Bijlage bij de AV-Overeenkomst: Technische en organisatorische maatregelen

1. vertrouwelijkheid (art. 32 lid 1 letter b) GDPR)

1.1. Toegangscontrole

Alle maatregelen om te voorkomen dat onbevoegden toegang krijgen tot de gegevensverwerkingssystemen waarmee persoonlijke gegevens worden verwerkt of gebruikt, staan hieronder vermeld:

• – Deurbelsysteem met camera
• – Chipkaarten / transpondersystemen
• – Deuren met knop aan de buitenkant
• – Sleutelverordening / sleutelboek
• – Regeling toewijzing ID-kaarten
• – Regeling toewijzing tokens
• Bezoekers / externe personen onder begeleiding van werknemers
• – Externe schoonmaakservice
• Externe onderhoudsservice
• – Maatregelen bij verlies van sleutel / ID / dongle / token / chipkaart

1.2. Toegangscontrole

Alle maatregelen om onbevoegde toegang tot de gegevensverwerkingssystemen te voorkomen staan hieronder vermeld:

• – Inloggen met gebruikersnaam + wachtwoord
• – Inloggen met biometrische gegevens
• – Anti-virussoftware clients
• – Firewall – Server
• – Externe toegang via mobiel / thuiskantoor (bijv. pc / laptop)
• – Externe toegang van externe serviceproviders
• – Externe toegang via smartphones/tablets
• – Encryptie van gegevensdragers
• – Automatisch bureaublad vergrendelen
• – Encryptie van notebooks/tablets
• – Encryptie voor WLAN-gebruik (WPA2)
• – Gebruikersprofielen en autorisaties aanmaken en beheren
• – Handmatig bureaublokkeren” instructies
• – Veilig wachtwoord” beleid
• Richtlijn “Verwijderen / Vernietigen
• – Richtlijn “Clean desk
• – Richtlijn “Thuis/mobiel kantoor
• – Beleid mobiele apparaten

1.3. Toegangscontrole

Alle maatregelen om te voorkomen dat onbevoegden de gegevensverwerkingssystemen lezen, kopiëren, wijzigen of verwijderen, staan hieronder vermeld:

• – Bestandsvernietiger
• – Externe papiervernietiger
• – Fysieke verwijdering van gegevensdragers
• – Autorisatieconcept(en)
• – Minimum aantal beheerders
• – Kluis voor gegevensbescherming
• – Beheer van gebruikersrechten door beheerders

1.4. Scheidingscontrole

Alle maatregelen om de persoonlijke gegevens die voor verschillende doeleinden worden verzameld te scheiden, staan hieronder vermeld:

• – Scheiding van productie- en testomgeving
• – Fysieke scheiding (systemen / databases / gegevensdragers)
• – Multi-client mogelijkheid van relevante applicaties
• – Op behoeften gebaseerde toegangsautorisaties voor werknemers
• – Definitie van databaserechten

1.5. Pseudonimisering (Art. 32 lid 1 letter a) & Art. 25 lid 1 GDPR)

De pseudonimisering van gegevensrecords wordt geïmplementeerd door de volgende maatregelen:

De gegevensrecords zijn niet gepseudonimiseerd.

2. integriteit (art. 32 lid 1 letter b) GDPR)

2.1. Controle over overdracht

Persoonlijke gegevens moeten tijdens de elektronische overdracht adequaat worden beschermd, zodat ze niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd. Hiervoor hebben we de volgende technische en organisatorische maatregelen genomen:

• – Email encryptie
• – Levering van tunnelverbindingen (VPN)
• – Voorziening van versleutelde verbindingen
• – Procedures voor elektronische handtekeningen
• – Registratie van toegang en opvragingen in logbestanden
• – Zorgvuldige selectie van transportpersoneel en voertuigen

2.2. Ingangsregeling

We gebruiken de volgende maatregelen om te controleren of en door wie persoonlijke gegevens worden ingevoerd, gewijzigd, geblokkeerd of verwijderd in het gegevensverwerkingssysteem:

• – Technische registratie van gegevensinvoer, wijziging en verwijdering
• – Handmatige of geautomatiseerde controle van de logboeken
• – Softwarelijst met gegevensverwerkingsprogramma’s
• – Toewijzing van individuele gebruikersnamen
• – Autorisatieconcept met toewijzing van op behoeften gebaseerde gebruikersrechten
• – Veilige opslag van documenten op papier

3. beschikbaarheid en veerkracht (art. 32 lid 1 letter b) GDPR)

3.1. Beschikbaarheidsregeling

We gebruiken de volgende maatregelen om de beschikbaarheid van persoonlijke gegevens te waarborgen tegen onopzettelijke of moedwillige vernietiging of verlies:

• – Opslag van back-upmedia op een veilige locatie buiten de serverruimte
• – Aparte partities voor besturingssystemen en gegevens

Reev GmbH beheert geen eigen servers, maar host de gegevens in externe datacenters van de provider MCON met opslaglocatie in Duitsland. De TOM’s worden regelmatig herzien als onderdeel van de respectieve orderverwerkingsrelatie.

We zorgen voor een snel herstel van de beschikbaarheid (Art. 32 para. 1 lit. c) GDPR) door middel van de volgende maatregelen:

Reev GmbH beheert geen eigen servers, maar host de gegevens in externe datacenters van de provider MCON met opslaglocatie in Duitsland. De TOM’s worden regelmatig herzien als onderdeel van de respectieve orderverwerkingsrelatie.

4. procedures voor regelmatige monitoring, beoordeling en evaluatie

(Art. 32 lid 1 letter d) GDPR & Art. 25 lid 1 GDPR)

Datum van evaluatie van de technische en organisatorische maatregelen: 10.01.23

4.1. Gegevensbescherming-Management

Om de gegevensbescherming in ons bedrijf te waarborgen, gebruiken we de volgende maatregelen voor regelmatige controle, beoordeling en evaluatie:

• – Softwareoplossingen voor gegevensbeschermingsbeheer in gebruik
• – Gecentraliseerde documentatie van alle procedures en voorschriften voor gegevensbescherming met toegang voor medewerkers
• – Ten minste eenmaal per jaar wordt de effectiviteit van de technische beschermingsmaatregelen beoordeeld.
• – Externe functionaris voor gegevensbescherming: Sophie Hohmann, SiDIT GmbH, info@sidit.de
• – Interne informatiebeveiligingsfunctionaris: José Carvalho, reev GmbH, josé.carvalho@reev.com
• – Medewerkers getraind in en toegewijd aan vertrouwelijkheid / gegevensgeheim
• – Regelmatige sensibilisering van werknemers, minstens één keer per jaar
• – De gegevensbeschermingseffectbeoordeling (DPIA) wordt uitgevoerd zoals vereist
• – De organisatie voldoet aan de informatieverplichtingen onder Art. 13 en 14 GDPR
• – Geformaliseerd proces voor de behandeling van verzoeken om informatie, wissen en gegevensoverdracht van betrokkenen

4.2. Beheer van incidenten
(in overeenstemming met art. 33 GDPR)

In het geval dat datalekken worden herkend en gemeld, nemen we de volgende maatregelen:

• – Gebruik van firewall en regelmatige updates
• – Gebruik van spamfilters en regelmatige updates
• – Gebruik van virusscanners en regelmatige updates
• – Gedocumenteerd proces voor het herkennen en melden van beveiligingsincidenten / datalekken
• – Gedocumenteerde procedure voor het afhandelen van
  beveiligingsincidenten
• – Betrokkenheid van DPO’s bij beveiligingsincidenten en datalekken
• – Betrokkenheid van ISB bij beveiligingsincidenten en datalekken
• – Documentatie van beveiligingsincidenten en datalekken
• – Formeel proces en verantwoordelijkheden voor de follow-up van beveiligingsincidenten en datalekken

4.3. Privacyvriendelijke standaardinstellingen

We gebruiken de volgende maatregelen als onderdeel van gegevensbeschermingsvriendelijke standaardinstellingen (Art. 25 (2) GDPR):

• – Gegevensminimalisatie en doelbinding
• – Eenvoudige (technische) uitoefening van het herroepingsrecht van de betrokkene door middel van technische maatregelen

4.4. Ordercontrole (uitbesteding)

Als onderdeel van de uitbesteding van de verwerking van persoonsgegevens door verwerkers, gebruiken we de volgende maatregelen om een passend beschermingsniveau te waarborgen:

• – Voorafgaande beoordeling van de veiligheidsmaatregelen van de aannemer en hun documentatie
• – Selectie van de contractant op grond van due diligence-aspecten
  (vooral met betrekking tot gegevensbescherming en -beveiliging)
• – Sluiting van de noodzakelijke overeenkomst over orderverwerking of EU-standaard contractbepalingen
• – Schriftelijke instructies voor de aannemer
• – Verplichting van de werknemers van de aannemer tot geheimhouding van gegevens
• – Verplichting tot aanstelling van een functionaris voor gegevensbescherming door de contractant indien de verplichting tot aanstelling bestaat
• – Overeenkomst van effectieve controlerechten ten opzichte van de aannemer
• – Verordening over het gebruik van extra onderaannemers
• Zorgen voor de vernietiging van gegevens na voltooiing van de opdracht
• – In het geval van langdurige samenwerking: Voortdurende evaluatie van de contractant en zijn beschermingsniveau