PRIVACYBELEID
Toepasselijke Gegevensbeschermingswet : de wetgeving die bescherming biedt voor de fundamentele rechten en vrijheden van personen en met name hun recht op privacy met betrekking tot de Verwerking van Persoonsgegevens, welke wetgeving van toepassing is op Verantwoordelijke en Verwerker; de term Toepasselijke Gegevensbeschermingswet omvat tevens de AVG zodra deze in werking treedt op 25 mei 2018;
Verantwoordelijke : contractspartij onder punt B die, als natuurlijke of rechtspersoon, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt;
Algemene Verordening Gegevensbescherming (AVG) : de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens die in werking treedt op 25 mei 2018;
Internationale Organisatie : een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen;
Lidstaat : een land dat tot de Europese Unie behoort;
Persoonsgegevens : alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Betrokkene);
Betrokkene : een identificeerbare persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Inbreuk in verband met Persoonsgegevens : een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte Persoonsgegevens;
Verwerken/Verwerking : een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Verwerker : contractspartij onder punt A die ten behoeve van Verantwoordelijke Persoonsgegevens verwerkt;
Diensten : de diensten verleend door Verwerker aan Verantwoordelijke en beschreven onder in de Bijlage bij dit Addendum;
Bijzondere Categorieën Gegevens : gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken; genetische gegevens, biometrische gegevens die worden Verwerkt met het oog op de unieke identificatie van een natuurlijke persoon; gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid of gerechtelijke gegevens en de daaraan gerelateerde veiligheidsmaatregelen;
Subverwerker : een gegevensverwerker die door Verwerker wordt ingeschakeld en die zich bereid verklaart Persoonsgegevens van Verwerker te ontvangen die uitsluitend zijn bedoeld voor Verwerkingsactiviteiten die moeten worden uitgevoerd ten behoeve van Verantwoordelijke in overeenstemming met diens instructies, de voorwaarden van dit Addendum en de voorwaarden van een schriftelijke subverwerkingsovereenkomst;
Toezichthoudende Autoriteit : een door een Lidstaat ingevolge artikel 51 AVG ingestelde onafhankelijke overheidsinstantie;
Technische en Organisatorische Beveiligingsmaatregelen : de maatregelen gericht op de bescherming van Persoonsgegevens tegen onopzettelijke vernietiging of onopzettelijk(e) verlies, wijziging, onbevoegde bekendmaking of toegang, met name waar de Verwerking de doorzending van gegevens via een netwerk behelst, en tegen alle andere onrechtmatige vormen van Verwerking;
Derde Land : een land waarvan de Europese Commissie niet heeft beslist dat dat land, of een gebied of een of meer gespecificeerde sectoren binnen dat land, een passend beschermingsniveau garandeert.
2.1 De details van de Verwerkingsactiviteiten die door Verwerker ten behoeve van Verantwoordelijke worden verricht als gegevensverwerker die daartoe opdracht heeft gekregen (zoals het onderwerp van de Verwerking, de aard en het doel van de Verwerking, het soort Persoonsgegevens en categorieën van Betrokkenen) zijn vermeld in de Bijlage bij dit Addendum.
2.2 De eigendom van de Persoonsgegevens zal nooit overgaan op Verwerker, tenzij het de eigen Persoonsgegevens of deze van zijn personeel of aangestelden betreft.
Artikel 3 : Rechten en verplichtingen van Verantwoordelijke
Verantwoordelijke blijft de verantwoordelijke gegevensverantwoordelijke voor de Verwerking van de Persoonsgegevens conform de instructies aan Verwerker op grond van de Overeenkomst, dit Addendum en eventuele andere instructies. Verantwoordelijke heeft Verwerker opdracht gegeven, en zal Verwerker gedurende de looptijd van de gegevensverwerking waartoe opdracht is gegeven opdracht blijven geven, de Persoonsgegevens uitsluitend te verwerken ten behoeve van Verantwoordelijke en in overeenstemming met de Toepasselijke Gegevensbeschermingswet, de Overeenkomst, dit Addendum en instructies van Verantwoordelijke. Verantwoordelijke is gerechtigd en verplicht om Verwerker instructies te geven in verband met de Verwerking van de Persoonsgegevens, zowel in het algemeen als in individuele gevallen. Instructies kunnen ook betrekking hebben op het verbeteren, wissen, overdraagbaar maken en blokkeren van de Persoonsgegevens. Instructies worden in het algemeen schriftelijk gegeven, tenzij de urgentie of andere specifieke omstandigheden een andere (bijvoorbeeld mondelinge of elektronische) vorm vereisen. Niet-schriftelijke instructies moeten onverwijld door Verantwoordelijke schriftelijk worden bevestigd. Voor zover de uitvoering van een instructie leidt tot kosten voor Verwerker zal Verwerker Verantwoordelijke eerst in kennis stellen van die kosten. Pas nadat Verantwoordelijke heeft bevestigd dat de kosten voor de uitvoering van een instructie voor zijn rekening komen, zal Verwerker die instructie uitvoeren.
Verwerker zal:
(a) de Persoonsgegevens uitsluitend verwerken conform de instructies van Verantwoordelijke en ten behoeve van Verantwoordelijke; die instructies worden gegeven in de Overeenkomst, dit Addendum en anderszins in gedocumenteerde vorm zoals genoemd in artikel 3 hiervoor. Die verplichting om de instructies van Verantwoordelijke op te volgen geldt ook voor de doorgifte van de Persoonsgegevens aan een Derde Land of een Internationale Organisatie;
(b) Verantwoordelijke onmiddellijk informeren indien Verwerker een instructie van Verantwoordelijke om enigerlei reden niet kan naleven;
(c) ervoor zorgen dat personen die door Verwerker gemachtigd zijn om de Persoonsgegevens ten behoeve van Verantwoordelijke te Verwerken toezeggen geheimhouding te zullen proberen of dat op die personen een passende geheimhoudingsplicht rust en dat de personen die toegang hebben tot de Persoonsgegevens uitsluitend die Persoonsgegevens zullen Verwerken conform de instructies van Verantwoordelijke;
(d) de Technische en Organisatorische Beveiligingsmaatregelen doorvoeren die voldoen aan de vereisten van de Toepasselijke Gegevensbeschermingswet zoals nader gespecificeerd in de Bijlage alvorens de Persoonsgegevens te Verwerken en ervoor zorgen dat hij Verantwoordelijke voldoende garanties biedt voor wat betreft die Technische en Organisatorische Beveiligingsmaatregelen;
(e) Verantwoordelijke assisteren door middel van passende Technische en Organisatorische Maatregelen, voor zover haalbaar, voor de nakoming van de verplichting van Verantwoordelijke om in te gaan op verzoeken voor de uitoefening van de rechten van de Betrokkenen betreffende informatie, toegang, verbetering en wissing, beperking van verwerking, kennisgeving, overdraagbaarheid van gegevens, bezwaar tegen direct marketing, profiling in het kader van direct marketing en beslissing uitsluitend gebaseerd op geautomatiseerde verwerkingen. Voor zover die haalbare Technische en Organisatorische Maatregelen veranderingen of wijzigingen in de Technische en Organisatorische Maatregelen vereisen zoals genoemd in de Bijlage, zal Verwerker Verantwoordelijke informeren over de kosten van doorvoering van die aanvullende of gewijzigde Technische en Organisatorische Maatregelen. Zodra Verantwoordelijke heeft bevestigd dat die kosten voor zijn rekening komen, zal Verwerker die aanvullende of gewijzigde Technische en Organisatorische Maatregelen doorvoeren om Verantwoordelijke te assisteren bij het ingaan op verzoeken van betrokkenen;
(f) alle informatie aan Verantwoordelijke beschikbaar stellen die nodig is om aan te tonen dat de in dit Addendum en de in Art. 28 AVG genoemde verplichtingen worden nagekomen, en controles, waaronder inspecties door Verantwoordelijke of een andere controleur die daartoe is gemandateerd door Verantwoordelijke, mogelijk maken en daaraan bijdragen. Verantwoordelijke is zich ervan bewust dat controles in persoon en op locatie de bedrijfsactiviteiten van Verwerker aanzienlijk kunnen verstoren en veel geld en tijd kunnen kosten. Derhalve mag Verantwoordelijke een controle in persoon en op locatie uitsluitend uitvoeren indien Verantwoordelijke de (on)kosten die door Verwerker zijn gemaakt als gevolg van de verstoring van de bedrijfsactiviteiten aan Verwerker vergoedt en het tijdstip en de locatie van de controle in onderling overleg tussen de Partijen vooraf vastgelegd is;
(g) Verantwoordelijke zonder onnodige vertraging in kennis stellen:
(i) van enig juridisch bindend verzoek om verstrekking van de Persoonsgegevens door een wethandhavingsinstantie, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
(ii) van klachten en verzoeken die direct van Betrokkenen zijn ontvangen (bijvoorbeeld klachten en verzoeken om toegang, verbetering en wissing, beperking van verwerking, kennisgeving, overdraagbaarheid van gegevens, bezwaar tegen direct marketing, profiling in het kader van direct marketing en beslissing uitsluitend gebaseerd op geautomatiseerde verwerkingen) zonder op dat verzoek in te gaan, tenzij hij daartoe anderszins is gemachtigd of verplicht;
(iii) indien Verwerker op grond van EU-wetgeving of de wetgeving van een Lidstaat die op Verwerker van toepassing is verplicht is de Persoonsgegevens te verwerken en buiten het kader van de opdracht van Verantwoordelijke, alvorens die verwerking uit te voeren buiten dat kader, tenzij die EU-wetgeving of wetgeving van die Lidstaat die informatie verbiedt om gewichtige redenen van algemeen belang; die kennisgeving moet de wettelijke vereiste uit hoofde van die EU-wetgeving of de wetgeving van de Lidstaat vermelden;
(iv) indien, naar de mening van Verwerker, een instructie in strijd is met de Toepasselijke Gegevensbeschermingswet of andere op de Verwerker toepasselijke regelgeving; bij het verstrekken van die kennisgeving is Verwerker niet verplicht de instructie op te volgen, tenzij en totdat Verantwoordelijke deze heeft bevestigd of gewijzigd; en
(v) zodra Verwerker zich bewust wordt van een Inbreuk in verband met Persoonsgegevens bij Verwerker uiterlijk binnen 24 uur. In geval van zo’n Inbreuk in verband met Persoonsgegevens zal Verwerker Verantwoordelijke, op schriftelijk verzoek van Verantwoordelijke, assisteren bij de verplichting van Verantwoordelijke uit hoofde van Toepasselijke Gegevensbeschermingswet om de betrokkenen respectievelijk de Toezichthoudende Autoriteiten te informeren, en om de Inbreuk in verband met Persoonsgegevens te documenteren. Contactgegevens met betrekking tot de melding worden vastgelegd in het klantenservice systeem;
(h) Verantwoordelijke assisteren bij een Gegevensbeschermingeffectbeoordeling zoals vereist op grond van art. 35 AVG die betrekking heeft op de door Verwerker aan Verantwoordelijke verleende Diensten en de Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke worden verwerkt;
(i) alle vragen van Verantwoordelijke met betrekking tot zijn Verwerking van de te verwerken Persoonsgegevens behandelen (bijvoorbeeld door Verantwoordelijke in staat te stellen tijdig te reageren op klachten of verzoeken van Betrokkenen) en gehoor geven aan het advies van de Toezichthoudende Autoriteit betreffende de Verwerking van de doorgegeven gegevens;
(j) voor zover Verwerker verplicht en gevraagd is Persoonsgegevens die op grond van dit Addendum zijn verwerkt te verbeteren, te wissen en/of te blokkeren, dit onverwijld doen. Indien en voor zover Persoonsgegevens niet kunnen worden gewist op grond van wettelijke vereisten in verband met gegevensbewaring, dient Verwerker, in plaats van de desbetreffende Persoonsgegevens te wissen, de verdere Verwerking en/of het verdere gebruik van Persoonsgegevens te beperken, of de bijbehorende identiteit uit de Persoonsgegevens te verwijderen (hierna te noemen: “blokkeren”). Indien zo’n blokkeringsverplichting van toepassing is op Verwerker, dient Verwerker de desbetreffende Persoonsgegevens uiterlijk op de laatste dag van het kalenderjaar waarin de bewaartermijn eindigt, te wissen.
Artikel 5 : Subverwerking en doorgifte van Persoonsgegevens
5.1 Verantwoordelijke geeft toestemming voor het gebruik van Subverwerker(s) die door Verwerker worden ingeschakeld voor het verlenen van de Diensten en vermeld staan in Bijlage.
5.2 In het geval dat Verwerker voornemens is nieuwe of meer Subverwerkers in te schakelen, dient Verwerker Verantwoordelijke voorafgaandelijk te informeren over voorgenomen wijzigingen inzake de toevoeging of vervanging van enige Subverwerker (“Kennisgeving Subverwerker”). Indien Verantwoordelijke redelijke grond heeft om bezwaar te maken tegen het gebruik van nieuwe of meer Subverwerkers, dient Verantwoordelijke Verwerker daarvan onmiddellijk schriftelijk binnen 14 dagen na ontvangst van de Kennisgeving Subverwerker in kennis te stellen. In het geval dat Verantwoordelijke bezwaar maakt tegen een nieuwe of andere Subverwerker, en dat bezwaar niet onredelijk is, zal Verwerker redelijke inspanningen verrichten om wijzigingen in de Diensten beschikbaar te stellen aan Verantwoordelijke of een commercieel redelijke wijziging aan te bevelen in de configuratie van Verantwoordelijke of het gebruik door Verantwoordelijke van de Diensten ter voorkoming van Verwerking van Persoonsgegevens door de nieuwe of andere Subverwerker waartegen bezwaar is gemaakt, zonder Verantwoordelijke daarbij onredelijk te belasten. Indien Verwerker die wijziging niet binnen een redelijke termijn beschikbaar kan stellen, welke termijn niet meer zal bedragen dan zestig (60) dagen, mag Verantwoordelijke het getroffen deel van de Overeenkomst beëindigen, echter uitsluitend met betrekking tot die Diensten die niet door Verwerker kunnen worden verleend zonder het gebruik van de nieuwe of andere Subverwerker waartegen bezwaar is gemaakt door middel van schriftelijke kennisgeving aan Verwerker.
5.3 Verwerker legt dezelfde gegevensbeschermingsverplichting als genoemd in dit Addendum contractueel op aan alle Subverwerkers. De overeenkomst tussen Verwerker en Subverwerker biedt met name voldoende garanties voor doorvoering van de Technische en Organisatorische Beveiligingsmaatregelen zoals genoemd in de Bijlage, voor zover die Technische en Organisatorische Beveiligingsmaatregelen van belang zijn voor de door de Subverwerker verleende diensten.
5.4 Verwerker kiest de Subverwerker met de nodige zorg.
5.5 Indien zo’n Subverwerker zich bevindt in een Derde Land, zal Verwerker op schriftelijk verzoek van Verantwoordelijke, een EU-modelcontract (Verantwoordelijke > Verwerker) aangaan ten behoeve van Verantwoordelijke (op naam van Verantwoordelijke), krachtens Besluit 2010/87/EU of andere gelijkwaardige maatregelen nemen ter bescherming van de Persoonsgegevens. In dit geval instrueert en machtigt Verantwoordelijke Verwerker om Subverwerkers instructies te geven uit naam van Verantwoordelijke en om gebruik te maken van alle rechten van Verantwoordelijke jegens de Subverwerkers op basis van het EU-modelcontract of de andere genomen maatregelen.
5.6 Verwerker blijft aansprakelijk jegens Verantwoordelijke voor nakoming van de verplichtingen van Subverwerker, in het geval dat Subverwerker zijn verplichtingen niet nakomt. Verwerker is echter niet aansprakelijk voor schade en vorderingen voortvloeiend uit instructies van Verantwoordelijke aan Subverwerkers.
5.7 De Bijlage bevat een lijst van doorgiften van Persoonsgegevens waarvoor Verantwoordelijke zijn toestemming verleent bij het sluiten van dit Addendum.
Alle aansprakelijkheid voortvloeiend uit of verband houdend met dit Addendum volgt, en wordt uitsluitend beheerst door, de aansprakelijkheidsbepalingen uiteengezet in, of anderszins van toepassing op, de Overeenkomst. Derhalve, en ter berekening van aansprakelijkheidslimieten en/of ter bepaling van de toepassing van andere beperkingen van aansprakelijkheid, wordt elke aansprakelijkheid die zich uit hoofde van dit Addendum voordoet, geacht zich voor te doen uit hoofde van de desbetreffende Overeenkomst.
7.1 De looptijd van dit Addendum is gelijk aan die van de desbetreffende Overeenkomst. Tenzij in dit Addendum anders is bepaald zijn rechten en verplichtingen op het gebied van beëindiging dezelfde als de rechten en verplichtingen die zijn opgenomen in de desbetreffende Overeenkomst.
7.2 Verwerker dient, naar keuze van Verantwoordelijke, alle Persoonsgegevens na het einde van de verlening van de Diensten te wissen of aan Verantwoordelijke te retourneren, en alle bestaande kopieën te wissen tenzij Verwerker op grond van EU-wetgeving of wetgeving van een Lidstaat verplicht is die Persoonsgegevens te bewaren.
8.1 De overige modaliteiten van de Overeenkomt blijven ongewijzigd van toepassing. In geval van tegenstrijdigheid tussen dit Addendum en de Overeenkomst wat betreft privacy en gegevensbescherming, zullen de bepalingen van dit Addendum voorgaan.
8.2 Ongeldigheid of onafdwingbaarheid van enige bepaling in dit Addendum heeft geen gevolgen voor de geldigheid of afdwingbaarheid van de overige bepalingen van dit Addendum. De ongeldige of onafdwingbare bepaling wordt (i) zo gewijzigd dat de geldigheid of afdwingbaarheid ervan wordt gegarandeerd en tegelijkertijd de intenties van Partijen zo veel mogelijk bewaard blijven of – indien dit niet mogelijk is – (ii) zo uitgelegd alsof het ongeldige of onafdwingbare gedeelte daarin nooit was opgenomen. Het voorgaande is ook van toepassing indien dit Addendum een omissie bevat.
8.3 Op dit Addendum is Belgisch recht van toepassing. Eventuele geschillen die voortvloeien uit of in verband met dit Addendum zullen uitsluitend worden voorgelegd aan de bevoegde rechtbank te Tongeren.
Software die de Klant toelaat om automatisch gegevens te verzamelen uit een breed gamma aan databestanden, en die de mogelijkheid biedt aan de Klant om deze data te verwerken in allerhande rapporten of door te sturen naar andere softwarepakketten voor verdere verwerking.
B.2 Categorieën van Persoonsgegevens die verwerkt worden
Finarato bv, als verwerker zal uitsluitend van de gebruikers volgende categorieën van Persoonsgegevens verwerken in het kader van dit Addendum:
- Identiteitsgegevens (naam, voornaam, geboortedatum, loginnaam)
- Contactinformatie (adres, email, IPadres, telefoon, gsm, fax)
- Identiteitsgegevens uitgereikt door de overheid (rijksregisternummer, paspoortnummer, …)
- Gedragsgegevens (gebruikershistoriek)
- Sociale status (gezinssituatie, …)
- Financiële informatie (bankrekeningnummer, …)
- Andere bijkomende persoonsgegevens die bewaard worden in de databestanden van de Klant
B.3 Categorieën van Betrokkenen bij de verwerking van persoonsgegevens
- Klanten en partners van Verwerkingsverantwoordelijke
- Aandeelhouders, medewerkers en andere personeelsleden van de Verwerkingsverantwoordelijke, waaronder stagiairs, onderzoeksassistenten, enz,…;
- Andere personen waarvan de gegevens door de Verwerkingsverantwoordelijke worden verwerkt, zoals bijv. tegenpartijen.
Finarato bv voorziet dat de Klant de software voor onderstaande doeleinden kan gebruiken:
- Dossiers, gegevens en documenten uit databestanden van de Klant importeren, synchroniseren, beheren, verwerken in rapporten, of exporteren naar andere softwarepakketten voor verdere verwerking
- Beveiligde uitwisseling van bestanden met klanten van de Klant en andere partijen
- Linken leggen naar interne en externe bronnen van de Klant
- Uitgebreide zoek- en rapportagemogelijkheden
Als Verwerkingsverantwoordelijke bepaalt de Klant zelf de bewaartermijn van haar informatie.
Finarato bv maakt van alle klantendatabases dagelijks een back-up. Deze back-up wordt gedurende 30 dagen bijgehouden.
Persoonsgegevens zullen verwerkt en bijgehouden worden door Finarato bv gedurende volgende periodes:
- Persoonsgegevens via support/helpdesk: u zorgt ervoor dat u geen gevoelige informatie doorstuurt voor de oplossing van uw vraag.
- Kopie van uw gegevens ifv support/helpdesk: om een technisch probleem op te lossen verplaatsen we een kopie van een bepaald deel van uw gegevens naar een testomgeving. Hiervoor wordt vooraf uw toestemming gevraagd. Deze gegevens worden alleen gebruikt om het probleem op te lossen dat zich heeft voorgedaan en zullen na de interventie uit de testomgeving worden verwijderd.
- Na einde van de Overeenkomst: wij bewaren de gegevens gedurende 3 maanden op onze server tenzij partijen anders zijn overeengekomen.
Om een issue op te lossen of bijkomende configuratie uit te voeren heeft Finarato bv toegang nodig tot de data van de Verwerkingsverantwoordelijke.
- De Verwerkingsverantwoordelijke kan de medewerker van Finarato bv toegang geven tot de software en de gegevens in haar database. De Verwerkingsverantwoordelijke kan te allen tijde deze optie uitschakelen.
- Indien toegang tot de technische systemen van de Verwerkingsverantwoordelijke vereist is, zal Finarato bv vanop afstand toegang krijgen tot de computer van de verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke is verantwoordelijk voor het afsluiten/afschermen van alle vertrouwelijke informatie voordat hij toegang verleent.
Finarato bv zal conform de voorschriften van de GDPR passende technische en organisatorische maatregelen nemen, te beoordelen naar de stand der techniek op het moment van sluiten van de Overeenkomst van Dienstverlening, en zal deze maatregelen na verloop van tijd evalueren, daarbij rekening houdend met kosten voor doorvoering, aard, omvang, context en doelstellingen van verwerking, en het risico van verschillen in de mate van waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
GEDETAILLEERDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN:
B.7.1 Toegangscontrole: gebouwen
Toegang tot de gebouwen van Finarato bv wordt door zowel technische als organisatorische maatregelen gecontroleerd.
Als Verwerkingsverantwoordelijke zorgt u ervoor dat er adequate beveiligings-en toegangsmaatregelen worden genomen voor uw gebouwen.
B.7.2 Toegangscontrole: systemen
Toegang tot netwerken, operationele systemen, user administratie en applicaties vereisen de nodige autorisaties: geavanceerde paswoord procedures, automatische time-out en blokkering bij foutieve paswoorden, individuele accounts met historieken, encryptie, hardware en software firewalls.
Als Verwerkingsverantwoordelijke zorgt u ervoor dat er adequate beveiligings- en toegangsmaatregelen worden genomen om wachtwoorden en andere elektronische toegangsinformatie te beveiligen.
B.7.3 Toegangscontrole: gegevens
Toegang tot gegevens zelf wordt beheerst door organisatorische maatregelen: user administratie en user accounts met specifieke toegang, opgeleid personeel omtrent gegevensverwerking en veiligheid, scheiding van de operationele systemen en de testomgevingen, toekennen van specifieke rechten en bijhouden van historieken van gebruik, toegang en wissing.
Als Verwerkingsverantwoordelijke zorgt u ervoor dat er adequate maatregelen worden genomen om gegevens en documenten te beveiligen.
B.7.4 Encryptie van gegevens
B.7.4.1 Transport
De HTTPS-datatransmissie is versleuteld met een 2048-bit PKI certificaat en is gecertificeerd door Let’s Encrypt.
B.7.4.2 In rust
In de toekomst zullen we databases coderen met een specifiek certificaat / private sleutel.
B.7.5 Vermogen om blijvende vertrouwelijkheid, integriteit, beschikbaarheid, en veerkracht van verwerkingssystemen en -diensten te garanderen:
Toegangscontrole voor persoonlijke gegevens volgt de richtlijnen voor interne controle, inclusief toegangsbeleid tot informatie van de organisatie, implementatie van een gebruikersadministratiesysteem en toegangsrechten, het creëren van bewustzijn bij medewerkers over het omgaan met informatie en hun wachtwoorden, netwerktoegangscontrole, inclusief scheiding van gevoelige netwerken, en toegangscontrole tot het besturingssysteem en onderliggende applicaties. Concreet omvatten de maatregelen:
- Schriftelijke / geprogrammeerde autorisatiestructuur;
- Gedifferentieerde toegangsrechten (inclusief voor lezen, wijzigen, wissen);
- Definitie van rollen;
- logging / auditing.
Persoonlijke gegevens worden gescheiden. De maatregelen omvatten:
- Scheiding van functies (productie- / testgegevens);
- Scheiding van bijzonder gevoelige gegevens;
- Doelbeperking / compartimentering;
- Beleid / maatregelen om afzonderlijke opslag, wijziging, verwijdering en overdracht van gegevens te waarborgen.
Als verwerkingsverantwoordelijke moet de gebruiker van de software een wachtwoord invoeren, wat de vertrouwelijkheid van alle gegevens die in het systeem worden ingevoerd garandeert.
B.7.6 Vermogen om de beschikbaarheid van en toegang tot de Persoonsgegevens tijdig te herstellen in het geval van een fysiek of technisch incident:
De beschikbaarheid van gegevens wordt gecontroleerd door middel van een permanent netwerkmonitoringsysteem. Om gegevensverlies te voorkomen, wordt een dagelijkse gegevensback-up met gedefinieerde bewaartermijnen uitgevoerd. Verdere maatregelen omvatten:
- back-up procedures;
- overspanningsbeveiliging;
- fysiek gescheiden opslag van back-up gegevensdragers;
- mirroring van server-harde schijven (RAID);
- antivirussystemen / SPAM-filters / firewall / inbraakdetectiesysteem / noodherstelplan;
- brand / water beveiligingssystemen (inclusief brandblussysteem, branddeuren, rook / brandmelders).
B.7.7 Proces voor regelmatig testen, beoordelen en evalueren van de doelmatigheid van technische en organisatorische maatregelen om de veiligheid van de verwerking te garanderen:
Het Finarato systeem wordt ononderbroken bewaakt. In het kader van de 24/7 monitoring worden zowel de gezondheid van het systeem als de prestaties van de toepassing voor elke cliënt afzonderlijk nauwkeurig gecontroleerd.
Finarato bv werkt niet met Subverwerker(s) die in opdracht van Finarato bv dienstverlening met betrekking tot persoonsgegevens uitvoeren.