Artikel 1. Toepasselijkheid
DATUM | VERSIE | ONDERWERP |
09-07-2021 | 01/2021 | Privacy Voorwaarden Stratech (AVG) |
Artikel 1. Toepasselijkheid
1. Deze Privacy Voorwaarden Stratech zijn, naast de Algemene Voorwaarden Stratech van toepassing op alle offertes en opdrachtbevestigingen van, en overeenkomsten met Stratech Holding bv, gevestigd aan het Pantheon 15 te Enschede, alsmede alle werkmaatschappijen van Stratech Holding bv, hierna gezamenlijk te noemen Stratech.
2. Indien bepalingen met betrekking tot persoonsgegevens / privacy in offertes, opdrachtbevestigingen, overeenkomsten of andere toepasselijke voorwaarden strijdig zijn met bepalingen in deze Privacy Voorwaarden Stratech, prevaleren de bepalingen in deze Privacy Voorwaarden Stratech.
Artikel 2. Algemeen
1. De Privacy Voorwaarden Stratech zien op alle persoonsgegevens die in het kader van de uitvoering van de overeenkomst door Stratech worden verwerkt voor opdrachtgever, alsmede op alle overige ten behoeve van opdrachtgever verrichte werkzaamheden en de in dat kader te verwerken persoonsgegevens.
2. Bij het verrichten van werkzaamheden verwerkt verwerker bepaalde persoonsgegevens voor verwerkingsverantwoordelijke.
3. De Privacy Voorwaarden Stratech vormen een overeenkomst of andere rechtshandeling als bedoeld in artikel 28 lid 3 AVG.
4. Indien verwerker op grond van de Privacy Voorwaarden Stratech kosten in rekening brengt aan verwerkingsverantwoordelijke, gebeurt dat tegen de dan geldende condities en tarieven van verwerker.
Artikel 3. Reikwijdte
1. Met het geven van de opdracht tot het verrichten van werkzaamheden heeft verwerkingsverantwoordelijke aan verwerker de opdracht gegeven om persoonsgegevens te verwerken namens verwerkingsverantwoordelijke op de wijze zoals omschreven in bijlage 1, in overeenstemming met de bepalingen van de Privacy Voorwaarden Stratech en artikel 30 lid 2 sub b AVG.
2. Verwerker verwerkt de persoonsgegevens in overeenstemming met de Privacy Voorwaarden Stratech. Verwerker bevestigt de persoonsgegevens niet voor andere doeleinden te verwerken.
3. De zeggenschap over de persoonsgegevens komt nooit bij verwerker te rusten.
4. Verwerker verwerkt de persoonsgegevens enkel in de Europese Economische Ruimte en derde landen met een passend beschermingsniveau conform artikel 45 AVG. Verwerkingen van persoonsgegevens buiten de Europese Economische Ruimte zijn als zodanig in bijlage 1 gemarkeerd.
Artikel 4. Verplichtingen verwerkingsverantwoordelijke
1. Verwerkingsverantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan verwerker worden verstrekt. Verwerkingsverantwoordelijke staat er jegens verwerker voor in dat niet meer persoonsgegevens worden verzameld dan strikt noodzakelijk voor het verrichten van de werkzaamheden. Onverminderd de verplichtingen van verwerker voortvloeiend uit deze Privacy Voorwaarden Stratech en de AVG, is verwerkingsverantwoordelijke verantwoordelijk voor de verwerking van de persoonsgegevens zoals omschreven in bijlage 1, alsmede voor de nakoming van de verplichtingen die op grond van de AVG en aanverwante wet- en regelgeving rusten op opdrachtgever als verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke is verantwoordelijk voor alle verplichtingen welke uit hoofde van de AVG op hem rusten.
PAGINA
1 van 5
DATUM | VERSIE | ONDERWERP |
09-07-2021 | 1/2021 | Privacy Voorwaarden Stratech (AVG) |
Meer in het bijzonder neemt verwerkingsverantwoordelijke het bepaalde in artikel 24 en 25 AVG in acht, onder meer – maar daartoe niet beperkt – door, rekening houdend met de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, het treffen van technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG geschiedt (artikel 24 lid 1 AVG).
2. Verwerkingsverantwoordelijke zal voorts, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen treffen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van de AVG en ter bescherming van de rechten van de betrokkenen (artikel 25 lid 1 AVG). Voorts treft verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking (artikel 25 lid 2 AVG).
3. Verwerkingsverantwoordelijke geeft naam en contactgegevens en, indien aangesteld, de gegevens van de functionaris voor gegevensbescherming, zoals bedoeld in artikel 30 lid 2 sub a AVG door aan verwerker en informeert verwerker terstond over wijzigingen daarin.
4. Verwerkingsverantwoordelijke garandeert dat hij geen verwerkingen door verwerker zal laten uitvoeren waarbij sprake is van doorgiften van persoonsgegevens aan een derde land of internationale organisatie zoals bedoeld in artikel 30 lid 2 sub c AVG.
5. Verwerkingsverantwoordelijke vrijwaart verwerker voor mogelijke aanspraken van derden, waaronder – maar daartoe niet beperkt – die van betrokkenen als bedoeld in de AVG en die van de Autoriteit Persoonsgegevens, verband houdend met de schending van verplichtingen van verwerkingsverantwoordelijke uit hoofde van het bepaalde in dit artikel en de AVG.
Artikel 5. Geheimhouding
1. Verwerker en de personen die in dienst zijn van verwerker of werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de persoonsgegevens slechts in opdracht van verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen of andersluidende rechterlijke uitspraak.
2. Verwerker en de personen die in dienst zijn van verwerker of werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift of rechterlijke uitspraak hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit. De verplichting als bedoeld in de vorige volzin geldt zowel gedurende de looptijd van de overeenkomst(en) met verwerkingsverantwoordelijke als na afloop daarvan.
Artikel 6. Geen verdere verstrekking
1. Verwerker zal de persoonsgegevens niet delen met of verstrekken aan derden, tenzij verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van verwerkingsverantwoordelijke of op grond van wet- of regelgeving of rechterlijke uitspraak daartoe verplicht is.
2. Indien verwerker op grond van wet- of regelgeving of rechterlijke uitspraak verplicht is om de persoonsgegevens te delen met of te verstrekken aan derden, zal verwerker verwerkingsverantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde wet- of regelgeving of rechterlijke uitspraak.
PAGINA
2 van 5
DATUM | VERSIE | ONDERWERP |
09-07-2021 | 1/2021 | Privacy Voorwaarden Stratech (AVG) |
Artikel 7. Beveiligingsmaatregelen
1. Verwerker zal – rekening houdend met de van toepassing zijnde wet- en regelgeving op het gebied van de beveiliging van de verwerking van persoonsgegevens, de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen – technische en organisatorische beveiligingsmaatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, en de door verwerker verwerkte persoonsgegevens te beveiligen tegen inbreuken in verband met persoonsgegevens zoals bedoeld in artikel 4 sub 12 AVG. De maatregelen zijn er mede op gericht om verzameling en verdere verwerking van persoonsgegevens, anders dan strikt noodzakelijk voor het verrichten van de werkzaamheden, te voorkomen. Waar in artikel 4 sub 12 AVG wordt gesproken over doorgezonden persoonsgegevens, ziet de verantwoordelijkheid van verwerker uitsluitend op door haar in het kader van een overeengekomen werkzaamheid ontvangen persoonsgegevens die aan haar zijn doorgezonden en niet op persoonsgegevens die door verwerker zijn doorgezonden naar verwerkingsverantwoordelijke en/of derden, niet zijnde sub-verwerker(s).
2. De beveiligingsmaatregelen die thans zijn genomen, en waarvan partijen vaststellen dat deze als passend worden beschouwd als bedoeld in artikel 32 lid 1 AVG, zijn in bijlage 2 benoemd en dienen tevens als de beschrijving zoals bedoeld in artikel 30 lid 2 letter d AVG.
Artikel 8. Toezicht op naleving
1. In het kader van het toezicht op de naleving door verwerker van de Privacy Voorwaarden Stratech – uitsluitend ten aanzien van de in dat verband genomen beveiligingsmaatregelen als bedoeld in artikel 7 – zal verwerker ter uitvoering van het bepaalde in artikel 28 lid 3 sub h AVG eenmaal per (kalender)jaar een auditrapportage (ISAE 3000) laten opstellen door een door verwerker aan te wijzen externe deskundige. Xxxxxxxx rapportage zal op verzoek door verwerker aan verwerkingsverantwoordelijke worden verstrekt.
2. De in artikel 28 lid 3 sub h AVG genoemde audits, waaronder inspecties, zullen niet door verwerkingsverantwoordelijke zelf worden uitgevoerd. Conform het in genoemd artikel bepaalde, machtigt verwerkingsverantwoordelijke verwerker om namens verwerkingsverantwoordelijke een controleur (de extern deskundige als bedoeld in lid 1) aan te wijzen voor de controle op de naleving als bedoeld in lid 1.
3. De kosten van de in lid 1 bedoelde audit, alsmede van eventuele overige werkzaamheden van verwerker ten behoeve van het toezicht op de naleving van verplichtingen uit hoofde van artikel 28 lid 3 sub h AVG, komen voor rekening van verwerkingsverantwoordelijke. In geval van hosting zijn de kosten van de jaarlijkse audit begrepen in de kosten van de hosting.
Artikel 9. Datalek
1. Conform het bepaalde in artikel 33 lid 2 AVG informeert verwerker verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Verwerker zal, voor zover mogelijk, informatie (als bedoeld in artikel 28 lid 3 sub f AVG) verstrekken over: de aard van de inbreuk in verband met persoonsgegevens, de waarschijnlijk gevolgen van de inbreuk in verband met de persoonsgegevens en de maatregelen die verwerker heeft getroffen en zal treffen.
2. Het bepaalde in lid 1 van dit artikel laat onverlet de verplichtingen van verwerkingsverantwoordelijke welke voortvloeien uit de AVG in geval van inbreuken als bedoeld in lid 1, meer in het bijzonder – maar daartoe niet beperkt – de verplichtingen op grond van artikel 33 en 34 AVG.
PAGINA
3 van 5
DATUM | VERSIE | ONDERWERP |
09-07-2021 | 1/2021 | Privacy Voorwaarden Stratech (AVG) |
Artikel 10. Sub-verwerkers
1. Verwerker is gerechtigd bij de uitvoering van de werkzaamheden uit hoofde van de Privacy Voorwaarden Stratech derden (sub-verwerkers, zoals genoemd in bijlage 1) in te schakelen, waarvoor verwerkingsverantwoordelijke algemene toestemming verleent als bedoeld in artikel 28 lid 2 AVG. Verwerker licht verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van sub-verwerkers, waarbij verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. Bezwaar zal binnen tien dagen na kennisgeving als hiervoor bedoeld door verwerker zijn ontvangen, bij gebreke waarvan verwerkingsverantwoordelijke wordt geacht geen bezwaar te hebben. In alle gevallen zal bezwaar niet op onredelijke gronden worden ingediend. Verwerkingsverantwoordelijke is gerechtigd met onmiddellijke ingang de overeenkomsten met verwerker waarop de beoogde verandering waartegen bezwaar is gemaakt betrekking heeft, op te zeggen indien de inschakeling van betreffende sub-verwerker meebrengt dat voortzetting van die overeenkomsten binnen de kaders van de Privacy Voorwaarden Stratech in redelijkheid niet van verwerkingsverantwoordelijke kan worden gevergd. Verwerker is gerechtigd met onmiddellijke ingang de overeenkomsten met verwerkingsverantwoordelijke waarop de beoogde verandering waartegen bezwaar is gemaakt betrekking heeft, op te zeggen indien zonder inschakeling van betreffende sub-verwerkers voortzetting van die overeenkomsten binnen de kaders van de Privacy Voorwaarden Stratech in redelijkheid niet van verwerker kan worden gevergd.
2. Wanneer een verwerker een sub-verwerker inschakelt, legt verwerker aan de betreffende sub- verwerker de Privacy Voorwaarden Stratech op, of sluit verwerker met deze sub-verwerker een (sub)verwerkersovereenkomst betreffende de verplichtingen van de sub-verwerker waarin aan de sub-verwerker dezelfde verplichtingen inzake gegevensbescherming worden opgelegd als die welke op basis van de Privacy Voorwaarden Stratech op verwerker rusten. Wanneer de sub- verwerker zijn verplichtingen inzake de gegevensbescherming niet nakomt, blijft verwerker ten aanzien van verwerkingsverantwoordelijke volledige verantwoordelijk voor het nakomen van de verplichtingen van bedoelde sub-verwerker.
Artikel 11. Aansprakelijkheid
Verwerker is slechts aansprakelijk, een en ander overeenkomstig hetgeen in artikel 82 lid 2 AVG is bepaald, voor schade voor zover die ontstaat door zijn werkzaamheden, als bedoeld in artikel 82 lid 2 AVG. Verwerker is slechts aansprakelijk voor schade welke het directe en uitsluitende gevolg is van niet- nakoming van verplichtingen door verwerker onder de Privacy Voorwaarden Stratech.
Artikel 12. Medewerking bij verzoeken tot bijstand
1. Op verzoek van verwerkingsverantwoordelijke zal verwerker, rekening houdend met de aard van de verwerking, door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, verwerkingsverantwoordelijke bijstand verlenen als bedoeld in artikel 28 lid 3 sub e AVG.
2. Op verzoek van verwerkingsverantwoordelijke zal verwerker, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie verwerkingsverantwoordelijke bijstand verlenen als bedoeld in artikel 28 lid 3 sub f AVG.
3. Verwerker is gerechtigd om de kosten die zij moet maken in verband met het bepaalde in lid 1 en 2 bij verwerkingsverantwoordelijke in rekening te brengen.
Artikel 13. Duur en beëindiging
1. Zolang door verwerker werkzaamheden worden verricht ten behoeve van verwerkingsverantwoordelijke zijn de Privacy Voorwaarden Stratech daarop van toepassing.
PAGINA
4 van 5
DATUM | VERSIE | ONDERWERP |
09-07-2021 | 1/2021 | Privacy Voorwaarden Stratech (AVG) |
2. Indien verwerker na het einde van de overeenkomst tussen verwerkingsverantwoordelijke en verwerker Unierechtelijk of lidstaatrechtelijk verplicht is tot opslag van persoonsgegevens gedurende een wettelijke termijn, zal verwerker zorgdragen voor de verwijdering van deze persoonsgegevens na het verstrijken van één maand na het einde van de wettelijke bewaarplicht. De kosten van het voldoen aan genoemde wettelijke bewaarplicht kunnen door verwerker aan verwerkingsverantwoordelijke worden doorbelast.
3. Bij beëindiging van de overeenkomst tussen verwerkingsverantwoordelijke en verwerker kan verwerkingsverantwoordelijke aan verwerker éénmalig, volgens de bepalingen in artikel 15 lid 2 van de Software Voorwaarden Stratech, verzoeken om de bij verwerker beschikbare persoonsgegevens van verwerkingsverantwoordelijke aan verwerkingsverantwoordelijke te verstrekken respectievelijk terug te bezorgen.
Artikel 14. Wijziging Privacy Voorwaarden Stratech
Verwerker is gerechtigd de Privacy Voorwaarden Stratech, waaronder ook de daarbij behorende bijlage(n), eenzijdig te wijzigen indien dit naar het oordeel van verwerker redelijkerwijs aangewezen is in verband met onder meer wijziging van wet- en regelgeving, jurisprudentie met betrekking tot de (uitleg van de) AVG, wijziging van functionaliteit van de software, wijziging van de werkzaamheden en/of de beveiligingsmaatregelen en/of wijziging van het beleid van verwerker. Een wijziging is van kracht vanaf het moment dat verwerkingsverantwoordelijke de gewijzigde Privacy Voorwaarden Stratech heeft ontvangen.
Artikel 15. Wijzigingen
1. Voor bestaande overeenkomsten zijnde de overeenkomsten met opdrachtgever die ten tijde van het van kracht worden van deze Privacy Voorwaarden Stratech van kracht zijn) vervangen deze Privacy Voorwaarden Stratech (AVG) de eerdere voorwaarden van Stratech, te weten:
▪ Privacy Voorwaarden Stratech (AVG)
2. Specifieke afspraken in de bestaande overeenkomst tussen Stratech en opdrachtgever welke betrekking hebben op de eerdere voorwaarden zoals genoemd in lid 1 blijven van toepassing.
Deze Privacy Voorwaarden Stratech zijn gedeponeerd bij de Rechtbank Overijssel, locatie Almelo op 12-07-2021 onder nummer 20/2021.
PAGINA
5 van 5
DATUM | VERSIE | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Deze bijlage is bijlage 1 als genoemd in de Privacy Voorwaarden Stratech voor verwerkingsverantwoordelijken die gebruik maken van de software Stratech Perspectief van Stratech.
Verwerkingsverantwoordelijke laat verwerker werkzaamheden verrichten. Als onderdeel van deze werkzaamheden kunnen gegevens van personen verwerkt worden. In deze bijlage is vastgelegd welke persoonsgegevens worden verwerkt en welke werkzaamheden verwerker in dat kader voor verwerkingsverantwoordelijke uitvoert.
Deze bijlage is mede afhankelijk van wijziging van functionaliteit van de software en kan daardoor, bijvoorbeeld als gevolg van een update, wijzigingen.
1. Versiebeheer
Datum Wijziging
03-05-2018 Eerste versie.
01-05-2020 Versiebeheer toegevoegd;
In verband met de migratie van de hostingomgeving van Root naar Previder:
▪ beheerwerkzaamheden ten behoeve van de hostingomgeving door sub-verwerker Root geschrapt;
▪ sub-verwerker Previder toegevoegd voor beheerwerkzaamheden ten behoeve van de hostingomgeving.
06-10-2020 Sub-verwerker Root verwijderd. 01-10-2021 Interfaces toegevoegd;
Terminologie in lijn gebracht met de leveringsvoorwaarden.
28-11-2022 De versie van Stratech Perspectief waarop de in deze bijlage vermelde informatie betrekking heeft, is verhoogd naar 9.10;
Burgerservicenummer toegevoegd aan Persoonsgegevens; Schuldenknooppunt versie 1.1 toegevoegd aan Interfaces;
Koppeling BKR hernoemd naar BKR koppeling (BKR-net), gemarkeerd als obsolete en naam vervangen door geboortenaam;
Koppeling BKR op basis van APIM webservice toegevoegd aan Interfaces.
2. Persoonsgegevens1
Verwerkingsverantwoordelijke verwerkt gegevens van personen die afzonderlijk of gecombineerd redelijkerwijs een natuurlijk persoon identificeren (identificerende persoonsgegevens).
Verwerkingsverantwoordelijke maakt daarvoor gebruik van de software Stratech Perspectief van Stratech. Het betreft onderstaande (categorieën van) gegevens:
▪ Naamgegevens (zoals voornaam, achternaam);
▪ Adresgegevens (zoals straat, huisnummer, postcode, plaats, land);
▪ Contactgegevens (zoals e-mailadres, telefoonnummer);
▪ Geboortedatum;
▪ Bankgegevens (zoals IBAN, BIC);
▪ Nummer van identiteitsbewijs;
▪ Burgerservicenummer (BSN).
Naast de identificerende persoonsgegevens verwerkt verwerkingsverantwoordelijke de navolgende aanvullende (categorieën van) persoonsgegevens die betrekking hebben op de natuurlijk persoon:
1 De mogelijkheid tot het verwerken van bepaalde (categorieën van) persoonsgegevens kan afhankelijk zijn van de configuratie van de door verwerkingsverantwoordelijke gebruikte software.
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
▪ Gebruikershistorie;
▪ Schulden;
▪ Vermogen en bezittingen;
▪ Cliënthistorie (zoals trajecten, gebruik portal);
▪ Sociale netwerk;
▪ Inkomsten en uitgaven;
▪ Gegevens die noodzakelijk zijn voor de berekening van de afloscapaciteit (VTLB-gegevens)
▪ Gegevens die noodzakelijke zijn voor het aanleveren van de WSNP-verklaring
▪ Aanvullende gegevens van cliënten (zoals geslacht, geboorteland, partner en kinderen, opleidingsniveau, verblijfsstatus, et cetera).
Verwerkingsverantwoordelijke legt geen andere dan de hiervoor genoemde (categorieën van) persoonsgegevens vast.
3. Werkzaamheden
Verwerker verwerkt ten behoeve van verwerkingsverantwoordelijke hierboven beschreven (categorieën van) persoonsgegevens. De werkzaamheden vloeien voort uit de tussen Stratech en opdrachtgever gesloten overeenkomsten en betreffen één of meerdere van de hieronder genoemde werkzaamheden:
▪ Hosting;
Dit betreft tot het hosten behorende beheerwerkzaamheden waarbij de persoonsgegevens in de hostingomgeving van verwerker staan.
▪ Interfacing;
Dit betreft geautomatiseerde werkzaamheden vanuit de hostingomgeving van verwerker waarbij persoonsgegevens worden uitgewisseld (ontvangen of doorgezonden) met systemen van derden via interfaces van modules zoals diverse koppelingen, Stratech Insight en Stratech Connect.
▪ Analyses;
Dit betreft geautomatiseerde werkzaamheden waarbij persoonsgegevens worden geanalyseerd en gepresenteerd zoals met Stratech Insight.
▪ Consultancy;
Dit betreft veelal inrichtingswerkzaamheden die door (een consultant van) verwerker op locatie van verwerkingsverantwoordelijk of vanaf locatie van verwerker worden uitgevoerd en waarbij de medewerker (remote) toegang heeft tot de persoonsgegevens.
▪ Serviceverlening.
Dit betreft werkzaamheden die door (een servicedesk medewerker van) verwerker, veelal vanaf locatie van verwerker, worden uitgevoerd en waarbij de medewerker (remote) toegang heeft tot de persoonsgegevens.
Dit betreft werkzaamheden die door (een medewerker van) verwerker, veelal op locatie van verwerker of, via remote toegang, vanaf locatie van verwerker op locatie van verwerkingsverantwoordelijke, worden uitgevoerd in het kader van het voorkomen en opsporen van onvolkomenheden in de software en waarbij de medewerker toegang heeft tot de persoonsgegevens.
4. Sub-verwerkers
Voor de uitvoering van werkzaamheden maakt verwerker gebruik van onderstaande sub-verwerkers. Naam: Previder BV
Contactgegevens: Xxxxxxxx 00, 0000 XX xx Xxxxxxx
Werkzaamheden: beheerwerkzaamheden ten behoeve van de hostingomgeving van verwerker.
PAGINA
2 van 11
DATUM KENMERK ONDERWERP
28-11-2022 1/2022/Perspectief Privacy Voorwaarden Stratech / Bijlage 1
5. Interfaces
Onderstaande opsomming biedt per interface een overzicht van de mogelijkheden tot uitwisseling van persoonsgegevens en is mede bedoeld als informatie om verwerkingsverantwoordelijke te ondersteunen bij het beoordelen van zijn verantwoordelijkheden.
De informatie heeft betrekking op Stratech-Perspectief vanaf versie 9.10.
Module Beschrijving
Xxxxxxxxxxx Xxxxxxxxx
Met de module Xxxxxxxxxxx Xxxxxxxxx is het mogelijk om zaak- en documentgegevens vanuit Stratech Perspectief op te slaan in uw zaaksysteem. Het uitwisselen van zaak- en documentgegevens tussen Stratech Perspectief en het zaaksysteem vindt plaats op basis van de standaard Zaak- en Documentservices 1.1. De zaak- en documentgegevens kunnen persoonsgegevens bevatten.
Enkele algemene kenmerken van deze koppeling:
▪ Het traject van de cliënt in Stratech Perspectief staat gelijk aan de zaak in het zaaksysteem.
▪ Gegevens die op zaakniveau worden uitgewisseld zijn: NAW-cliënt, zaaktype, begin- en einddatum, begeleider, status en resultaat.
▪ In Stratech Perspectief gegenereerde en/of bewerkte brieven of los toegevoegde dossierstukken worden automatisch opgeslagen in het zaaksysteem.
▪ De volledige documentenlijst van de gekoppelde zaak kan in Stratech Perspectief getoond worden in het tabblad 'Dossier' van de cliënt. Ook wanneer er via een andere bron dan Stratech Perspectief documenten aan de zaak zijn toegevoegd, bijvoorbeeld door een postregistratie systeem.
▪ Documenten openen vanuit het cliëntdossier opent het document uit het zaaksysteem.
Vanuit de hostingomgeving wordt niet rechtstreeks gecommuniceerd met het zaaksysteem, dit wordt gedaan vanuit de door opdrachtgever gebruikte Stratech Perspectief client applicatie op de werkplek.
Voor de beveiliging van de communicatie met het zaaksysteem kan gebruik gemaakt worden van https eventueel aangevuld met tweezijdige SSL- verificatie.
Deze koppeling is een Dienst Derden.
PAGINA
3 van 11
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Module Beschrijving
StUF-BG-BRP
Koppeling
Met de module StUF-BG-BRP Koppeling is het mogelijk gegevens, waaronder persoonsgegevens, op te halen uit de Basisregistratie Personen (BRP) en deze op te slaan in Stratech Perspectief. Het ophalen en actualiseren van gegevens uit de BRP verloopt via een gegevensmakelaar op basis van de standaard StUF-BG 3.10.
Enkele algemene kenmerken van deze koppeling:
▪ Het ophalen van de (persoons)gegevens vindt plaats vanuit de cliëntkaart op basis van BSN. Een gebruiker kan zelf de meest actuele gegevens ophalen.
▪ Per cliënt kan een afnemersindicatie gestuurd worden. Vanaf dat moment krijgt Stratech Perspectief een melding bij een wijziging van de persoon in de BRP. De cliënt krijgt dan een markering.
▪ Gewijzigde of toegevoegde gegevens worden blauw gemarkeerd, zodat de gebruiker inzichtelijk heeft wat er is gewijzigd en dit kan controleren alvorens deze definitief op te slaan.
▪ De koppeling wordt gelegd met één van de gangbare gegevensmakelaars, bijvoorbeeld Centric Key2datadistributie, PinkRoccade MakelaarSuite. Het is mogelijk met meerdere gegevensmakelaars te koppelen, bijvoorbeeld bij een gemeentelijke samenwerking.
Voor het ontvangen en verzenden van berichten wordt gebruik gemaakt van webservices. De webservice van Stratech Perspectief is ondergebracht in de applicatieserver. Het verkeer tussen de webservices is beveiligd met tweezijdige SSL-verificatie.
Betrokken persoonsgegevens:
▪ Naam
▪ Geboortedatum
▪ Geboorteplaats
▪ Geslacht
▪ Nationaliteit
▪ Adresgegevens
▪ Burgerlijke staat
▪ Verblijfstitel
▪ Burgerservicenummer (BSN) Deze koppeling is een Dienst Derden.
PAGINA
4 van 11
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Module Beschrijving
Koppeling BKR (APIM webservice)
Met de module Koppeling BKR op basis van APIM webservice is het mogelijk om cliënten te toetsen en kredieten en schuldregelingen te registreren bij het BKR.
Onderstaande verwerkingen zijn mogelijk:
▪ Toetsen CKI
▪ Door toetsen
▪ Aanmelden contract bij het BKR
▪ Afmelden contract bij het BKR
▪ Registeren mutaties in de gegevens van het contract
▪ Bijzonderheidsmeldingen op het contract
▪ Verwerken registraties
▪ Proactief bepalen van Sterposten
▪ Beoordelen van Sterposten BKR
Betrokken persoonsgegevens:
▪ Adresgegevens (inclusief postcode)
▪ Geboortedatum
▪ Geslacht
▪ Geboortenaam
▪ Overeenkomst(en) met de zakelijke klant(en)
▪ De achterstanden, herstelmeldingen en bijzonderheden die zich voordoen gedurende de looptijd van die overeenkomst(en)
▪ De beëindiging van die overeenkomst(en)
De verbinding tussen Stratech Perspectief en het BKR is beveiligd conform de door BKR vereiste beveiligingsnormen en per deelnemernummer is een client side certificaat vereist.
Deze koppeling is een Dienst Derden.
PAGINA
5 van 11
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Module Beschrijving
Koppeling BKR (BKR- net)
Obsolete
Met de module Koppeling BKR is het mogelijk om cliënten te toetsen en kredieten en schuldregelingen te registreren bij het BKR.
Onderstaande verwerkingen zijn mogelijk:
▪ Toetsen CKI
▪ Door toetsen
▪ Aanmelden contract bij het BKR
▪ Afmelden contract bij het BKR
▪ Registeren mutaties in de gegevens van het contract
▪ Bijzonderheidsmeldingen op het contract
▪ Verwerken registraties
▪ Proactief bepalen van Sterposten
▪ Beoordelen van Sterposten BKR
Voor de werking van de BKR-module is aansluiting met beveiligde BKR-lijn noodzakelijk. Vanuit de hostingomgeving wordt niet rechtstreeks gecommuniceerd met het BKR, dit wordt gedaan vanuit de door opdrachtgever gebruikte Stratech Perspectief client applicatie op de werkplek.
Betrokken persoonsgegevens:
▪ Adresgegevens (inclusief postcode)
▪ Geboortedatum
▪ Geslacht
▪ Geboortenaam
▪ Overeenkomst(en) met de zakelijke klant(en)
▪ De achterstanden, herstelmeldingen en bijzonderheden die zich voordoen gedurende de looptijd van die overeenkomst(en)
▪ De beëindiging van die overeenkomst(en) Deze koppeling is een Dienst Derden.
PAGINA
6 van 11
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Module Beschrijving
StUF-BG-NHR
Koppeling
Met de module StUF-BG-NHR Koppeling is het mogelijk gegevens, waaronder persoonsgegevens, op te halen uit het Nationaal Handelsregister (NHR) en deze op te slaan in Stratech Perspectief. Het ophalen en actualiseren van gegevens uit het NHR verloopt via een gegevensmakelaar op basis van de standaard StUF-BG 3.10.
Enkele algemene kenmerken van deze koppeling:
▪ Het ophalen van de gegevens vindt plaats op basis van het KvK nummer. Een gebruiker kan zelf de meest actuele gegevens ophalen.
▪ Gewijzigde of toegevoegde gegevens worden blauw gemarkeerd, zodat de gebruiker inzichtelijk heeft wat er is gewijzigd en dit kan controleren alvorens deze definitief worden opgeslagen.
▪ De koppeling wordt gelegd met één van de gangbare gegevensmakelaars van bijvoorbeeld Centric en PinkRoccade
Voor het ontvangen en verzenden van berichten wordt gebruik gemaakt van webservices. De webservice van Stratech Perspectief is ondergebracht in de applicatieserver. Het verkeer tussen de webservices is beveiligd met tweezijdige SSL-verificatie.
Betrokken persoonsgegevens:
▪ Bezoekadres
▪ Postadres
▪ Naam
Deze koppeling is een Dienst Derden.
PAGINA
7 van 11
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Module Beschrijving
Bewindvoering inclusief Koppeling Rechtspraak
RaboDirectConnect (RDC)
Met de Koppeling Rechtspraak is het mogelijk om digitaal te communiceren met de Rechtspraak voor een cliënt die onder bewind is gesteld.
Met de koppeling kunnen de volgende onderdelen met de Rechtspraak worden uitgewisseld:
▪ Boedelbeschrijving
▪ (Eind)Rekening & Verantwoording
▪ Vijfjaarlijkse evaluatie
▪ Berichten
▪ Machtigingsverzoeken
Er wordt gebruik gemaakt van een PKIoverheid-certificaat en een KvK nummer om de verbinding met rechtspraak tot stand te kunnen brengen. Communicatie vindt plaats vanuit zowel de Stratech Perspectief cliënt applicatie op de werkplek alsmede de Stratech Perspectief applicatieserver.
Voor de tot stand komen van de relatie tussen cliënt en zaak worden er eenmalig persoonsgegevens verzonden van Rechtspraak naar Stratech Perspectief. Er worden geen NAW-gegevens verzonden naar Rechtspraak nadat de koppeling is gelegd tussen zaak en cliënt.
Betrokken persoonsgegevens:
▪ Adres
▪ Geboortedatum
▪ Geboorteland
▪ Geboorteplaats
▪ Geslacht
▪ Naam
Deze koppeling is een Dienst Derden.
Met de module RabobankDirectConnect (RDC) is het mogelijk om geautomatiseerd bankbestanden (financiële mutaties) uit te wisselen tussen Stratech Perspectief en de Rabobank. Hierdoor is inloggen op de Rabobank website en het handmatig up- en downloaden van bankbestanden niet meer nodig.
Er wordt gebruik gemaakt van een SFTP-server om bankbestanden uit te wisselen tussen Stratech Perspectief en de Rabobank. Er wordt gebruik gemaakt van certificaten voor ondertekening en IP-controle ten behoeve van authenticatie.
Betrokken persoonsgegevens:
▪ Rekeningnummers
▪ Te naam stelling van de rekening
▪ Financiële mutaties en saldo’s
▪ Betalingskenmerk(en)
Deze koppeling is een Dienst Derden.
PAGINA
8 van 11
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Module Beschrijving
Xxxxxxxxx Xxxxxxxxx Xxxxxxxxx In-Take Schuldhulp is in samenwerking met Stadsring51 uit Amersfoort ontwikkeld. De Stratech Perspectief koppeling met Schulinck In- Take zorgt ervoor dat cliëntgegevens geautomatiseerd verzonden worden naar Schulinck.
Er wordt gebruikt van webservices met een unieke URL. Het verkeer is beveiligd met een SSL-certificaat. Voor authenticatie wordt er gebruik gemaakt van een gebruikersnaam en wachtwoord.
Elektronisch bankieren (SEPA)
Betrokken persoonsgegevens:
▪ Naamgegevens
▪ Adresgegevens
▪ E-mailadres
▪ Geboortedatum
▪ Geslacht
▪ Telefoonnummer
Vanuit de hostingomgeving wordt niet rechtstreeks gecommuniceerd met Schulinck, dit wordt gedaan vanuit de door opdrachtgever gebruikte Stratech Perspectief client applicatie.
Deze koppeling is een Dienst Derden.
De module Elektronisch bankieren (SEPA) biedt de mogelijkheid tot het inlezen van bankafschriften waarin persoonsgegevens staan.
De door de bank aangeleverde gegevens behoren conform de standaard 'Bank to Customer Statement Message ISO20022' en de voor Nederland geldende specifieke eisen te zijn.
Vanuit de hostingomgeving worden geen bankafschriften ingelezen, dit wordt gedaan door de door opdrachtgever gebruikte cliënt waarbij het bestand ingelezen wordt van een buiten de verantwoordelijkheid van verwerker vallende locatie.
PAGINA
9 van 11
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Module Beschrijving
Stratech Insight Stratech Insight is een gebruiksvriendelijke en intuïtieve tool waarmee op eenvoudige en visuele wijze gegevens uit Stratech Perspectief geanalyseerd kunnen worden en deze gegevens om te zetten naar managementinformatie. De koppeling met Stratech Insight biedt de mogelijkheid tot het versturen van persoonsgegevens. Onderstaande geldt voor Stratech Insight draaiende in de hostingomgeving.
Het versturen van gegevens ten behoeve van Stratech Insight naar de hostingomgeving is beveiligd via https.
Stratech Connect voor cliënten
De verbinding met de Stratech Insight website is beveiligd met https. Een gebruiker die toegang wil tot de website dient te beschikken over een gebruikersnaam en wachtwoord.
Opdrachtgever verstuurt periodiek gegevens ten behoeve van analyses naar de hostingomgeving. Onderdeel van deze gegevens zijn cliënt (persoons)gegevens zoals:
▪ Geslacht
▪ Burgerlijke staat
▪ Woonsituatie
▪ Samenlevingsverband
▪ Geboorteland
▪ Geboortedatum
▪ Achternaam
▪ Postcode
▪ Plaats
▪ Gemeente
▪ Gegevens over trajecten
Met het Stratech Connect portaal voor cliënten, kunt u uw cliënten inzicht geven in de actuele financiële status, het budgetplan, de voortgang in het traject en het schuldenoverzicht. Tevens heeft u de mogelijkheid om de cliënt bankafschriften, in uw eigen opmaak, als printbare versie beschikbaar te stellen. Het versturen van maandelijkse rekeningoverzichten is hierdoor overbodig.
Het cliëntenportaal is beveiligd met een SSL-certificaat, username en wachtwoord en tweefactorauthenticatie (2FA).
De betrokken persoonsgegevens zijn afhankelijk van inrichting, minimaal zijn hier de volgende persoonsgegevens bij betrokken:
▪ E-mailadres
▪ Naam
Generieke Import Met de module Generieke Import is het mogelijk om geautomatiseerd gegevens te importeren en exporten. Deze functionaliteit is bijvoorbeeld te gebruiken voor het automatisch verwerken van aanmeldingen. Ook kan deze functionaliteit gebruikt worden voor het bijwerken van gegevens.
Er zijn mogelijk persoonsgegevens betrokken bij deze module, dit is afhankelijk van inrichting.
PAGINA
10 van 11
DATUM | KENMERK | ONDERWERP |
28-11-2022 | 1/2022/Perspectief | Privacy Voorwaarden Stratech / Bijlage 1 |
Module
VTLB
Schuldenknooppunt (versie 1.1)
Beschrijving
Voor de berekening van het vrij te laten bedrag (VTLB) wordt de voorgeschreven VTLB-berekeningsmodule van Bureau WSNP gebruikt. De met deze module uit te wisselen gegevens (VTLB-gegevens) worden voorgeschreven door Bureau WSNP.
Deze koppeling is een Dienst Derden.
De koppeling met het Schuldenknooppunt wisselt gegevens uit met het Schuldenknooppunt. De met deze module uit te wisselen gegevens worden voorgeschreven door het Schuldenknooppunt conform het Handboek Schuldenknooppunt, berichtenset versie 1.1.
De verbinding tussen Stratech Perspectief en het Schuldenknooppunt is beveiligd conform de door het Schuldenknooppunt vereiste beveiligingsnormen.
Deze koppeling is een Dienst Derden.
PAGINA
11 van 11
DATUM | VERSIE | ONDERWERP |
01-10-2021 | 2/2021/Stratech | Privacy Voorwaarden / Bijlage 2 |
Deze bijlage is bijlage 2 als genoemd in de Privacy Voorwaarden Stratech voor verwerkingsverantwoordelijken die gebruik maken van de in bijlage 1 (als genoemd in de Privacy Voorwaarden Stratech) genoemde software van Stratech.
Verwerkingsverantwoordelijke laat verwerker werkzaamheden verrichten. Als onderdeel van deze werkzaamheden kunnen gegevens van personen verwerkt worden. In deze bijlage is vastgelegd welke beveiligingsmaatregelen verwerker heeft getroffen.
1. Versiebeheer
Datum
03-05-2018
Wijziging
Eerste versie.
11-06-2019 Versiebeheer toegevoegd;
Update beveiligingsmaatregelen.
14-08-2019 NEN certificering verwijderd bij hostingprovider.
11-03-2020 Onder ‘Toegangsbeveiliging’ de maatregel betreffende de toewijzing en het gebruik van speciale bevoegdheden aangescherpt.
In verband met de migratie van de hostingomgeving van Root naar Previder onder ‘Leveranciersrelaties’ de term ‘maandelijks’ vervangen door ‘periodiek’.
27-11-2020 Taal correctie onder “Veilig personeel”, betreffende de maatregel “Als onderdeel van de arbeidsvoorwaarden moeten werknemers hun verantwoordelijkheden nakomen ten aanzien van het informatiebeveiliging”. Verwijdering van maatregelen met betrekking tot; disaster recovery procedure, leverancier controle en wijzigingen in leveranciers dienstverlening.
18-05-2021 Overlappende beveiligingsmaatregelen verwijderd.
01-10-2021 Terminologie in lijn gebracht met de leveringsvoorwaarden.
2. Beveiligingsmaatregelen
Verwerker verwerkt ten behoeve van verwerkingsverantwoordelijke in bijlage 1 genoemde persoonsgegevens. De werkzaamheden vloeien voort uit de tussen Stratech en opdrachtgever gesloten overeenkomsten. Verwerker heeft onderstaande technische en organisatorische maatregelen getroffen. De beveiligingsmaatregelen worden vermeld per hoofdbeveiligingscategorie.
Informatiebeveiligingsbeleid
Er is informatiebeveiligingsbeleid opgesteld dat in overeenstemming is met bedrijfseisen en relevante wet- en regelgeving.
Ad-hoc en periodiek wordt het informatiebeveiligingsbeleid getoetst en waar nodig geactualiseerd.
Als onderdeel van het informatiebeveiligingsbeleid is het document 'Handleiding computergebruik' opgesteld. Dit document wordt kenbaar gemaakt naar alle medewerkers.
Organiseren van informatiebeveiliging
Verantwoordelijkheden van werknemers ten aanzien van informatiebeveiliging zijn gedefinieerd en belegd.
Verantwoordelijkheden van IT beheerders en ontwikkelaars zijn gescheiden om gelegenheid voor onbedoelde wijziging van diensten te verminderen.
PAGINA
1 van 4
DATUM | VERSIE | ONDERWERP |
01-10-2021 | 2/2021/Stratech | Privacy Voorwaarden / Bijlage 2 |
Organiseren van informatiebeveiliging
In het document 'Handleiding computergebruik' zijn eisen opgenomen ten aanzien van gebruik, eigenaarschap, beveiliging en geoorloofd gebruik van ICT middelen.
Veilig personeel
Als onderdeel van de arbeidsvoorwaarden moeten werknemers hun verantwoordelijkheden nakomen ten aanzien van informatiebeveiliging.
Geheimhouding is opgenomen in de arbeidsovereenkomst.
Periodiek wordt er aandacht geschonken aan de awareness ten aanzien van beveiliging.
Beheer van bedrijfsmiddelen
Er is formeel beleid vastgesteld en er zijn beveiligingsmaatregelen getroffen ter bescherming tegen risico's van het gebruik van draagbare en desktopcomputers en communicatiefaciliteiten.
Er zijn richtlijnen vastgesteld voor het verantwoord installeren van software door medewerkers. Datadragers worden op een veilige manier afgevoerd als ze niet langer nodig zijn.
Toegangsbeveiliging
Toegang tot informatiesystemen is op netwerkniveau gescheiden middels netwerksegmentatie.
Er is een formeel registratie proces voor nieuwe en vertrekkende gebruikers ingericht om toegangsrechten aan- en af te kunnen koppelen.
De toegangsrechten van alle werknemers tot informatiesystemen en IT-voorzieningen worden geblokkeerd bij beëindiging van het dienstverband, langdurige afwezigheid of bij een op non-actief stelling.
Aan gebruikers wordt alleen toegang verleend tot diensten waarvoor ze specifiek bevoegd zijn.
De toewijzing en het gebruik van bevoegdheden buiten de standaard autorisaties voortvloeiend uit functionele rollen wordt beperkt en beheerst middels een uitzonderingsprocedure.
Toegang tot systemen en applicaties verloopt via een veilige inlog procedure.
Informatiesystemen zijn zo ingericht dat er wachtwoorden van vereiste kwaliteit worden afgedwongen.
Cryptografie
Er is beleid ingericht voor het gebruik van cryptografie ter bescherming van informatie.
Er wordt encryptie toegepast op de op draagbare en desktopcomputers opgeslagen informatie.
Alle publieke sites zijn voorzien van een SSL certificaat ter encryptie van het verkeer en het aantonen van eigenaarschap van de betreffende site. Naast encryptie worden een aantal best practices toegepast ter beveiliging van websites en webservers.
PAGINA
2 van 4
DATUM | VERSIE | ONDERWERP |
01-10-2021 | 2/2021/Stratech | Privacy Voorwaarden / Bijlage 2 |
Fysieke beveiliging en beveiliging van de omgeving
Beveiligde zones worden beschermd door passende toegangsbeveiliging om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten.
Apparatuur is zo geplaatst en beschermd dat risico's voor schade en storingen van buitenaf en de gelegenheid voor onbevoegde toegang wordt verminderd. De infrastructuur ten behoeve van applicatie hosting is geplaatst in een professioneel datacenter.
Back-ups worden op twee fysiek van elkaar gescheiden locaties opgeslagen.
De back-ups zijn opgeslagen op apparatuur in afgesloten ruimten met toegangsbeveiliging.
Het kantoorpand is voorzien van inbraak alarm en er is een procedure vastgelegd tot opvolging. Het kantoorpand is voorzien van branddetectie inclusief doormelding.
Het kantoorpand is voorzien van camerabeveiliging en beeld wordt opgenomen.
Beveiliging bedrijfsvoering
Het gebruik van hulpprogrammatuur zoals keyloggers, netwerkinventarisatie tools, waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, is niet toegestaan behalve op basis van een geformaliseerd uitzonderingsproces.
Servers en werkplek apparatuur zijn voorzien van beveiligingssoftware.
De ICT infrastructuur wordt met regelmaat ge-update, urgente beveiligingspatches worden direct ingepland.
De applicatieomgeving is opgenomen in beschikbaarheidsmonitoring. Er worden hardeningsprincipes toegepast op servers.
Communicatiebeveiliging
Periodiek worden firewall regels getoetst en waar nodig aangepast.
Management van informatiesystemen dient ten aller tijden uitgevoerd te worden met een persoonlijk beheeraccount, met uitzondering van apparaten die dit niet ondersteunen.
Management van netwerkapparatuur is zo ingericht dat deze enkel vanuit interne, daartoe gemachtigde, netwerken beschikbaar is. Uitzonderingen hierop zijn alleen mogelijk op basis van een geformaliseerd uitzonderingsproces.
Beheer van informatiebeveiligingsincidenten
Er is een proces ingericht voor security incidenten (waaronder begrepen inbreuken in verband met persoonsgegevens). Onderdeel van dit proces is het implementeren van verbetermaatregelen.
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
Er worden procedures gehanteerd ter controle van de juistheid en volledigheid van de back-ups. Over elke back-up wordt gerapporteerd om na falen te zorgen voor herstel.
Het server platform is redundant uitgevoerd om in geval van hardware falen de dienstverlening te continueren.
PAGINA
3 van 4
DATUM | VERSIE | ONDERWERP |
01-10-2021 | 2/2021/Stratech | Privacy Voorwaarden / Bijlage 2 |
Naleving
Er zijn technische en organisatorische maatregelen getroffen om naleving van het informatiebeveiligingsbeleid te controleren en af te dwingen.
Leveranciersrelaties
Beveiligingskenmerken, niveaus van dienstverlening en beheereisen voor diensten die afgenomen worden van de hostingprovider zijn opgenomen in een overeenkomst.
De hostingprovider voldoet aan norm ISO 27001:2013. De hostinglocatie voldoet aan norm ISO 27001:2013.
Er zijn procedures ingericht die toezichthouden op de actualisatie van de ISO certificering van de hostingprovider en hostinglocatie.
De beveiligingsmaatregelen worden toegepast op de in bijlage 1 gespecificeerde werkzaamheden. Het toepassen van locatie gebonden beveiligingsmaatregelen is afhankelijk van de feitelijke locatie waar de werkzaamheden worden verricht.
De in deze bijlage genoemde beveiligingsmaatregelen gelden uitsluitend voor de fysieke locaties van verwerker, hardware, interne netwerkverbindingen, organisatie en personen waarvoor verwerker verantwoordelijk is en waarover verwerker zeggenschap heeft.
PAGINA
4 van 4