De AVG komt er aan: dit mag je van Scienta verwachten

Op 25 mei 2018 treedt de AVG in werking. De AVG is de nieuwe Europese privacywet die een aantal nieuwe en scherpere eisen stelt aan organisaties die met persoonsgegevens werken. En ook wij krijgen hiermee te maken.

We hebben ons afgelopen maanden goed voorbereid op de AVG – al zeggen we het zelf. In deze blog behandelen we de impact van de AVG op Scienta, hoe wij aan de AVG voldoen en de invloed hierop voor jou als klant, gebruiker van Scienta, contact op onze mailinglijst of gewoon als toevallige websitebezoeker.

Ben je er klaar voor? We beginnen met de (nieuwe) privacyrechten die je hebt onder de AVG. Hieronder behandelen we ze allemaal – en de invloed ervan op jouw relatie met Scienta.

Het recht op inzage. Je kunt bij ons een verzoek indienen om jouw gegevens in te zien. Wij laten je dan (onder andere) weten welke gegevens we van je hebben en wat het doel hiervan is. Ook geven we hierbij aan met welke andere partijen we deze gegevens hebben gedeeld en op basis van welke redenen. Wel zo transparant.

Het recht op dataportabiliteit. Het recht op dataportabiliteit is een nieuw recht om persoonsgegevens over te dragen aan andere instanties. Wij overhandigen hierbij de data waarin jouw persoonsgegevens zijn verwerkt.

Het recht op vergetelheid. Dit is het recht om ‘vergeten’ te worden. Je kunt je bijvoorbeeld ten alle tijden uitschrijven van onze nieuwsbrief, maar je kunt ons ook verzoeken om jouw contactgegevens en/of jouw Scienta-account in zijn geheel te verwijderen. In dit laatste geval geef je aan het abonnement op Scienta op te zeggen. Immers, als je aangeeft om vergeten te worden, kunnen wij Scienta ook niet meer aan je leveren.

Recht op rectificatie en aanvulling. Kloppen er bepaalde gegevens niet of wil je gegevens wijzigen? Je kunt bij ons altijd het verzoek neerleggen om bepaalde gegevens te wijzigen.

Het recht op beperking van de verwerking en het recht om bezwaar te maken tegen de gegevensverwerking. Je hebt het recht om minder gegevens te laten verwerken en je kunt bezwaar maken tegen verwerking van jouw gegevens bij Scienta. Mochten wij zo’n verzoek ontvangen, dan reageren wij hier binnen 30 dagen op.

Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten. Dit recht is voornamelijk van toepassing als je bijvoorbeeld een hypotheek of een uitkering wil aanvragen bij instanties, waarbij er geautomatiseerd besluiten worden gemaakt. Dit is niet van toepassing bij Scienta.

Het recht op duidelijke informatie over wat wij met jouw persoonsgegevens doen. Als bedrijf verzamelen en gebruiken wij persoonsgegevens. Daarom leggen wij in deze blog uit waarom we dit doen en waarvoor we deze gegevens gebruiken.

Ook als beheerder van Scienta kun je één van deze verzoeken ontvangen van Scienta-gebruikers in jouw omgeving. Krijgt je zo’n verzoek? Je kunt dan de volgende maatregelen treffen:

• Gebruikers kunnen zelf hun persoonlijke gegevens inzien en wijzigen waar nodig. Dit doen ze in hun eigen account.
• Je kunt gebruikers archiveren en deactiveren, mochten bepaalde gebruikers vergeten willen worden.
• We werken aan een functionaliteit waarbij gebruikers (en de bijbehorende persoonsgegevens) definitief verwijderd kunnen worden.

Wij verzamelen en gebruiken jouw persoonsgegevens, zoals jouw naam en telefoonnummer, voor een aantal doeleinden. We vragen nooit meer persoonsgegevens dan strikt noodzakelijk, en ook vragen we nooit om bijzondere persoonsgegevens, zoals jouw ras of politieke voorkeur.

We hebben een aantal redenen om persoonsgegevens te verwerken, zoals onze wettelijke verplichtingen als bedrijf, omdat we een gerechtvaardigd belang hierbij hebben, omdat dit onderdeel is van een overeenkomst of omdat we hiervoor toestemming hebben ontvangen. Hieronder leggen we uit waarvoor we jouw persoonsgegevens verwerken.

Allereerst gebruiken wij de gegevens van onze klanten om ons product Scienta te laten werken. We hebben jouw gegevens nodig om Scienta te ontwikkelen, te testen en om Scienta überhaupt te laten werken. Want zonder een e-mailadres kan Scienta bijvoorbeeld geen taak aanmaken, kan je geen formulier invullen en kan je niet eens inloggen in Scienta.

Het is revolutionair: Je kunt voortaan zélf toestemming geven of we jouw gegevens mogen gebruiken om een factuur te sturen! Dat houdt in dat als je geen toestemming geeft, je ook geen factuur ontvangt en dus ook niets hoeft te betalen!

Was het maar echt zo makkelijk.

Als je klant bent van Scienta, dan ontvang je van ons een factuur. Wij gebruiken jouw persoonsgegevens om de juiste factuur bij de juiste persoon te krijgen. Hiervoor hoef je geen toestemming voor te verlenen: het gebruik van deze persoonsgegevens doen wij op basis van de overeenkomst die we met onze klanten hebben.

We houden van kletsen. Dit doen we dan ook graag met onze klanten. We gebruiken jouw gegevens om met je te communiceren. Soms communiceren alleen naar onze klanten toe, bijvoorbeeld met onze nieuwsbrief. Daarvoor hebben we jouw gegevens nodig.

Maar onze klanten kletsen ook wat af met ons! Bijvoorbeeld met vragen over Scienta. Dit gebeurt dan in ons support ticketsysteem of aan de telefoon. Om ervoor te zorgen dat we je geen Koos noemen terwijl je eigenlijk Madeleine-Christien heet (is ooit echt een keer gebeurd), gebruiken wij hiervoor jouw persoonsgegevens.

Bezoek je nu onze website?

(Dat was een retorische vraag natuurlijk).

Grote kans dat we dan al wat dingen van je weten door middel van cookies. Hierdoor weten we bijvoorbeeld of je al eerder op onze website bent geweest of vanuit welk land je onze website bezoekt. En sommige informatie die wij verwerken via deze cookies vallen onder de categorie persoonsgegevens volgens de AVG.

Als je onze website voor de eerste keer bezoekt, vragen we je toestemming om cookies te plaatsen. We plaatsen functionele, tracking, analytische en 3rd party cookies om het bezoek aan onze website zo optimaal mogelijk te maken. In ons cookiebeleid gaan we dieper in op welke cookies we plaatsen en waarom.

Download je wat van onze website, zoals een whitepaper? Dan vragen we je akkoord te geven op ons privacybeleid. Hiermee geef je expliciet toestemming om (onder andere) verder e-mailings te ontvangen, door ons persoonlijk benaderd te mogen worden en kunnen wij deze gegevens eventueel delen met derden. Ons gehele privacybeleid hebben wij geëvalueerd en aangepast waar nodig. Deze kan je hier lezen.

Nee, we verkopen jouw gegevens nooit door aan andere bedrijven die je huis-aan-huisfolders sturen. Maar soms is het noodzakelijk dat we jouw persoonsgegevens delen met derde partijen. Die partijen met wie wij gegevens delen, zoals ons CRM-systeem, Google Analytics of ons support ticketsysteem zijn niet van onszelf, maar door ons ingekocht. Dit maakt ons wél verantwoordelijk voor de verwerking van persoonsgegevens en daarom hebben we verwerkersovereenkomsten afgesloten met partijen die persoonsgegevens van ons verwerken (of gaan we dat doen vóór 25 mei 2018). Benieuwd welke partijen dit zijn? Vanaf 25 mei gaan we in ons privacybeleid hier verder op in.

Deze categorisatie van gegevens hebben wij verwerkt in ons verwerkingsregister, dat we natuurlijk beheren in onze eigen Scienta-omgeving. Hiermee voldoen wij aan de verantwoordingsplicht onder de AVG (specifiek de eisen uit artikel 30 van de AVG, natuurlijk) waarin staat dat wij moeten kunnen aantonen welke persoonsgegevens wij verwerken en voor welke doeleinden we dit doen.

Als je klant bent van Scienta, dan sla je ook persoonsgegevens op in Scienta van jouw gebruikers, zoals de naam en geboortedatum.

Dit maakt ons niet verantwoordelijk voor de gegevens die in jouw Scienta-omgeving staan, maar maakt ons wel verwerker van deze persoonsgegevens. Dit brengt plichten met zich mee, zoals een adequate beveiliging en geheimhouding van deze gegevens. Zie hiervoor het het kopje “Adequate beveiliging van Scienta en uw persoonsgegevens“.

Ook hebben wij een verwerkersovereenkomst opgesteld, waar wij je jouw rechten en plichten toelichten. We gaan hier dieper op in onder het kopje “Verwerkersovereenkomst met Scienta“.

Vanuit Scienta vragen wij nooit naar bijzondere persoonsgegevens van onze gebruikers.

In theorie is het mogelijk dat je als klant van Scienta bijzondere persoonsgegevens van jouw gebruikers verwerkt, zoals ras, politieke voorkeur of documenten waar burgerservicenummers op staan. Ook al heb je schriftelijk toestemming ontvangen van deze personen (of als je bijvoorbeeld kunt hardmaken dat verwerking van deze bijzondere persoonsgegevens in Scienta in het algemene belang op het gebied van de volksgezondheid is), is dit niet het doel van Scienta en adviseren wij je Scienta niet op deze manier te gebruiken.

Inschakeling van derden

Derden waarmee je geen zakelijke relatie heeft, hebben zonder jouw expliciete en schriftelijke toestemming nooit toegang tot jouw content en persoonsgegevens in Scienta. Wel kunnen derden toegang krijgen tot gebruiksgegevens, voor bijvoorbeeld het klikgedrag in Scienta, tijd op pagina’s en acties (zoals het maken van een wijzigingsvoorstel) die je uitvoert. Hierdoor kunnen we onze software nog gebruiksvriendelijker maken en helpt het ons nieuwe functionaliteiten en verbeteringen door te voeren.

Medewerkers van Scienta hebben als onderdeel van de dagelijkse support- en ontwikkelwerkzaamheden toegang tot informatie en data (waaronder persoonsgegevens) binnen Scienta. Als je geabonneerd bent op content van een Content Partner, kan een Content Partner ook toegang tot jouw omgeving hebben. Voor 25 mei 2018 bieden we de optie aan om deze toegang tot jouw omgeving uit te schakelen. Hierdoor is het echter niet meer mogelijk om een supportvraag bij ons te stellen. Om je te kunnen helpen, hebben wij namelijk, met jouw toestemming, toegang nodig tot jouw Scienta omgeving.

Onze systeembeheerders hebben altijd toegang tot data (waaronder persoonsgegevens), voor noodzakelijke werkzaamheden. Denk bijvoorbeeld aan het maken van back-ups, het uitbrengen van patches of voor releases.

Als je klant bent van Scienta, dan bent je verplicht (zoals staat onder artikel 28 van de AVG, even voor de goede orde) om een verwerkersovereenkomst met ons af te sluiten. Wij verwerken namelijk persoonsgegevens die onder jouw verantwoordelijkheid vallen. Je bent zélf verantwoordelijk voor het afsluiten van zo’n verwerkersovereenkomst: je bent namelijk de verantwoordelijke over de persoonsgegevens. Wij als Scienta zijn de verwerker. Wij hebben een verwerkersovereenkomst geschreven die voldoet aan de wettelijke eisen die in de AVG staan.

Onze verwerkersovereenkomst bevat onder andere de volgende punten:

Doel en instructies van het verwerken van persoonsgegevens. Allereerst is het van belang dat iedereen weet waarom wij jouw persoonsgegevens verwerken, namelijk voor het leveren en onderhouden van onze software Scienta.

Geheimhoudingsplicht. Wij zijn verplicht om jouw gegevens geheim te houden. We zullen daarom jouw gegevens nooit voor een ander doel gebruiken dan waarvoor we jouw gegevens verkregen hebben.

Subverwerkers. Wij maken gebruik van subverwerkers voor het verwerken van jouw persoonsgegevens. In de verwerkersovereenkomst staat beschreven hoe wij hiermee omgaan.

Audits. Je kunt een audit laten uitvoeren of de beveiliging van Scienta voldoet of hoe wij voldoen aan de eisen die gesteld worden in onze verwerkersovereenkomst. Natuurlijk wel in goed overleg, maar we werken hier graag aan mee.

Beveiligingsmaatregelen. We zullen ons inspannen om voldoende technische en organisatorische maatregelen te nemen bij het verwerken van jouw persoonsgegevens, zoals tegen het verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of lekken). Benieuwd hoe we dit doen? Verderop in deze blog lichten we onze beveiligingsmaatregelen toe.

Onze gehele verwerkersovereenkomst kun je hieronder lezen. Je kunt hem downloaden, printen en ondertekend naar ons toesturen.

Wil je een eigen verwerkersovereenkomst met ons opstellen? Dat is mogelijk, maar dan laten wij dit wel eventjes juridisch nakijken. Alle kosten hiervoor zijn voor jouw rekening.

We zien veel bedrijven aparte bewerkersovereenkomsten opstellen. Logisch, gezien de term ‘overeenkomst’, maar in de AVG staat nergens dat dit een apart document hoeft te zijn. Wij kiezen ervoor om per 25 mei 2018 de verwerkersovereenkomst op te nemen in onze algemene voorwaarden. Natuurlijk niet weggestopt ergens onderaan in kleine lettertjes, maar duidelijk en transparant verwoord in onze voorwaarden. Zo integreren we de AVG direct in onze huidige processen.

Voor onze huidige klanten ligt dit natuurlijk anders, want die zijn akkoord gegaan met onze huidige voorwaarden, zonder verwerkersovereenkomst. Daarom kunnen onze huidige klanten een losse verwerkersovereenkomst met ons tekenen. Deze kun je (nogmaals) hier downloaden, printen en ondertekend naar ons toesturen.

(Kun je de verwerkersovereenkomst niet lezen met bovenstaande links? Klik dan op deze link om hem te lezen. Mocht deze ook niet werken, stuur ons dan een e-mail.)

Jouw privacy en beveiliging van jouw data zijn ontzettend belangrijk voor ons. We doen daarom veel research naar de laatste beveiligingstrends en integreren deze in onze software en onze interne systemen. Met elke nieuwe release van Scienta kijken we waar de beveiliging naar een nog hoger niveau getild kan worden.

Het is daarom ook niet verwonderlijk dat onder de AVG (zoals bekend onder artikel 32 van de AVG) de verwerker van persoonsgegevens een ‘adequate beveiliging’ moet hebben. Hoe ziet adequate beveiliging er bij Scienta uit?

We besteden veel aandacht aan awareness over privacy en informatiebeveiliging. Iedereen die bij ons werkt, moet een geheimhoudingsverklaring tekenen en krijgt interne trainingen over veiligheid en privacy.

Ook evalueren we continu onze interne procedures en processen. Toegang tot Scienta is gelimiteerd en er vindt voortdurende monitoring op toegang tot Scienta plaats. We hebben een extreem streng intern autorisatie- en authenticatiebeleid dat we periodiek evalueren.

Het liefst willen we niet te veel kwijt over hoe Scienta en jouw persoonsgegevens zijn beveiligd, want dat geeft derden met kwade bedoelingen te veel inzicht in de beveiliging. Maar helemaal niets zeggen en je te vragen ons te vertrouwen op onze blauwe ogen oranje logo is ook weer zo wat. Daarom toch een tipje van de sluier.

HTTPS en SSL certificaten. Alle Scienta-omgevingen zijn voorzien van een SSL-certificaat. Dit houdt in dat we een techniek gebruiken die de verbinding tussen jou en de server beveiligt via een zeer sterke encryptie. En niet zo maar sterk: het hoogst haalbare A+ rating is alleen goed genoeg voor ons. Zelf controleren? Voer dan de url van jouw Scienta-omgeving in op de volgende website en bekijk het zelf: https://www.ssllabs.com/ssltest. Hier staat ook meer informatie over SSL-certificaten.

Security headers.Er is “Grade A” mogelijk met betrekking tot Security headers (Content-Security-Policy, X-Frame-Options, Strict-Transport-Security, X-XSS-Protection, X-Content-Type-Options en Referrer-Policy). Hiervoor moet je wel wat opties inschakelen in Scienta. Lees daarvoor dit artikel in onze handleiding. Voor meer informatie of een eventuele controle, zie securityheaders.com.

CSTAR score. We behalen de maximale score van 950 punten in de “UpGuard external cyber audit” test. Voor meer informatie of eventuele controle, ga je naar https://app.upguard.com/webscan en voer je de url van jouw Scienta-omgeving in.

Pentesten. Verder laten we periodiek zogeheten ‘pentesten’ uitvoeren. Een pentest (of een penetratietest) is een test om te kijken of mensen met kwade bedoelingen Scienta kunnen misbruiken. We laten Scienta door een gecertificeerde instantie controleren op beveiligingsrisico’s en kwetsbaarheden. Klanten zijn van harte uitgenodigd om, natuurlijk in goed overleg, zelf een pentest uit te voeren.

Back-ups. We maken periodiek, meerdere en uitgebreide back-ups van alle data in Scienta. Dit bewaren we op meerdere, top secret locaties zodat we data terug kunnen zetten mocht er iets gebeuren met de data van Scienta.

Data in Nederland. Scienta wordt dedicated bij ons intern gebouwd. Wij zijn ons bewust van de juridische implicaties van de Amerikaanse Patriot Act. We maken daarom voor Scienta geen gebruik van cloudopslagdiensten van derden, zoals Amazon Web Services. Het Scienta-park staat op eigen, Nederlandse servers in onze eigen, private cloud, wat de interne controle hierop efficiënt en effectief maakt.

Ondanks al deze voorzorgsmaatregelen, kan het onverhoopt eens misgaan. Mochten er persoonsgegevens uitlekken, bijvoorbeeld als Scienta wordt gehackt of als er een drager van persoonsgegevens wordt gestolen, dan is er sprake van een datalek.

In het geval van een datalek, moeten wij verschillende acties ondernemen. Deze acties hebben wij beschreven en geborgd in onze eigen Scienta-omgeving, zodat iedereen weet welke procedure gevolgd moet worden en wie waar verantwoordelijk voor is. Ook het intern melden van een datalek doen wij via Scienta, dankzij de functionaliteit om formulieren te maken.

Een datalek melden we binnen 36 uur bij de Autoriteit Persoonsgegevens als wij er zelf achter komen en binnen 48 uur als iemand anders erachter komt (en dit ons laat weten). Als je bent getroffen door dit datalek, melden wij dit aan je.

Dit was onze kijk op de AVG, privacymanagement en databeveiliging. We geloven dat transparantie en eerlijkheid hierover een win-winsituatie oplevert: voor ons, onze klanten en partners of als toevallige websitebezoeker.

Zijn wij nog iets vergeten te melden? Heb je nog ergens vragen over? Schroom niet om al jouw vragen te stellen via Twitter of LinkedIn. Of mail ze naar info@scienta.nl. We reageren altijd. Beloofd.

Voor grote organisaties die te maken hebben met risicovolle verwerkingenen van persoonsgegevens, is ons Privacy Management Systeem een goed instrument. Dit bevat alle documentatie die je moet hebben om te voldoen aan de AVG. Lees hier meer over het Privacy Management Systeem.

Alle informatie op deze blog is puur voor informatieve doeleinden bedoeld en vervangt geen juridisch advies, noch kun je enige rechten hieraan ontlenen. Uitspraken die in deze blog zijn gedaan, kunnen in de toekomst gedeeltelijk of geheel niet meer juist zijn.