op grond van artikel 32, lid 1 DSGVO

1. Vertrouwelijkheid (art. 32 lid 1 sub b) DSGVO)

1.1. Toegangscontrole

Hieronder worden alle maatregelen genoemd, om onbevoegden de toegang tot de systemen voor de gegevensverwerking te verhinderen, waar persoonsgegevens worden verwerkt of gebruikt:

• Klingelanlage mit Kamera
• Chipkarten / Transpondersysteme
• Türen mit Knauf an der Außenseite
• Schlüsselregelung / Schlüsselbuch
• Ausweis-Vergaberegelung
• Token-Vergaberegelung
• Besucher / Externe in Begleitung durch Mitarbeiter
• Externer Reinigungsdienst
• Externer Wartungsdienst
• Maßnahmen bei Verlust von Schlüssel / Ausweis / Dongle / Token/ Chipkarte

1.2. Toegangscontrole

Hierna worden alle maatregelen genoemd, om onbevoegden de toegang tot de systemen voor gegevensverwerking te verhinderen:

• Login mit Benutzername + Passwort
• Login mit biometrischen Daten
• Anti-Virus-Software Clients
• Firewall – Server
• Externer Zugang durch Mobile- / Homeoffice (bspw. PC / Laptop)
• Externer Zugang von externen Dienstleistern
• Externer Zugang durch Smartphones /Tablets
• Verschlüsselung von Datenträgern
• Automatische Desktopsperre
• Verschlüsselung von Notebooks / Tablet
• Verschlüsselung bei WLAN-Benutzung (WPA2)
• Erstellen und Verwalten von Benutzerprofilen und -berechtigungen
• Anleitung „Manuelle Desktopsperre“
• Richtlinie „Sicheres Passwort“
• Richtlinie „Löschen / Vernichten“
• Richtlinie „Clean desk“
• Richtlinie “Home-/Mobile-Office”
• Mobile Device Policy

1.3. Toegangscontrole

Hierna worden alle maatregelen genoemd, om onbevoegden het lezen, kopiëren, wijzigen of wissen binnen de systemen voor gegevensverwerking te verhinderen:

• Aktenschredder
• Externer Aktenvernichter
• Physische Löschung von Datenträgern
• Berechtigungskonzept(e)
• Minimale Anzahl an Administratoren
• Datenschutztresor
• Verwaltung Benutzerrechte durch Administratoren

1.4. Scheidingscontrole

Hieronder worden alle maatregelen genoemd om de verzamelde persoonsgegevens om verschillende redenen te scheiden:

• Trennung von Produktiv- und Testumgebung
• Physikalische Trennung (Systeme / Datenbanken / Datenträger)
• Mandantenfähigkeit relevanter Anwendungen
• Bedarfsgerechte Zugriffsberechtigungen der Mitarbeiter
• Festlegung von Datenbankrechten

1.5. Pseudonimisering (art. 32 lid 1 sub a) en art. 25 lid 1 DSGVO)

De pseudonimisering van gegevensrecords wordt door de volgende maatregelen geïmplementeerd:

Er vindt geen pseudonimisering van de gegevensrecords plaats.

2. Integriteit (art. 32 lid 1 sub b) DSGVO)

2.1. Controle openbaarmaking

Persoonsgegevens moeten bij de elektronische overdracht voldoende worden beveiligd, om niet onbevoegd te worden gelezen, gekopieerd, gewijzigd of verwijderd te worden. Hiervoor hebben we de volgende technische en organisatorische maatregelen genomen:

• Email-Verschlüsselung
• Bereitstellung von Tunnelverbindungen (VPN)
• Bereitstellung verschlüsselter Verbindungen
• Elektronische Signaturverfahren
• Protokollierung der Zugriffe und Abrufe in Log-Dateien
• Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen

2.2. Invoercontrole

Voor de controle of en door wie persoonsgegevens in de systemen voor gegevensverwerking worden ingevoerd, gewijzigd, geblokkeerd of verwijderen, maken we gebruik van de volgende maatregelen:

• Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
• Manuelle oder automatisierte Kontrolle der Protokolle
• Softwareliste mit Datenverarbeitungsprogrammen
• Vergabe individueller Benutzernamen
• Berechtigungskonzept mit Vergabe von bedarfsgerechten Benutzerrechten
• Sichere Aufbewahrung von Dokumenten in Papierform

3. Beschikbaarheid en weerbaarheid (art. 32 lid 1 sub b) DSGVO)

3.1. Beschikbaarheidscontrole

Als garantie voor bescherming van beschikbare persoonsgegevens tegen toevallige of bewuste vernietiging of verlies maken we gebruik van de volgende maatregelen:

• Bewaren van de back-upmedia op een veilige plek buiten de serverruimte
• Gescheiden partities voor besturingssystemen en gegevens

reev GmbH beheert een eigen server, maar host de gegevens in externe rekencentra van de aanbieder MCON met opslaglocatie in Duitsland. De TOM’s worden in het kader van de betreffende taakverwerkingsrelatie regelmatig gecontroleerd.

We garanderen het snelle herstel van de beschikbaarheid (art. 32 lid 1 sub c) DSGVO) door de volgende maatregelen.

reev GmbH beheert een eigen server, maar host de gegevens in externe rekencentra van de aanbieder MCON met opslaglocatie in Duitsland. De TOM’s worden in het kader van de betreffende taakverwerkingsrelatie regelmatig gecontroleerd.

4. procedures voor regelmatige monitoring, beoordeling en evaluatie

(art. 32 lid 1 sub d) DSGVO en art. 25 lid 1 DSGVO)

Datum van de evaluatie van de technische en organisatorische maatregelen: 10-01-23

4.1. Privacybeheer

Voor de garantie van de privacy in ons bedrijf maken we gebruik van de volgende maatregelen voor het regelmatig controleren, beoordelen en evalueren:

• Softwarelösungen für Datenschutz-Management im Einsatz
• Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter
• Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
• Externe functionaris voor gegevensbescherming: Sophie Hohmann, SiDIT GmbH, info@sidit.de
• Interne informatiebeveiligingsfunctionaris: José Carvalho, reev GmbH, josé.carvalho@reev.com
• Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
• Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich
• Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
• Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
• Formalisierter Prozess zur Bearbeitung von Auskunfts-, Löschungs- und Datenübertragungsanfragen seitens Betroffener

4.2. Incident response management
(in overeenstemming met art. 33 GDPR)

In het geval van het erkennen en de melding van schendingen van de privacy voeren we de volgende maatregelen uit:

• Einsatz von Firewall und regelmäßige Aktualisierung
• Einsatz von Spamfilter und regelmäßige Aktualisierung
• Einsatz von Virenscanner und regelmäßige Aktualisierung
• Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen
• Gedocumenteerde procedure voor het afhandelen van
  beveiligingsincidenten
• Einbindung von DSB in Sicherheitsvorfällen und Datenpannen
• Einbindung von ISB in Sicherheitsvorfällen und Datenpannen
• Dokumentation von Sicherheitsvorfällen und Datenpannen
• Formeel proces en verantwoordelijkheden voor de follow-up van beveiligingsincidenten en datalekken

4.3. Privacyvriendelijke standaardinstellingen

In het kader van de privacyvriendelijke standaardinstellingen (art. 25 lid DSGVO) maken we gebruik van de volgende maatregelen:

• Gegevensminimalisering en doelbinding
• Eenvoudige (technische) uitvoering van het intrekkingsrecht van de betrokkene door technische maatregelen

4.4. Taakcontrole (Outsourcing)

In het kader van de outsourcing van de verwerking van persoonsgegevens door taakverwerkers maken we voor het garanderen van een gepast beschermingsniveau gebruik van de volgende maatregelen:

• Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
• Selectie van de contractant onder due diligence-aspecten
  (vooral met betrekking tot gegevensbescherming en -beveiliging)
• Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln
• Schriftliche Weisungen an den Auftragnehmer
• Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
• Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen der Bestellpflicht
• Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
• Regelung zum Einsatz weiterer Subunternehmer
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
• Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus