KADER GEGEVENSVERWERKING OVEREENKOMST

INHOUDSOPGAVE

1 Onderwerp en duur van de DPA

8

11 Bijlage 2: Technische en organisatorische maatregelen . Error! Bookmark not defined.

1 Onderwerp en duur van de DPA

(1) Deze Verwerkersovereenkomst ("data processing agreement - DPA”) vormt een integraal onderdeel van het Servicecontract of een andere overeenkomst tussen de Klant (Verwerkingsverantwoordelijke) en SoftwareONE (Verwerker) die de levering van diensten van SoftwareONE aan de Verwerkingsverantwoordelijke regelt, wanneer de toepasselijke wetgeving inzake gegevensbescherming een dergelijke DPA vereist voor het gebruik van de diensten van SoftwareONE.

(2) Deze DPA regelt de rechten en plichten van Partijen in verband met de verwerking van persoonsgegevens. De specifieke details van de uitgevoerde gegevensverwerkingen, met inbegrip van maar niet beperkt tot het onderwerp, de aard en het doel van de verwerking, het type persoonsgegevens, de categorieën van betrokkenen, worden door de Partijen geregeld in het Addendum Verwerkersovereenkomst (hierna "Addendum"), dat een integraal onderdeel is van deze DPA en op verplichte basis zal worden gesloten.

(3) Deze DPA is van toepassing zolang SoftwareONE persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke onder het Servicecontract of een andere overeenkomst tussen Verwerkingsverantwoordelijke en SoftwareONE.

2 Instructies van de Verwerkingsverantwoordelijke

(1) De Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de bepalingen op het gebied van gegevensbescherming, in het bijzonder voor de toelaatbaarheid van de gegevensverwerking en voor de rechten van de betrokkenen volgens de bepalingen op het gebied van gegevensbescherming.

(2) De Verwerker verwerkt de door Verwerkingsverantwoordelijke verstrekte persoonsgegevens uitsluitend binnen het toepassingsgebied van de overeengekomen bepalingen volgens de schriftelijke instructies van de Verwerkingsverantwoordelijke. Voor aanvullende instructies, die buiten de in deze DPA gegeven of overeengekomen instructies vallen, is voorafgaande schriftelijke overeenstemming tussen Verwerker en Verwerkingsverantwoordelijke vereist, met inbegrip van overeenstemming over eventuele aanvullende vergoedingen die de Verwerkingsverantwoordelijke aan Verwerker verschuldigd is voor het uitvoeren van dergelijke instructies.

(3) De verwerking geschiedt uitsluitend volgens de instructies van de Verwerkingsverantwoordelijke, behalve als de Verwerker de persoonsgegevens verplicht krachtens de wetgeving van de Europese Unie of een van de lidstaten moet verwerken. In die gevallen zal de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking op de hoogte stellen van de desbetreffende wettelijke vereisten, mits dergelijke informatie niet om gewichtige redenen van algemeen belang verboden is.

(4) Indien Verwerker van mening is dat een door Verwerkingsverantwoordelijke gegeven instructie in strijd is met wetgeving op het gebied van gegevensbescherming, zal Verwerker Verwerkingsverantwoordelijke daarvan verwittigen voordat hij een dergelijke instructie uitvoert. Indien Verwerkingsverantwoordelijke er, ondanks de mededeling van Verwerker aangaande een dergelijke instructie, op staat dat de desbetreffende instructie wordt uitgevoerd, dan heeft Verwerker het recht de uitvoering van de betreffende instructies op te schorten totdat Verwerkingsverantwoordelijke deze wijzigt.

3 Technische en organisatorische maatregelen

(1) De Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen voor de gegevensverwerking conform Bijlage 2 van deze DPA. De Verwerkingsverantwoordelijke stemt ermee in dat deze beveiligingsmaatregelen passend zijn voor de risico's die verbonden zijn aan de specifieke verwerkingen van persoonsgegevens.

(2) De Verwerker kan de genomen maatregelen aan toekomstige technische en organisatorische ontwikkelingen aanpassen. Het is de Verwerker uitsluitend toegestaan om deze aanpassingen aan te brengen, als ze ten minste aan het eerdere beveiligingsniveau voldoen. De Verwerker is uitsluitend verplicht om de Verwerkingsverantwoordelijke van substantiële aanpassingen op de hoogte te stellen.

4 Verplichtingen Verwerker

(1) De Verwerker garandeert en verplicht zich ertoe dat alle bij de gegevensverwerkingsprocedures betrokken werknemers op de hoogte zijn van de relevante regelgeving op het gebied van gegevensbescherming. De Verwerker draagt er zorg voor dat die werknemers aan vertrouwelijkheid gebonden zijn, alsmede onder een adequate wettelijke geheimhoudingsplicht vallen.

(2) Het is de Verwerker uitsluitend toegestaan om de persoonsgegevens van de Verwerkingsverantwoordelijke te benaderen, indien zulks ten behoeve van de gegevensverwerking noodzakelijk is.

(3) De Partijen komen overeen om de contactgegevens van de aangestelde functionaris voor gegevensbescherming of een contactpersoon voor gegevensbeschermingsonderwerpen binnen hun organisatie te verstrekken om alle noodzakelijke communicatie tussen de partijen met betrekking tot deze DPA mogelijk te maken. Deze informatie is opgenomen in Bijlage 1 van deze Overeenkomst.

(4) De Verwerker staat de Verwerkingsverantwoordelijke bij, zodat erop wordt toegezien dat de Verwerkingsverantwoordelijke zijn plicht(en) kan vervullen om te reageren op een verzoek om uitoefening van de rechten van een betrokkene, bijv. het recht van informatie van de betrokkene, de rectificatie en wissing van gegevens, de beperking van de verwerking, gegevensoverdraagbaarheid

en het recht bezwaar te maken. Er mag uitsluitend informatie aan betrokkenen of derden worden verstrekt met de voorafgaande instructie van de Verwerkingsverantwoordelijke. Indien op grond van de wetgeving op het gebied van gegevensbescherming een betrokkene zijn/haar rechten jegens de Verwerker uitoefent, dan dient de Verwerker het betreffende verzoek aan de Verwerkingsverantwoordelijke door te sturen.

(5) Voor zover wettelijk vereist, zal Verwerker Verwerkingsverantwoordelijke bijstaan bij diens verplichting om een gegevensbeschermingseffectbeoordeling uit te voeren, indien zulks vereist is en, indien nodig, met voorafgaand overleg met de toezichthoudende autoriteiten, rekening houdend met de aard van de verwerking en informatie waarover Verwerker beschikt.

(6) De verwerking van persoonsgegevens in een derde land buiten de EU/EER en/of Zwitserland en/of het Verenigd Koninkrijk vereist de uitvoering van de passende standard contractual clauses (SSC) of andere wettelijke vereisten voor een dergelijke overdracht. Indien een subverwerker van Verwerker een gegevensimporteur is (zoals gedefinieerd in de SSC), is Verwerker gemachtigd om namens Verwerkingsverantwoordelijke en zijn gelieerde ondernemingen de SSC aan te gaan met een dergelijke subverwerker.

5 Subverwerking

(1) De Verwerker mag slechts subverwerkers aanwijzen, nadat de Verwerkingsverantwoordelijke van elke voorgenomen aanwijzing of wijziging in kennis is gesteld, waarbij de Verwerkingsverantwoordelijke de mogelijkheid heeft tegen dergelijke wijzigingen bezwaar te maken. De Verwerkingsverantwoordelijke kan alleen op redelijke gronden bezwaar maken tegen de voorgestelde wijzigingen. Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen het gebruik van een andere subverwerker, zullen de Partijen te goeder trouw samenwerken om een wederzijds aanvaardbare oplossing voor dit bezwaar te vinden. Voor zover een dergelijke wederzijdse oplossing niet kan worden bereikt, hebben de partijen het recht om de betrokken diensten geheel of gedeeltelijk met onmiddellijke ingang te beëindigen.

(2) Een relatie wordt als een subverwerkersrelatie beschouwd, als de Verwerker ten behoeve van de in deze Overeenkomst opgenomen diensten geheel of gedeeltelijk opdracht geeft aan andere verwerkers. Aanvullende diensten die derde-dienstverleners aan en namens de Verwerker verlenen, en waarvan is bepaald dat deze de Verwerker ondersteunen bij het verrichten van de toegekende diensten, worden niet als subverwerking in de zin van deze DPA beschouwd. Dergelijke diensten kunnen bijvoorbeeld de levering van telecommunicatie- of facility diensten betreffen.

(3) Een subverwerker kan uitsluitend toegang krijgen tot de persoonsgegevens van de Verwerkingsverantwoordelijke, nadat de Verwerker er door middel van een schriftelijke overeenkomst voor heeft gezorgd dat het in deze DPA bepaalde tevens jegens de subverwerker bindend is, en dat er in het bijzonder adequate garanties worden afgegeven dat er passende

technische en organisatorische maatregelen worden uitgevoerd op een manier die aan de regelgeving op het gebied van gegevensbescherming voldoet.

(4) Alle momenteel aangestelde subverwerkers staan vermeld in het relevante Addendum Verwerkersovereenkomst bij de servicespecifieke Addenda Verwerkersovereenkomst. SoftwareONE kan van tijd tot tijd de toepasselijke lijst van subverwerkers bijwerken op het relevante Addendum Verwerkersovereenkomst en zal de Verwerkingsverantwoordelijke hiervan op de hoogte stellen via de verstrekte contactgegevens in het Servicecontract

6 Recht van inspectie Verwerkingsverantwoordelijke

Voor zover wettelijk vereist, stemt de Verwerker ermee in dat de Verwerkingsverantwoordelijke of een andere door de Verwerkingsverantwoordelijke gemachtigde auditor het recht heeft om na voorafgaande schriftelijke kennisgeving toe te zien op de naleving van de toepasselijke wetgeving op het gebied van gegevensbescherming en deze DPA met gebruikmaking van redelijke en geschikte middelen, waaronder verzoeken om relevante documenten en informatie of door het betreden van de bedrijfsruimten van Verwerker tijdens de daarvoor aangewezen kantooruren. Het bewijs van een juiste gegevensverwerking kan ook worden geleverd door het overleggen van juiste en geldige certificaten voor IT-beveiliging (bijv. ISO 27001), mits het specifieke onderwerp van certificering in het specifieke geval op de toegekende gegevensverwerking van toepassing is. De Verwerker stemt ermee in dat hij, in overeenstemming met zijn verplichtingen onder deze DPA, de kosten van een jaarlijkse audit of inspectie zal dragen, zoals vereist door de Verwerkingsverantwoordelijke. De audit- of inspectiekosten die voortvloeien uit verdere verzoeken van Verwerkingsverantwoordelijke komen voor rekening van Verwerkingsverantwoordelijke, behalve in het geval van een gegevensgerelateerd incident dat voortvloeit uit de verwerkingsactiviteiten van Verwerker. In dergelijke gevallen draagt de Verwerker de kosten van een dergelijke audit.

7 Meldplicht inbreuk op persoonsgegevens

De Verwerker zal de Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van het bestaan van een accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens (hierna een "inbreuk op persoonsgegevens" genoemd), die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokken personen. Verwerker verstrekt minimaal de volgende informatie:

a) Een beschrijving van de soort inbreuk, en van de categorie van en, bij benadering, het aantal betrokkenen en gegevensverzamelingen,

b) De naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon voor nadere informatie,

c) Een beschrijving van de mogelijke gevolgen van de inbreuk, en

d) Een beschrijving van de genomen maatregelen om de inbreuk te verhelpen of te beperken.

8 Beëindiging van de DPA

(1) Bij beëindiging of afloop van deze DPA dient de Verwerker alle persoonsgegevens op eerste verzoek van de Verwerkingsverantwoordelijke te retourneren of te verwijderen, mits er geen sprake is van een mogelijke wettelijke plicht om gegevens gedurende de bij wet bepaalde bewaartermijnen te bewaren.

(2) De Verwerkingsverantwoordelijke kan deze DPA zonder opzegging beëindigen, indien de Verwerker deze DPA dan wel de wettelijke bepalingen op het gebied van gegevensbescherming ernstig schendt, en derhalve niet redelijkerwijs van de Verwerkingsverantwoordelijke kan worden verwacht dat hij deze DPA tot aan het verstrijken van de opzeggingstermijn of de overeengekomen beëindiging van deze DPA voortzet.

9 Slotbepalingen

(1) Behoudens de hoofdovereenkomst komen Partijen overeen dat de in het Servicecontract opgenomen beperkingen en uitsluitingen van aansprakelijkheid van toepassing zijn op de aansprakelijkheid van een Partij die voortvloeit uit of verband houdt met deze DPA. Partijen komen overeen dat er geen in het Servciecontract opgenomen beperkingen of uitsluitingen van aansprakelijkheid van toepassing zijn op de aansprakelijkheid van een Partij jegens betrokkenen, voor zover dergelijke beperkingen of uitsluitingen op grond van wetgeving op het gebied van gegevensbescherming verboden zijn.

(2) Mocht een bepaling van deze DPA niet-afdwingbaar worden, dan laat dat de geldigheid of afdwingbaarheid van de overige bepalingen van deze DPA onverlet.

10 Bijlage 1: Contactgegevens voor onderwerpen over gegevensbescherming

1. Verwerkingsverantwoordelijke

De contactgegevens van de Verwerkingsverantwoordelijke worden vermeld in het Servicecontract.

2. Verwerker

E-mail xxxx-xxxxxxxxxx.xxxxxx@xxxxxxxxxxx.xxx

Voor meer informatie vindt u hier [xxx.xxxxxxxxxxx.xxx/xx/xxxxx/xxxxxxx-xxxxxx/xxxx-xxxxxxxxxx-xxxxxxx]

XxxxxxxxXXX’x aangestelde functionaris gegevensbescherming.

11 Bijlage 2: Technische en organisatorische maatregelen

Het volgende document beschrijft de technische en organisatorische maatregelen voor SoftwareONE. Gedrukte exemplaren worden niet bijgewerkt. De gebruiker van dit document moet ervoor zorgen dat hij of zij met de laatste versie van het document werkt.

1. Vertrouwelijkheid krachtens (Art. 32 para. 1 lit. b AVG)

1.1 Fysieke toegangscontrole

Onbevoegde personen wordt de toegang tot gegevensverwerkende apparatuur ontzegd die persoonsgegevens verwerkt of toepast aan de hand van de volgende maatregelen. De toegekende autorisaties worden regelmatig op hun noodzaak gecontroleerd.

Technische maatregelen

• Alarm

• Automatisch toegangscontrolesysteem

• Chipkaarten / transpondersystemen

• Handmatig vergrendelsysteem

• Veiligheidssloten

Organisatorische maatregelen

• Gedocumenteerde overhandiging van sleutels, chipkaarten etc.

• Receptie

• Bezoekers begeleid door werknemers

• Zorgvuldigheid bij selectie schoonmaakdiensten

1.2 Toegangscontrole

Toegang tot informatiesystemen wordt uitsluitend op basis van noodzaak ('need-to-know') verleend. De

volgende maatregelen worden genomen om te voorkomen dat ongeautoriseerde gegevensverwerkingssystemen worden gebruikt:

Technische maatregelen

• Inloggen met gebruikersnaam + wachtwoord volgens wachtwoordbeleid

• Gebruik van gecontroleerde en up-to-date antivirusbescherming

• Firewall

• Intrusion Detection Systems, naast ons eigen Intrusion Detection Systems, wordt de infrastructuur ook beschermd door de beveiliging van Microsoft Azure Meer gegevens zijn hier te vinden Azure infrastructure security | Microsoft Docs

• Mobile Device Management met gebruik van MS InTune

• MS Direct Access met IPSec-tunnel naar ons datacenter

• Om toegang te krijgen tot onze beheerde cloudomgevingen draaien we een op VDI gebaseerde toegangsoplossing met MFA, maar zonder enige VPN-connectiviteit vanuit het bedrijfsnetwerk.

o Azure in West-Europa (IE en NL)

o AWS in DE-Frankfurt

• Encryptie van gegevensdragers

• Automatische vergrendeling van desktop

• Privileged Access Management wordt uitgevoerd met de CyberARK PAM-oplossing

• Encryptie:

Alle apparaten zijn versleuteld met BitLocker - Minimaal 128 bit AES-encryptie

• File shredder (min. niveau 4, cross cut) of

• gebruik van gecertificeerde externe dienstverlener voor het vernietigen van documenten

• Fysieke verwijdering van gegevensdragers

• Harde schijven in Microsoft Azure, AWS en Google Cloud Platform worden veilig gewist of vernietigd als deze schijven gebruikt worden voor opslag en een hardwarematige storing hebben. Wanneer dergelijke apparaten buiten gebruik worden gesteld, worden ze verwijderd of vernietigd

overeenkomstig: NIST 800-88 Guidelines for Media Sanitation.

Organisatorische maatregelen

• Gebruikersrechten beheren:

Het gebruik van accounts door diverse personen (groepsaccounts) is niet toegestaan.

• Aanmaken van gebruikersprofielen en periodieke controle van toegangsrechten

• Wachtwoordbeheeroplossing

• Wachtwoordbeleid

De keuze van wachtwoorden wordt gemaakt op basis van voldoende complexiteit en kwaliteit. Voldoende complexiteit en kwaliteit vereist minimaal 12 karakters en één van de volgende 3 categorieën (hoofd- en kleine letters, getallen en speciale tekens), geen gebruik van generieke termen of eigennamen alsmede ontoelaatbaarheid van tenminste de laatste vijf gebruikte wachtwoorden. Wachtwoorden worden regelmatig geforceerd gewijzigd. Het IT-systeem dwingt de gebruiker om aan de hiervoor vermelde wachtwoordspecificaties te voldoen. Als er 10 keer achter elkaar een verkeerd wachtwoord is ingevoerd, wordt het account geblokkeerd.

• Data Retention Policy

• Algemeen informatiebeveiligingsbeleid

• Gegevensbescherming en privacybeleid (Privacy Policy)

• Remote Access Policy voor systemen die toegang hebben tot SoftwareONE IT-bronnen van Secured Home Network met regels voor het gebruik van mobiele apparaten. Dit betreft eveneens richtlijnen voor thuiswerken

• De screensaver wordt uiterlijk 20 minuten nadat de gebruiker het systeem heeft verlaten of inactief is geweest, geactiveerd. Om de screensaver te deactiveren, moet het wachtwoord worden ingevoerd. ls de werknemer zijn/haar werkstation verlaat, moet hij/zij de computer handmatig vergrendelen.

1.3 Toegangscontrole

Wij zien erop toe dat personen die gemachtigd zijn om een gegevensverwerkingssysteem te gebruiken, uitsluitend de onder hun toegangsmachtiging vallende gegevens kunnen benaderen, en dat persoonsgegevens niet tijdens de verwerking daarvan zonder machtiging kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd.

Technische maatregelen

• Loggen van toegang tot applicaties, specifiek tijdens de invoer, wijziging en verwijdering van gegevens.

• Er zijn aparte productie- en testsystemen voor het geval er onderhoud aan de desbetreffende systemen nodig is

Organisatorische maatregelen

• Gebruik van autorisatieconcepten:

SoftwareONE zorgt ervoor dat uitsluitend de bij de uitvoering van de gerelateerde taak betrokkenen toegang tot de gegevens hebben. Daartoe zijn er passende toegangsmachtigingsmaatregelen (profielen, groepen en rollen, etc.) ingevoerd. Er bestaat een gedifferentieerd autorisatieconcept dat de toegang van onze werknemers tot de gegevens van de klant regelt. De toegangsrechten van die werknemer tot de gegevens van de klant worden op verzoek door de IT-afdeling toegekend. De aanvraag moet door de manager van de desbetreffende werknemer worden goedgekeurd. De toegekende autorisaties worden gecontroleerd door middel van beoordelingen in het kader van de jaarrekening en beveiligheidsaudits

• Er wordt een concept voor beheerdersrechten met meerdere lagen geïmplementeerd. Voor noodgevallen is een centrale beveiligde opslagplaats voor beheerderstoegang beschikbaar, dat met goedkeuring van het IT-management kan worden benaderd.

• Beheer van gebruikersrechten door beheerder

1.4 Separation Control

SoftwareONE neemt de volgende maatregelen om ervoor te zorgen dat gegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt. De scheiding van gegevens is zodanig ontworpen dat het onmogelijk is dat gegevens voor verschillende verwerkingsdoeleinden of voor andere contractpartners/klanten kunnen worden vermengd. Deze logische scheiding van de ordergegevens van de klant van andere gegevens wordt consequent doorgevoerd. De procedures die worden gebruikt om de

ordergegevens te verwerken, zijn geschikt voor multi-client-toepassingen.

Technische maatregelen

• Scheiding van ontwikkeling-, test- en productieomgevingen.

• Logische scheiding (systemen/databases/gegevensdragers)

• Multi-tenant-capaciteit van klantoplossingen

Organisatorische maatregelen

• Controle via autorisatieconcept

• Vaststellen van databaserechten

2. Integriteit

(Art. 32 para 1 lit b AVG)

2.1 Handover Control

SoftwareONE draagt er zorg voor dat persoonsgegevens tijdens de elektronische verzending of het transport of de opslag daarvan op gegevensdragers niet zonder machtiging kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd, en dat het onmogelijk is om te controleren of te bepalen waarheen persoonsgegevens door gegevensverzendingsapparatuur moeten worden verzonden.

Technische maatregelen

• Encryptie

De betreffende werknemers worden geïnstrueerd om voor het opslaan, verzenden en transporteren van persoonsgegevens op mobiele gegevensdragers (cd's, usb-sticks en geheugenkaarten, etc.) de system-side encryptieoptie toe te passen. Toegang tot SoftwareONE-gegevensverwerkingssystemen en draadloze overdracht (WLAN, Bluetooth, enz.) van persoonlijke gegevens binnen het bedrijfsnetwerk voor onderhoud of services op afstand is alleen mogelijk via beveiligde gecodeerde verbindingen (minimaal WPA2 voor WLAN, 128-bit AES-encryptie voor Bluetooth)

• Gebruik van VPN

• Loggen van toegang en ophalen van gegevens

• Er bestaat zowel een encryptieconcept als een beheersysteem voor toegangssleutels:

• HTTPS/SSL 256-bit transportencryptie

• SSL-certificaten

• SHA256-RSA handtekeningalgoritme

• Authentication claim token public key RSA 2048-bit

Organisatorische maatregelen

• Documentatie van de gegevensontvangers en de bewaring van de gegevens volgens ons gegevensbewaringbeleid.

2.2 Input Control

SoftwareONE garandeert dat het mogelijk zal zijn om te verifiëren en te bepalen of er persoonsgegevens

in de gegevensverwerkingssystemen zijn ingevoerd of gewijzigd, of daaruit zijn verwijderd, en door wie. De informatiesystemen worden zodanig geconfigureerd dat proceslogging beschikbaar is, hetgeen het operationele, beveiligings- en gegevensbeschermingsmanagement adequaat ondersteunt. Voor belangrijke objecten worden logins, toegang en gegevenswijzigingen gelogd. Deze functie wordt geactiveerd voor centrale softwareapplicaties die opties voor logging en wijzigingsgeschiedenis bieden. Indien noodzakelijk worden protocollen ten behoeve van een bepaald doel geëvalueerd.

Technische maatregelen

• Technische logging van invoer, wijziging en verwijdering van gegevens, indien mogelijk

• Azure Information Protection (AIP) en Data Loss Prevention (DLP)-oplossingen zijn geïmplementeerd

Organisatorische maatregelen

• Overzicht van met welke programma's, welke gegevens kunnen worden ingevoerd, gewijzigd of verwijderd

• Traceerbaarheid van invoer, wijziging en verwijdering van gegevens door individuele gebruikersnamen (geen gebruikersgroepen)

• Toewijzing van rechten om gegevens op basis van een autorisatieconcept in te voeren, te wijzigen en te verwijderen

• Opslag van formulieren van waaruit gegevens zijn overgedragen aan geautomatiseerde verwerkingen

• Duidelijke verantwoordelijkheden voor verwijderingen

3. Beschikbaarheid en veerkrachtigheid (Art. 32 para. 1 lit. b AVG)

11.1.1 Availability Control

SoftwareONE garandeert dat de persoonsgegevens tegen vernietiging en/of verlies zijn beschermd.

Technische maatregelen

• Brand- en rookdetectiesystemen

• Brandblusser in de serverruimte

• Bewaking van temperatuur en luchtvochtigheid in de serverruimte, met airconditioning

• Ononderbroken stroomvoorziening (Uninterrupted power supply - UPS)

• Binnen onze omgevingen zijn gecentraliseerde beheerde oplossingen voor malwarebescherming aanwezig. Gerelateerde informatiesystemen worden beveiligd door traffic control. Dit impliceert het gebruik van firewalltechnologieën en netwerksegmentatie. Op alle apparaten wordt een Client Management Suite geïnstalleerd, die uitsluitend door de beheerders buiten werking kan worden gesteld/gewijzigd.

Organisatorische maatregelen

• Back-up en herstelconcept:

SoftwareONE heeft een gedocumenteerd back-upconcept. De herstelfunctie van back-ups wordt regelmatig getest.

• Controleren van het back-upproces

• Reguliere gegevenshersteltests en loggen van het resultaat

• Reguliere back-up van gegevens, gecontroleerd op herstelbaarheid

• Aanwezigheid van een calamiteitenplan:

SoftwareONE beschikt over meerdere bedrijfsongevallen en risicobeheerscenario's.

• Wanneer updates voor systemen of applicaties worden aangekondigd, worden deze zo snel mogelijk geëvalueerd en na release geïnstalleerd. De installatie van beveiligingsupdates heeft prioriteit. Veiligheidsgerelateerde updates worden onmiddellijk geïnstalleerd en moeten binnen zes weken na release worden geïmplementeerd. Deze maximumtermijn is bedoeld om te waarborgen dat er, zelfs voor de kritische systemen, genoeg testtijd is.

• De opslagsystemen voldoen aan de traditionele eisen van veerkracht en betrouwbaarheid

4. Procedures voor op gezette tijdstippen testen, beoordelen en evalueren

(Art. 32 para. 1 lit. d AVG; Art. 25 para. 1 AVG)

4.1 Gegevensbeschermingsmanagement

Volgens Art. 32 paragraaf 1 lit. d van de AVG wordt er een procedure in het leven geroepen voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Verder moet er volgens Art. 32 paragraaf 1 lit. d AVG; Art. 28 para. 1 van de AVG erop toegezien worden dat de ten behoeve van Verwerkingsverantwoordelijke verwerkte persoonsgegevens uitsluitend volgens de instructies van Verwerkingsverantwoordelijke kunnen worden verwerkt.

Technische maatregelen

• Softwarematige oplossingen voor het toegepaste gegevensbeschermingsmanagement

• Goedkeuringen of van tevoren goedgekeurde verzoeken tot verlening, heractivering of wijziging van accounts worden vastgelegd. Er wordt gegarandeerd dat gebruikers hun eigen toegangsrechten niet kunnen autoriseren en dat de beheerder van de gebruikersaccounts niet betrokken is bij het autorisatieproces. Toegang tot beveiligde gegevens vereist goedkeuring van een manager

• Er zijn formele procedures voor on en off-boarding die onder meer toegangscontrole en activabeheer omvatten

• Beveiligingscertificering volgens ISO 27001, ISO 27017, SOC 2 Type I en SOC 2 Type II

• De doeltreffendheid van de technische beschermingsmaatregelen wordt ten minste eenmaal per jaar beoordeeld.

Maatregelen

• De werknemers worden erin getraind en hebben zich ertoe verbonden om vertrouwelijkheid/privacy ten aanzien van de gegevens in acht te nemen.

• Centrale documentatie van alle procedures en regelgeving op het gebied van gegevensbescherming, waartoe werknemers zoals vereist/gemachtigd toegang hebben.

• Minstens één keer per jaar sensibilisering van werknemers

• De gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment - DPIA) wordt indien nodig uitgevoerd

• De organisatie voldoet aan de informatieverplichtingen volgens Art. 13 en 14 van de AVG

• Er is een geformaliseerd proces voor het verwerken van verzoeken om informatie van betrokkenen

4.2Incident Response Management

Ondersteuning bij het reageren op inbreuken op de beveiliging

Technische maatregelen

• Firewall-implementatie, regelmatige updates en regelmatige controle van de regelset

• Gebruik van spamfilters, regelmatige updates en regelmatige controle van de regelset

• Gebruik van virusscanners, regelmatige updates en regelmatige controle van de regelset

• Intrusion Detection System (IDS - Inbraakdetectiesysteem)

• Intrusion Prevention System (IPS - Inbraakpreventiesysteem)

• Naast onze eigen Intrusion Detection Systems en Intrusion Prevention Systems wordt de infrastructuur ook beschermd door de beveiliging van Microsoft AzureMeer gegevens zijn hier te vinden Azure infrastructure security | Microsoft Docs

Organisatorische maatregelen

• Gedocumenteerd proces voor herkenning en rapportage van beveiligingsincidenten / datastoringen (ook met betrekking tot rapportageverplichtingen aan toezichthouders)

• Gedocumenteerde procedure voor het omgaan met beveiligingsincidenten

• Documentatie van beveiligingsincidenten en/of defecte gegevens binnen het centrale ticketsysteem

• Formeel proces en verantwoordelijkheden voor beveiligingsincidenten en inbreuken op de gegevens die zich na verwerking voordoen

• Speciaal CSIRT-team

4.3Gegevensbeschermingsvriendelijke standaardinstellingen (Art. 25, para. 2 AVG)

Privacy by design / Privacy by default

Maatregelen

• Er worden niet meer persoonsgegevens verzameld dan nodig is voor het betreffende doel

• Eenvoudige uitoefening van het recht van de betrokkene om zijn/haar toestemming met behulp van technische maatregelen in te trekken

4.4 Order Control (uitbesteding aan derden)

Maatregelen die ervoor te zorgen dat persoonsgegevens die in opdracht van de klant worden verwerkt alleen kunnen worden verwerkt in overeenstemming met de instructies van de klant. Naast de gegevensverwerking in opdracht van de klant omvat dit punt ook het uitvoeren van onderhouds- en systeemondersteunende werkzaamheden zowel op locatie als door onderhoud op afstand. Indien Verwerker gebruik maakt van subverwerkers in de zin van orderverwerking, worden de volgende punten altijd met hen afgerekend.

Maatregelen

• Voorafgaand onderzoek van de door de subverwerker genomen veiligheidsmaatregelen en de documentatie daarvan

• Selectie van de subverwerker vanuit het oogpunt van due diligence (in het bijzonder ten aanzien van gegevensbescherming en -beveiliging)

• Afronding van de noodzakelijke overeenkomst voor orderverwerking of EU-modelcontractclausules

• Schriftelijke instructies voor de subverwerker

• Verplichting van de werknemers van de subverwerker om geheimhouding ten aanzien van de gegevens te betrachten

• Verplichting tot het aanstellen van een functionaris gegevensbescherming door de subverwerker, als er van een orderplicht sprake is

• Overeenkomst inzake doeltreffende controlerechten jegens de subverwerker

• Regels voor het gebruik van verdere onderaannemers

• Waarborging van de vernietiging van gegevens na voltooiing van de order

• Bij langdurige samenwerking: voortdurende evaluatie van de subverwerker en zijn beschermingsniveau

5. Aanvullende informatie

Wij leveren gecertificeerde kwaliteit

• Bij SoftwareONE hebben wij een diepgeworteld verlangen om producten en diensten te leveren die een consistent hoogwaardige kwaliteit hebben. Daarom worden we jaarlijks gecertificeerd door TÜV Süd.

U kunt de momenteel geldige ISO-certificaten terugvinden in onderstaande lijst: ISO Certifications - Wij Leveren Gecertificeerde Kwaliteit | SoftwareONE

Document Metadata

Table of Contents

KADER GEGEVENSVERWERKING OVEREENKOMST

Document Metadata