op grond van artikel 32, lid 1 DSGVO

1. Vertrouwelijkheid (art. 32 lid 1 sub b) DSGVO)

1.1. Toegangscontrole

Hieronder worden alle maatregelen genoemd, om onbevoegden de toegang tot de systemen voor de gegevensverwerking te verhinderen, waar persoonsgegevens worden verwerkt of gebruikt:

• belsysteem met camera
• chipkaarten / transpondersystemen
• deuren met knoppen aan de buitenzijde
• sleutelreglement / sleutelboek
• reglement toekenning ID-kaart
• reglement toekenning tokens
• bezoekers / externen begeleid door medewerkers
• externe schoonmaakdienst
• externe onderhoudsdienst
• maatregelen bij verlies van sleutels / ID-kaarten / dongles / token / chipkaart 

1.2. Toegangscontrole

Hierna worden alle maatregelen genoemd, om onbevoegden de toegang tot de systemen voor gegevensverwerking te verhinderen:

• inloggen met gebruikersnaam + wachtwoord
• inloggen met biometrische gegevens
• antivirussoftwareclients
• firewallserver
• externe toegang via mobile / home office (bijv. pc / laptop)
• externe toegang via externe dienstverleners
• externe toegang via smartphones / tablets
• versleuteling van gegevensdragers
• automatische desktopvergrendeling
• codering van notebooks / tablets
• codering bij gebruik van wifi (WPA2)
• aanmaken en beheren van gebruikersprofielen en machtigingen
• instructies voor “handmatige desktopvergrendeling“
• “sterk wachtwoord“-beleid
• “verwijderen / vernietigen“-beleid
• “Cleandesk-beleid“
• beleid voor “home / mobile office
• beleid voor mobiele apparaten 

1.3. Toegangscontrole

Hierna worden alle maatregelen genoemd, om onbevoegden het lezen, kopiëren, wijzigen of wissen binnen de systemen voor gegevensverwerking te verhinderen:

• papierversnipperaar
• externe papierversnipperaar
• fysieke verwijdering van gegevensdragers
• autorisatieconcept(en)
• minimum aantal beheerders
• privacykluis
• beheer van gebruikersrechten door beheerders 

1.4. Scheidingscontrole

Hieronder worden alle maatregelen genoemd om de verzamelde persoonsgegevens om verschillende redenen te scheiden:

• scheiding van productie– en testomgeving
• fysieke scheiding (systemen / databases / gegevensdragers)
• klantmogelijkheden van relevante applicaties
• op behoeften gebaseerde toegangsautorisaties voor medewerkers
• definitie van databaserechten 

1.5. Pseudonimisering (art. 32 lid 1 sub a) en art. 25 lid 1 DSGVO)

De pseudonimisering van gegevensrecords wordt door de volgende maatregelen geïmplementeerd:

Er vindt geen pseudonimisering van de gegevensrecords plaats.

2. Integriteit (art. 32 lid 1 sub b) DSGVO)

2.1. Controle openbaarmaking

Persoonsgegevens moeten bij de elektronische overdracht voldoende worden beveiligd, om niet onbevoegd te worden gelezen, gekopieerd, gewijzigd of verwijderd te worden. Hiervoor hebben we de volgende technische en organisatorische maatregelen genomen:

• eMailversleuteling
• beschikbaar stellen van tunnelverbindingen (VPN)
• aanbieden van versleutelde verbindingen
• procedures voor elektronische handtekeningen
• vastleggen van toegang en opvraging in logbestanden
• zorgvuldigheid bij de selectie van transportpersoneel en voertuigen 

2.2. Invoercontrole

Voor de controle of en door wie persoonsgegevens in de systemen voor gegevensverwerking worden ingevoerd, gewijzigd, geblokkeerd of verwijderen, maken we gebruik van de volgende maatregelen:

• technisch vastleggen van de invoer, wijziging en het wissen van gegevens

• handmatig of geautomatiseerde controle van de protocollen

• softwarelijsten met programma’s voor gegevensverwerking

• toewijzing van individuele gebruikersnamen

• autorisatieconcept met toewijzing van op behoeften gebaseerde gebruikersrechten

• veilig bewaren van documenten in papiervorm 

3. Beschikbaarheid en weerbaarheid (art. 32 lid 1 sub b) DSGVO)

3.1. Beschikbaarheidscontrole

Als garantie voor bescherming van beschikbare persoonsgegevens tegen toevallige of bewuste vernietiging of verlies maken we gebruik van de volgende maatregelen:

• bewaren van de back-upmedia op een veilige plek buiten de serverruimte
• gescheiden partities voor besturingssystemen en gegevens

reev GmbH beheert een eigen server, maar host de gegevens in externe rekencentra van de aanbieder MCON met opslaglocatie in Duitsland. De TOM’s worden in het kader van de betreffende taakverwerkingsrelatie regelmatig gecontroleerd.

We garanderen het snelle herstel van de beschikbaarheid (art. 32 lid 1 sub c) DSGVO) door de volgende maatregelen.

4. Procedure voor het regelmatig bewaken, beoordelen en evalueren

(art. 32 lid 1 sub d) DSGVO en art. 25 lid 1 DSGVO)

Datum van de evaluatie van de technische en organisatorische maatregelen: 10-01-23

4.1. Privacybeheer

Voor de garantie van de privacy in ons bedrijf maken we gebruik van de volgende maatregelen voor het regelmatig controleren, beoordelen en evalueren:

• software-oplossingen voor privacybeheer
• centrale documentatie van alle procedures en voorschriften voor privacy met toegangsmogelijkheid voor medewerkers
• een controle van de effectiviteit van de technische beveiligingsmaatregelen wordt minimaal één keer per jaar uitgevoerd
• externe functionaris voor privacy: Sophie Hohmann, SiDIT GmbH, info@sidit.de
• interne functionaris voor informatiebeveiliging: José Carvalho, reev GmbH, josé.carvalho@reev.com
• medewerkers opgeleid en verplicht tot vertrouwelijkheid / geheimhouding van gegevens
• regelmatige sensibilisering van medewerkers, minimaal één keer per jaar
• de effectbeoordeling privacy (DSFA) wordt indien nodig uitgevoerd
• de organisatie komt de informatieverplichtingen na volgens art. 13 en 14 DSGVO
• geformaliseerd proces voor het verwerken van verzoeken om informatie, verwijdering en gegevensoverdracht namens de betrokkenen 

4.2. Incident-response-management
(volgens art. 33 DSGVO)

In het geval van het erkennen en de melding van schendingen van de privacy voeren we de volgende maatregelen uit:

• gebruik van firewalls en regelmatige updates
• gebruik van spamfilters en regelmatige updates
• gebruik van virusscanners en regelmatige updates
• gedocumenteerd proces voor het opsporen en melden van beveiligingsincidenten/datalekken
• gedocumenteerde procedure voor het afhandelen van beveiligingsincidenten
• DPO’s betrekken bij beveiligingsincidenten en datalekken
• ISB’s betrekken bij beveiliging incidenten en datalekken
• documentatie van beveiligingsincidenten en datalekken
• formeel proces en verantwoordelijkheden voor naverwerking van beveiligingsincidenten en datalekken  

4.3. Privacyvriendelijke standaardinstellingen

In het kader van de privacyvriendelijke standaardinstellingen (art. 25 lid DSGVO) maken we gebruik van de volgende maatregelen:

• gegevensminimalisering en doelbinding
• eenvoudige (technische) uitvoering van het intrekkingsrecht van de betrokkene door technische maatregelen

4.4. Taakcontrole (Outsourcing)

In het kader van de outsourcing van de verwerking van persoonsgegevens door taakverwerkers maken we voor het garanderen van een gepast beschermingsniveau gebruik van de volgende maatregelen:

• voorafgaand toetsing van de door de opdrachtnemer genomen beveiligingsmaatregelen en de bijbehorende documentatie
• selectie van de opdrachtnemer vanuit het oogpunt van zorgvuldigheid (met name met betrekking tot privacy en gegevensbeveiliging)
• sluiten van de noodzakelijke overeenkomst over orderverwerking of EU-modelcontractbepalingen
• schriftelijke instructies aan opdrachtnemer
• verplichting van de medewerkers van opdrachtnemer tot geheimhouding van gegevens
• verplichting om door opdrachtnemer een functionaris voor privacy aan te stellen indien er sprake is van een taakplicht
• overeenkomst over effectieve zeggenschapsrechten jegens opdrachtnemer
• verordening over het gebruik van andere onderaannemers
• zorgen voor de vernietiging van gegevens na het einde van de taak
• in het geval van een langere samenwerking: voortdurende monitoring van de aannemer en zijn beschermingsniveau