De AVG komt er aan: dit mag u van Scienta verwachten

Op 25 mei 2018 treedt de AVG in werking. De AVG is de nieuwe Europese privacywet die een aantal nieuwe en scherpere eisen stelt aan organisaties die met persoonsgegevens werken. En ook wij krijgen hiermee te maken.

We hebben ons afgelopen maanden goed voorbereid op de AVG – al zeggen we het zelf. In deze blog behandelen we de impact van de AVG op Scienta, hoe wij aan de AVG voldoen en de invloed hierop voor u als klant, gebruiker van Scienta, contact op onze mailinglijst of gewoon als toevallige websitebezoeker.

Uw privacyrechten in de AVG

Bent u er klaar voor? We beginnen met de (nieuwe) privacyrechten die u heeft onder de AVG. Hieronder behandelen we ze allemaal – en de invloed ervan op uw relatie met Scienta.

Het recht op inzage. U kunt bij ons een verzoek indienen om uw gegevens in te zien. Wij laten u dan (onder andere) weten welke gegevens we van u hebben en wat het doel hiervan is. Ook geven we hierbij aan met welke andere partijen we deze gegevens hebben gedeeld en op basis van welke redenen. Wel zo transparant.

Het recht op dataportabiliteit. Het recht op dataportabiliteit is een nieuw recht om persoonsgegevens over te dragen aan andere instanties. Wij overhandigen hierbij de data waarin uw persoonsgegevens zijn verwerkt.

Het recht op vergetelheid. Dit is het recht om ‘vergeten’ te worden. U kunt zich bijvoorbeeld ten alle tijden uitschrijven van onze nieuwsbrief, maar u kunt ons ook verzoeken om uw contactgegevens en/of uw Scienta-account in zijn geheel te verwijderen. In dit laatste geval geeft u aan uw abonnement op Scienta op te zeggen. Immers, als u aangeeft om vergeten te worden, kunnen wij Scienta ook niet meer aan u leveren.

Recht op rectificatie en aanvulling. Kloppen er bepaalde gegevens niet of wilt u gegevens wijzigen? U kunt bij ons altijd het verzoek neerleggen om bepaalde gegevens te wijzigen.

Het recht op beperking van de verwerking en het recht om bezwaar te maken tegen de gegevensverwerking. U heeft het recht om minder gegevens te laten verwerken en u kunt bezwaar maken tegen verwerking van uw gegevens bij Scienta. Mochten wij zo’n verzoek ontvangen, dan reageren wij hier binnen 30 dagen op.

Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten. Dit recht is voornamelijk van toepassing als u bijvoorbeeld een hypotheek of een uitkering wil aanvragen bij instanties, waarbij er geautomatiseerd besluiten worden gemaakt. Dit is niet van toepassing bij Scienta.

Het recht op duidelijke informatie over wat wij met uw persoonsgegevens doen. Als bedrijf verzamelen en gebruiken wij persoonsgegevens. Daarom leggen wij in deze blog uit waarom we dit doen en waarvoor we deze gegevens gebruiken.

Verzoeken aan beheerders van Scienta-omgevingen

Ook als beheerder van Scienta kunt u één van deze verzoeken ontvangen van Scienta-gebruikers in uw omgeving. Krijgt u zo’n verzoek? U kunt dan de volgende maatregelen treffen:

  • Gebruikers kunnen zelf hun persoonlijke gegevens inzien en wijzigen waar nodig. Dit doen ze in hun eigen account.
  • U kunt gebruikers archiveren en deactiveren, mochten bepaalde gebruikers vergeten willen worden.
  • We werken aan een functionaliteit waarbij gebruikers (en de bijbehorende persoonsgegevens) definitief verwijderd kunnen worden.

Waarvoor gebruiken wij uw persoonsgegevens?

Wij verzamelen en gebruiken uw persoonsgegevens, zoals uw naam en telefoonnummer, voor een aantal doeleinden. We vragen nooit meer persoonsgegevens dan strikt noodzakelijk, en ook vragen we nooit om bijzondere persoonsgegevens, zoals uw ras of politieke voorkeur.

We hebben een aantal redenen om persoonsgegevens te verwerken, zoals onze wettelijke verplichtingen als bedrijf, omdat we een gerechtvaardigd belang hierbij hebben, omdat dit onderdeel is van een overeenkomst of omdat we hiervoor toestemming hebben ontvangen. Hieronder leggen we uit waarvoor we uw persoonsgegevens verwerken.

Voor de werking van Scienta

Allereerst gebruiken wij de gegevens van onze klanten om ons product Scienta te laten werken. We hebben uw gegevens nodig om Scienta te ontwikkelen, te testen en om Scienta überhaupt te laten werken. Want zonder een e-mailadres kan Scienta bijvoorbeeld geen taak aanmaken, kunt u geen formulier invullen en kunt u niet eens inloggen in Scienta.

Voor de boekhouding en facturatie

Het is revolutionair: u kunt voortaan zélf toestemming geven of we uw gegevens mogen gebruiken om een factuur te sturen! Dat houdt in dat als u geen toestemming geeft, u ook geen factuur ontvangt en dus ook niets hoeft te betalen!

Was het maar echt zo makkelijk.

Als u klant bent van Scienta, dan ontvangt u van ons een factuur. Wij gebruiken uw persoonsgegevens om de juiste factuur bij de juiste persoon te krijgen. Hiervoor hoeft u geen toestemming voor te verlenen: het gebruik van deze persoonsgegevens doen wij op basis van de overeenkomst die we met onze klanten hebben.

Voor communicatie

We houden van kletsen. Dit doen we dan ook graag met onze klanten. We gebruiken uw gegevens om met u te communiceren. Soms communiceren alleen naar onze klanten toe, bijvoorbeeld met onze nieuwsbrief. Daarvoor hebben we uw gegevens nodig.

Maar onze klanten kletsen ook wat af met ons! Bijvoorbeeld met vragen over Scienta. Dit gebeurt dan in ons support ticketsysteem of aan de telefoon. Om ervoor te zorgen dat we u geen Koos noemen terwijl u eigenlijk Madeleine-Christien heet (is ooit echt een keer gebeurd), gebruiken wij hiervoor uw persoonsgegevens.

Websitebezoek

Bezoekt u nu onze website?

(Dat was een retorische vraag natuurlijk).

Grote kans dat we dan al wat dingen van u weten door middel van cookies. Hierdoor weten we bijvoorbeeld of u al eerder op onze website bent geweest of vanuit welk land u onze website bezoekt. En sommige informatie die wij verwerken via deze cookies vallen onder de categorie persoonsgegevens volgens de AVG.

Toestemming geven voor cookies

Als u onze website voor de eerste keer bezoekt, vragen we u toestemming om cookies te plaatsen. We plaatsen functionele, tracking, analytische en 3rd party cookies om het bezoek aan onze website zo optimaal mogelijk te maken. In ons cookiebeleid gaan we dieper in op welke cookies we plaatsen en waarom.

Marketingactiviteiten

Downloadt u wat van onze website, zoals een whitepaper? Dan vragen we u akkoord te geven op ons privacybeleid. Hiermee geeft u expliciet toestemming om (onder andere) verder e-mailings te ontvangen, door ons persoonlijk benaderd te mogen worden en kunnen wij deze gegevens eventueel delen met derden. Ons gehele privacybeleid hebben wij geëvalueerd en aangepast waar nodig. Deze kunt u hier lezen.

Het delen van persoonsgegevens met derden

Nee, we verkopen uw gegevens nooit door aan andere bedrijven die u huis-aan-huisfolders sturen. Maar soms is het noodzakelijk dat we uw persoonsgegevens delen met derde partijen. Die partijen met wie wij gegevens delen, zoals ons CRM-systeem, Google Analytics of ons support ticketsysteem zijn niet van onszelf, maar door ons ingekocht. Dit maakt ons wél verantwoordelijk voor de verwerking van persoonsgegevens en daarom hebben we verwerkersovereenkomsten afgesloten met partijen die persoonsgegevens van ons verwerken (of gaan we dat doen vóór 25 mei 2018). Benieuwd welke partijen dit zijn? Vanaf 25 mei gaan we in ons privacybeleid hier verder op in.

Verwerkingsregister

Deze categorisatie van gegevens hebben wij verwerkt in ons verwerkingsregister, dat we natuurlijk beheren in onze eigen Scienta-omgeving. Hiermee voldoen wij aan de verantwoordingsplicht onder de AVG (specifiek de eisen uit artikel 30 van de AVG, natuurlijk) waarin staat dat wij moeten kunnen aantonen welke persoonsgegevens wij verwerken en voor welke doeleinden we dit doen.

Het gebruik van persoonsgegevens in Scienta

Als u klant bent van Scienta, dan slaat u ook persoonsgegevens op in Scienta van uw gebruikers, zoals de naam en geboortedatum.

Dit maakt ons niet verantwoordelijk voor de gegevens die in uw Scienta-omgeving staan, maar maakt ons wel verwerker van deze persoonsgegevens. Dit brengt plichten met zich mee, zoals een adequate beveiliging en geheimhouding van deze gegevens. Zie hiervoor het het kopje “Adequate beveiliging van Scienta en uw persoonsgegevens“.

Ook hebben wij een verwerkersovereenkomst opgesteld, waar wij u uw rechten en plichten toelichten. We gaan hier dieper op in onder het kopje “Verwerkersovereenkomst met Scienta“.

Bijzondere persoonsgegevens in Scienta

Vanuit Scienta vragen wij nooit naar bijzondere persoonsgegevens van onze gebruikers.

In theorie is het mogelijk dat u als klant van Scienta bijzondere persoonsgegevens van uw gebruikers verwerkt, zoals ras, politieke voorkeur of documenten waar burgerservicenummers op staan. Ook al heeft u schriftelijk toestemming ontvangen van deze personen (of als u bijvoorbeeld kunt hardmaken dat verwerking van deze bijzondere persoonsgegevens in Scienta in het algemene belang op het gebied van de volksgezondheid is), is dit niet het doel van Scienta en adviseren wij u Scienta niet op deze manier te gebruiken.

Inschakeling van derden

Derden waarmee u geen zakelijke relatie heeft, hebben zonder uw expliciete en schriftelijke toestemming nooit toegang tot uw content en persoonsgegevens in Scienta. Wel kunnen derden toegang krijgen tot gebruiksgegevens, voor bijvoorbeeld het klikgedrag in Scienta, tijd op pagina’s en acties (zoals het maken van een wijzigingsvoorstel) die u uitvoert. Hierdoor kunnen we onze software nog gebruiksvriendelijker maken en helpt het ons nieuwe functionaliteiten en verbeteringen door te voeren.

Toegang tot uw data in Scienta

Medewerkers van Scienta hebben als onderdeel van de dagelijkse support- en ontwikkelwerkzaamheden toegang tot informatie en data (waaronder persoonsgegevens) binnen Scienta. Als u geabonneerd bent op content van een Content Partner, kan een Content Partner ook toegang tot uw omgeving hebben. Voor 25 mei 2018 bieden we de optie aan om deze toegang tot uw omgeving uit te schakelen. Hierdoor is het echter niet meer mogelijk om een supportvraag bij ons te stellen. Om u te kunnen helpen, hebben wij namelijk, met uw toestemming, toegang nodig tot uw Scienta omgeving.

Onze systeembeheerders hebben altijd toegang tot data (waaronder persoonsgegevens), voor noodzakelijke werkzaamheden. Denk bijvoorbeeld aan het maken van back-ups, het uitbrengen van patches of voor releases.

Verwerkersovereenkomst met Scienta

Als u klant bent van Scienta, dan bent u verplicht (zoals staat onder artikel 28 van de AVG, even voor de goede orde) om een verwerkersovereenkomst met ons af te sluiten. Wij verwerken namelijk persoonsgegevens die onder uw verantwoordelijkheid vallen. U bent zélf verantwoordelijk voor het afsluiten van zo’n verwerkersovereenkomst: u bent namelijk de verantwoordelijke over de persoonsgegevens. Wij als Scienta zijn de verwerker. Wij hebben een verwerkersovereenkomst geschreven die voldoet aan de wettelijke eisen die in de AVG staan.

De verwerkersovereenkomst in het kort

Onze verwerkersovereenkomst bevat onder andere de volgende punten:

Doel en instructies van het verwerken van persoonsgegevens. Allereerst is het van belang dat iedereen weet waarom wij uw persoonsgegevens verwerken, namelijk voor het leveren en onderhouden van onze software Scienta.

Geheimhoudingsplicht. Wij zijn verplicht om uw gegevens geheim te houden. We zullen daarom uw gegevens nooit voor een ander doel gebruiken dan waarvoor we uw gegevens verkregen hebben.

Subverwerkers. Wij maken gebruik van subverwerkers voor het verwerken van uw persoonsgegevens. In de verwerkersovereenkomst staat beschreven hoe wij hiermee omgaan.

Audits. U kunt een audit laten uitvoeren of de beveiliging van Scienta voldoet of hoe wij voldoen aan de eisen die gesteld worden in onze verwerkersovereenkomst. Natuurlijk wel in goed overleg, maar we werken hier graag aan mee.

Beveiligingsmaatregelen. We zullen ons inspannen om voldoende technische en organisatorische maatregelen te nemen bij het verwerken van uw persoonsgegevens, zoals tegen het verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of lekken). Benieuwd hoe we dit doen? Verderop in deze blog lichten we onze beveiligingsmaatregelen toe.

Onze gehele verwerkersovereenkomst kunt u hieronder lezen. U kunt hem downloaden, printen en ondertekend naar ons toesturen.

Lees de verwerkersovereenkomst van Scienta

Wilt u een eigen verwerkersovereenkomst met ons opstellen? Dat is mogelijk, maar dan laten wij dit wel eventjes juridisch nakijken. Alle kosten hiervoor zijn voor uw rekening.

Is de verwerkersovereenkomst een apart document?

We zien veel bedrijven aparte bewerkersovereenkomsten opstellen. Logisch, gezien de term ‘overeenkomst’, maar in de AVG staat nergens dat dit een apart document hoeft te zijn. Wij kiezen ervoor om per 25 mei 2018 de verwerkersovereenkomst op te nemen in onze algemene voorwaarden. Natuurlijk niet weggestopt ergens onderaan in kleine lettertjes, maar duidelijk en transparant verwoord in onze voorwaarden. Zo integreren we de AVG direct in onze huidige processen.

Voor onze huidige klanten ligt dit natuurlijk anders, want die zijn akkoord gegaan met onze huidige voorwaarden, zonder verwerkersovereenkomst. Daarom kunnen onze huidige klanten een losse verwerkersovereenkomst met ons tekenen. Deze kunt u (nogmaals) hier downloaden, printen en ondertekend naar ons toesturen.

(Kunt u de verwerkersovereenkomst niet lezen met bovenstaande links? Klik dan op deze link om hem te lezen. Mocht deze ook niet werken, stuur ons dan een e-mail.)

Adequate beveiliging van Scienta en uw persoonsgegevens

Uw privacy en beveiliging van uw data zijn ontzettend belangrijk voor ons. We doen daarom veel research naar de laatste beveiligingstrends en integreren deze in onze software en onze interne systemen. Met elke nieuwe release van Scienta kijken we waar de beveiliging naar een nog hoger niveau getild kan worden.

Het is daarom ook niet verwonderlijk dat onder de AVG (zoals bekend onder artikel 32 van de AVG) de verwerker van persoonsgegevens een ‘adequate beveiliging’ moet hebben. Hoe ziet adequate beveiliging er bij Scienta uit?

Organisatorische maatregelen

We besteden veel aandacht aan awareness over privacy en informatiebeveiliging. Iedereen die bij ons werkt, moet een geheimhoudingsverklaring tekenen en krijgt interne trainingen over veiligheid en privacy.

Ook evalueren we continu onze interne procedures en processen. Toegang tot Scienta is gelimiteerd en er vindt voortdurende monitoring op toegang tot Scienta plaats. We hebben een extreem streng intern autorisatie- en authenticatiebeleid dat we periodiek evalueren.

Technische maatregelen

Het liefst willen we niet te veel kwijt over hoe Scienta en uw persoonsgegevens zijn beveiligd, want dat geeft derden met kwade bedoelingen te veel inzicht in de beveiliging. Maar helemaal niets zeggen en u te vragen ons te vertrouwen op onze blauwe ogen oranje logo is ook weer zo wat. Daarom toch een tipje van de sluier.

HTTPS en SSL certificaten. Alle Scienta-omgevingen zijn voorzien van een SSL-certificaat. Dit houdt in dat we een techniek gebruiken die de verbinding tussen u en de server beveiligt via een zeer sterke encryptie. En niet zo maar sterk: het hoogst haalbare A+ rating is alleen goed genoeg voor ons. Zelf controleren? Voer dan de url van uw Scienta-omgeving in op de volgende website en bekijk het zelf: https://www.ssllabs.com/ssltest. Hier staat ook meer informatie over SSL-certificaten.

Security headers. Er is “Grade A” mogelijk met betrekking tot Security headers (Content-Security-Policy, X-Frame-Options, Strict-Transport-Security, X-XSS-Protection, X-Content-Type-Options en Referrer-Policy). Hiervoor moet u wel wat opties inschakelen in Scienta. Lees daarvoor dit artikel in onze handleiding. Voor meer informatie of een eventuele controle, zie https://securityheaders.io.

CSTAR score. We behalen de maximale score van 950 punten in de “UpGuard external cyber audit” test. Voor meer informatie of eventuele controle, gaat u naar https://app.upguard.com/webscan en voert u de url van uw Scienta-omgeving in.

Pentesten. Verder laten we periodiek zogeheten ‘pentesten’ uitvoeren. Een pentest (of een penetratietest) is een test om te kijken of mensen met kwade bedoelingen Scienta kunnen misbruiken. We laten Scienta door een gecertificeerde instantie controleren op beveiligingsrisico’s en kwetsbaarheden. Klanten zijn van harte uitgenodigd om, natuurlijk in goed overleg, zelf een pentest uit te voeren.

Back-ups. We maken periodiek, meerdere en uitgebreide back-ups van alle data in Scienta. Dit bewaren we op meerdere, top secret locaties zodat we data terug kunnen zetten mocht er iets gebeuren met de data van Scienta.

Data in Nederland. Scienta wordt dedicated bij ons intern gebouwd. Wij zijn ons bewust van de juridische implicaties van de Amerikaanse Patriot Act. We maken daarom voor Scienta geen gebruik van cloudopslagdiensten van derden, zoals Amazon Web Services. Het Scienta-park staat op eigen, Nederlandse servers in onze eigen, private cloud, wat de interne controle hierop efficiënt en effectief maakt.

Hoe gaat Scienta om met datalekken?

Ondanks al deze voorzorgsmaatregelen, kan het onverhoopt eens misgaan. Mochten er persoonsgegevens uitlekken, bijvoorbeeld als Scienta wordt gehackt of als er een drager van persoonsgegevens wordt gestolen, dan is er sprake van een datalek.

In het geval van een datalek, moeten wij verschillende acties ondernemen. Deze acties hebben wij beschreven en geborgd in onze eigen Scienta-omgeving, zodat iedereen weet welke procedure gevolgd moet worden en wie waar verantwoordelijk voor is. Ook het intern melden van een datalek doen wij via Scienta, dankzij de functionaliteit om formulieren te maken.

Een datalek melden we binnen 36 uur bij de Autoriteit Persoonsgegevens als wij er zelf achter komen en binnen 48 uur als iemand anders erachter komt (en dit ons laat weten). Als u bent getroffen door dit datalek, melden wij dit aan u.

Zo gaan wij dus om met uw persoonsgegevens

Dit was onze kijk op de AVG, privacymanagement en databeveiliging. We geloven dat transparantie en eerlijkheid hierover een win-winsituatie oplevert: voor ons, onze klanten en partners of als toevallige websitebezoeker.

Vragen of feedback naar aanleiding van deze blog?

Zijn wij nog iets vergeten te melden? Heeft u nog ergens vragen over? Schroom niet om al uw vragen te stellen via Twitter of LinkedIn. Of mail ze naar info@scienta.nl. We reageren altijd. Beloofd.

En, bent u al klaar voor de AVG?

Voor grote organisaties die te maken hebben met risicovolle verwerkingenen van persoonsgegevens, is ons Privacy Management Systeem een goed instrument. Dit bevat alle documentatie die u moet hebben om te voldoen aan de AVG. Lees hier meer over het Privacy Management Systeem.

Disclaimer

Alle informatie op deze blog is puur voor informatieve doeleinden bedoeld en vervangt geen juridisch advies, noch kunt u enige rechten hieraan ontlenen. Uitspraken die in deze blog zijn gedaan, kunnen in de toekomst gedeeltelijk of geheel niet meer juist zijn.

Door |2018-07-05T14:52:34+00:00woensdag 9 mei, 2018|Achter de schermen|