passen geavanceerde gegevensbeschermingsmaatregelen toe om de gegevens van klanten te beveiligen.
• Maatregelen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te garanderen
Onze servers, netwerkapparatuur en ons datacenter bieden hoge beschikbaarheid (High Availability ofwel HA). Hardwareapparaten zoals voedingseenheden, netwerkkabels en systeemschijven hebben back- upvoorzieningen om te waarborgen dat een enkele hardwarestoring de werking van de services niet kan verstoren.
In de C2-infrastructuur hebben we wiscodering met een 16+4 streepindeling ontworpen en de infrastructuur wordt opgeslagen op 20 onafhankelijke opslagnodes op afzonderlijke HDD’s. Dit betekent dat het opgeslagen object maximaal 4 beschadigde fragmenten kan tolereren zonder dat gebruikers gegevens verliezen. De kans dat eventuele storingen op hardwareniveau C2-gegevens aantasten, is dus zeer klein. Ook hebben we twee onafhankelijke netwerkleidingen naar buiten. Als één leiding onderhoud moet ondergaan of er problemen mee zijn, kunnen we operationeel blijven via de andere leiding.
We gebruiken maatregelen zoals wiscodering en MD5-controlesom om de integriteit van onze C2-services te waarborgen.
• Maatregelen om het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen te waarborgen
Onze bestanden worden opgeslagen met behulp van wiscodering, waardoor meerdere kopieën van gegevens worden gemaakt. Deze maatregel garandeert dat de gegevens niet verloren gaan in geval van een plotselinge machinestoring.
Daarnaast maakt onze database regelmatig een back-up van de gegevens voor het geval dat er afwijkingen in de gegevens of aanvallen optreden.
• Procedures voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking C2-services voeren regelmatige kwetsbaarheidsscans uit en eventueel gedetecteerde problemen worden onmiddellijk opgelost.
We monitoren alle productgerelateerde noodsituaties. Als de relevante
producten worden getroffen door een incident, regelen we onmiddellijk oplossingen en plannen we de kwaliteitsborgingstests en release. Het volledige proces is ontworpen om te worden afgerond binnen 24 uur na de dag waarop we kennisnemen van het probleem.
• Maatregelen voor de identificatie en autorisatie van gebruikers Onze C2-services gebruiken het Synology-account voor identificatie en autorisatie van gebruikers. Gebruikers kunnen zich bij hun account aanmelden door een wachtwoord in te vullen of via 2-factorauthenticatie. Als gebruikers ervoor kiezen om 2-factorauthenticatie in te schakelen, ontvangen ze de verificatiecode op hun mobiele telefoon of op het e- mailadres dat aan het Synology-account is gekoppeld voor authenticatie van de aanmelding.
• Maatregelen voor de bescherming van gegevens tijdens de toezending
Al onze C2-services gebruiken het SSL-protocol met TLS v1.2 om te voorkomen dat gegevens tijdens de toezending worden gewijzigd of beschadigd. Daarnaast waarborgen de meeste van onze C2-services de gegevensbescherming met de end-to-end C2 Encryption Key (C2 Key) en worden de gegevens vóór de toezending versleuteld. De C2 Encryption Key is een cruciaal onderdeel van Synology’s C2-services, dat garandeert dat uw gegevens beschermd blijven op C2-servers.
• Maatregelen voor de bescherming van gegevens tijdens de opslag Op alle C2-services worden versleutelingsmaatregelen toegepast. Voor de versleutelingsmethode van elke C2-service verwijzen we naar het betreffende whitepaper van de service, dat meer details bevat.
Alle C2-services gebruiken versleuteling in rust, wat betekent dat de gegevens die zijn opgeslagen op de HDD versleuteld zijn. Voor C2- services met end-to-end-versleuteling worden de gegevens opgeslagen in databases of via objectopslag. Aangezien de gegevens al zijn versleuteld aan clientzijde, heeft de serverzijde geen toegang tot de oorspronkelijke inhoud.
• Maatregelen om de fysieke beveiliging van locaties waar persoonsgegevens worden verwerkt te waarborgen
We gebruiken meerdere fysieke, procedurele en technologische waarborgen om uw IT-systemen en gegevens veilig te houden.
• Fysieke beveiliging: beveiliging begint met het ontwerp en de locatie van het gebouw. Onze datacenters gebruiken aanvullende beveiligingsvoorzieningen zoals hekken, beveiligingssluizen en vergrendelde deuren en serverkooien.
• Beveiligingsprotocollen: er zijn procedures en beleid ingevoerd om te waarborgen dat beveiligingspersoneel en operationeel personeel 24 uur per
dag, 7 dagen per week en 365 dagen per jaar ter plaatse beschikbaar is om zowel veelvoorkomende als ongebruikelijke onvoorziene incidenten af te handelen.
• Technologische waarborgen: biometrische sloten op buitendeuren, CCTV- camera’s op het hele terrein en beveiligde toegangscontrolepunten zijn slechts enkele van de manieren waarop we uw gegevens en apparatuur beschermen.
• Maatregelen om het opslaan van gebeurtenisinformatie te garanderen
Om de veilige toegang tot C2-services te waarborgen, hebben we een strikte procedure voor het reguleren en monitoren van externe aanmeldingen via Synology-accounts. We hebben maatregelen getroffen ter bescherming tegen potentiële bedreigingen, waaronder het detecteren en blokkeren van verdachte of abnormale aanmeldingspogingen vanaf specifieke IP-adressen of accounts, evenals het in stand houden van de juiste machtigingen om te zorgen dat alleen bevoegde gebruikers toegang tot onze services hebben.
Synology registreert alle aanmeldings- en gegevenstoegangsgebeurtenissen om de gebruikersidentiteit te beheren. Alleen specifieke teamleden zijn bevoegd om zich toegang te verschaffen tot de informatiebeveiligingsbeheersystemen.
IP-adressen die herhaaldelijk zonder succes proberen in te loggen op het VPN worden geblokkeerd. Ook sturen we de dagelijkse inlogrecords zowel naar de betreffende gebruikers als naar onze IT-afdeling voor controledoeleinden.
• Maatregelen om de systeemconfiguratie, waaronder de standaardconfiguratie, te beschermen
Onze interne systemen kunnen uitsluitend worden verbonden via intranet- IP. Alle onveilige poorten op de systemen zijn gesloten. Om de veiligheid en stabiliteit van het netwerk verder te versterken, hebben we firewalls met afwijkingsdetectie geïmplementeerd. Toegang vanaf externe IP- adressen is niet toegestaan, en alle verzoeken en toegangsprocessen worden nauwlettend gemonitord en vastgelegd in een logboek. Als de firewall om een onverwachte reden faalt, wordt er onmiddellijk een waarschuwing geactiveerd en in het logboek vastgelegd voor beoordeling en optimalisatie.
Alleen specifieke teamleden zijn bevoegd om zich toegang te verschaffen tot de systemen voor informatiebeveiligingsbeheer en om toegang te krijgen tot de gegevens moet een authenticatieprocedure worden doorlopen.
• Maatregelen voor het bestuur en beheer van de interne IT en de IT-
veiligheid
Synology implementeert een intern beleid dat alle werknemers verplicht om het door onszelf ontwikkelde TOTP (Time-based One-Time Password) te gebruiken voor authenticatie. Dit zorgt voor een verbeterde veiligheid en beperkt het risico op wachtwoordaanvallen. Daarnaast blokkeren we IP-adressen die herhaaldelijk zonder succes proberen in te loggen op het VPN. Ook sturen we de dagelijkse inlogrecords zowel naar de betreffende gebruikers als naar onze IT-afdeling voor controledoeleinden.
Op al onze werkapparaten moet verplicht antivirussoftware zijn geïnstalleerd en ze moeten voorzien zijn van firewalls ter bescherming tegen bestands-, e-mail- en internetvirussen of schadelijke programma’s. We gebruiken SPF, DKIM en DMARC om regelmatig phishing-e-mailtests uit te voeren.
Daarnaast gebruiken we Honeypot in onze interne IT-omgeving. Wanneer er een poortscanactiviteit wordt gedetecteerd, ontvangt onze server een melding en blokkeert deze het MAC-adres en de netwerkpoort van het IP- adres.
Ook geven we onze IT-afdeling regelmatig trainingen over informatiebeveiliging.
• Maatregelen voor de certificering/garantie van processen en producten
Alle software wordt ontwikkeld volgens standaardprocedures en de kwaliteit van de code wordt gewaarborgd door middel van code reviews. We gebruiken een procedure om de veiligheid van code te evalueren en beheren de software met behulp van configuratiebestanden voor controle. Er worden end-to-end-tests uitgevoerd voordat onze software live gaat, inclusief de uitvoering van smoke tests met behulp van onze intern ontwikkelde testsoftware.
Onze software maakt gebruik van kanarie-implementatie om geleidelijk de nieuwste versie vrij te geven voor het waarborgen van de softwarestabiliteit.
• Maatregelen om gegevensminimalisering te garanderen
Synology verzamelt informatie alleen om u de C2-services te kunnen aanbieden. We hebben geen toegang tot de gegevens die u uploadt en analyseren deze niet, behalve de cloudserviceback-up, en we zullen ons met toestemming toegang verschaffen tot delen van de inhoud om service en zoekfuncties te kunnen bieden.
Gebruikers kunnen hun gegevens op elk moment tijdens de abonnementsperiode van Synology C2-services verwijderen. Zodra de abonnementsperiode eindigt, worden alle gegevens verwijderd na de
‘respijtperiode’ die is gedefinieerd in de Synology C2 Servicevoorwaarden.
Als gebruikers ervoor kiezen om hun Synology-account te verwijderen, komen hun gegevens en C2-abonnementsstatus te vervallen en worden deze verwijderd.
• Maatregelen om gegevenskwaliteit te waarborgen
Raadpleeg punt 2 van Bijlage II.
• Maatregelen om beperkte bewaring van gegevens te garanderen Synology verwijdert gegevens die niet meer nodig zijn, afhankelijk van de specifieke kenmerken van elke service
Gebruikers kunnen hun gegevens op elk moment tijdens de abonnementsperiode van Synology C2-services verwijderen. Zodra het abonnement eindigt, worden alle gegevens verwijderd na een ‘respijtperiode’ zoals gedefinieerd in de Synology C2 Servicevoorwaarden. Als de gebruiker ervoor kiest om zijn/haar Synology- account te verwijderen, komen de gegevens en abonnementsstatus voor Synology C2 te vervallen en worden deze verwijderd. Synology kan betalingsgegevens bewaren voor financiële doeleinden, met inbegrip van, maar niet beperkt tot belastingaangifte, audits en voorraadbeheer.
Daarnaast bewaart Synology gedurende maximaal 14 maanden statistische rapporten en crashrapporten van de applicaties voor analysedoeleinden.
• Maatregelen om verantwoording te waarborgen
Ons back-endsysteem is alleen met toestemming toegankelijk. De gegevens van de services die C2-versleuteling gebruiken, worden door de client versleuteld alvorens te worden geüpload naar de server, zodat de in de services opgeslagen gegevens niet gelezen of gedecodeerd kunnen worden.
Voor de services die C2-versleuteling gebruiken, moeten gebruikers zich aanmelden bij hun C2-account en de juiste versleutelingscode invoeren als ze hun gegevens willen bewerken.
• Maatregelen om gegevensoverdraagbaarheid mogelijk te maken en wissing te garanderen
De meeste van onze C2-services staan gegevensoverdraagbaarheid toe door middel van platformoverschrijdende of formaatconversies.
• Voor doorgiften aan (sub-)verwerkers ook de specifieke technische en organisatorische maatregelen beschrijven die de (sub-)verwerker moet nemen om bijstand te kunnen verlenen aan de verwerkingsverantwoordelijke en, voor doorgiften van een verwerker aan een subverwerker, aan de gegevensexporteur
Voor de betaling van onze C2-services maken we gebruik van derde-verwerkers, Cherri Tech, Inc. (TapPay) en Stripe, Inc., om de betalingsmethode en factureringsgegevens van gebruikers veilig te verwerken. Beide verwerkers hebben voldoende maatregelen genomen om persoonsgegevens te beschermen en hebben een sterke reputatie opgebouwd wat betreft het waarborgen van de veiligheid van persoonsgegevens.
Raadpleeg het Synology C2-whitepaper voor meer informatie.
BIJLAGE III
LIJST VAN SUBVERWERKERS
De verwerkingsverantwoordelijke heeft het gebruik van de volgende subverwerkers toegestaan:
Leverancier | Doel | Datacenters |
Firstcolo GmbH | Cloudinfrastructuurprovider voor Synology Inc. | Duitsland |
Xxxxx Data Center Solutions LLC | Cloudinfrastructuurprovider voor Synology Inc. | VS |
Equinix, Inc. | Cloudinfrastructuurprovider voor Synology Inc. | VS |
Digicentre Co. Ltd. | Cloudinfrastructuurprovider voor Synology Inc. | Taiwan |
Zayo Group, LLC. | Internetprovider voor Synology Inc. | VS |
Chunghwa Telecom Company, Ltd. | Internetprovider voor Synology Inc. | Taiwan |
Deutsche Telekom AG | Internetprovider voor Synology Inc. | Duitsland |
Stripe, Inc. | Synology gebruikt Stripe voor de veilige afhandeling van betalingen. | Duitsland/VS |
Cherri Tech, Inc. | Synology gebruikt TapPay van Cherri Tech voor de veilige afhandeling van betalingen. | Taiwan |
GateWeb Information Co., Ltd. | Synology gebruikt GateWeb voor de veilige afhandeling van betalingen. 9 | Taiwan |
Apple Inc. | Synology gebruikt Apple iOS in-app- aankopen voor de veilige afhandeling van betalingen. Synology verstuurt berichten via de Apple Push Notification Service | Duitsland/VS/Taiw an |
AWS | Synology verstuurt e-mails via AWS SES en verstuurt meldingen via AWS SNS. Ook worden SNS- en e-maillogboeken bewaard in AWS CloudWatch en AWS SNS + AWS SQS voor back-updoeleinden. | Duitsland/VS/Taiw an |
Google LLC | Synology verstuurt meldingen via Firebase Cloud Messaging van Google LLC. | Duitsland/VS/Taiw an |
Synology verbindt zich ertoe deze lijst regelmatig bij te werken, zodat verwerkingsverantwoordelijken op de hoogte blijven van de reikwijdte van de subverwerking in verband met Synology-services.
10