AlsKlantwiltopzeggen,gaatKlantnaarwebsitevanLeverancierenkliktinhetmenuopdelink‘Mijnaccount’(inlogvereist)en daarnaopdesublink‘Lidmaatschap’.Doorvervolgensopdebutton‘Bekijk’teklikkenzalKlanteenoverzichtkrijgenvan zijn/haar lidmaatschap. Door vervolgens op de button ‘Annuleren’ te klikken achter het kopje ‘Handelingen’ kan het lidmaatschap opgezegd worden. De toegang tot het platform zal automatisch gesloten worden aan het einde van de huidige factureringsperiode. Op dezelfde pagina kan Klant tevens zien wanneer het account zal worden gesloten.
Als Klantaccountbij eenderdepartij als Betaalmiddelgebruikt enhetlidmaatschapwiltopzeggen,moetKlantditmogelijkdoen viadezederdepartij,bijvoorbeelddoornaar hetaccountbij dezederdepartij tegaanendaardeautomatischeverlenginguitte schakelen of door zichzelf uit te schrijven voor het lidmaatschap via deze derde partij. Klant kan de factureringsgegevens voor het lidmaatschap ook raadplegen via het account bij de desbetreffende derde partij.
Een combinatie van gebruikersnaam, wachtwoord en een unieke code welke middels Google Authenticator (tweestapsverificatie) iederekeeropnieuwwordtverstrekt, geefttoegangtothetPlatform (endaarmeehetbericht). Hierdoor hebben alleen Geautoriseerde Gebruikers toegang tot de Data van het Platform.
Doordezezgn. tweestapsverificatieisereenextra beveiligingslaagtoegevoegd. Hackershebbendanaaneenge bruikersnaamen wachtwoord alleen niet meer genoeg om toegang tot de gevoelige Data van het Platform te krijgen.
Metbetrekking totdeintellectueleeigend omsrechtenzijndevolgendebepalin genvantoepassingmetbetrekking totdeonline toegang en gebruik van het Platform:
gemunt, hij/zijdezelimietbereikt. Eenéchtemelding (dooreenlegitiememelder) komtdan nietmeerbinnen, eneigenlijkis dan het doel van de spammer/aanvaller al bereikt.
Quaspambotszalhetnage noegnietmogelijkzijn, aangezien ereenaantalsta ppentussenzitten, ditkaneenstandaard geautomatiseerd script niet volledig doorlopen.
Op deze Gebruiksvoorwaarden is uitsluitend Nederlands recht van toepassing. Leverancier en Klant zullen een geschil, voortvloeienduito fverbandhoudendmetdeze Gebruiksvoorwaarden, proberenopte lossenopeenminnelijkemanier. Inhet geval dat dergelijke pogingen zouden mislukken, zal de zaak worden voorgelegd aan een bevoegde rechtbank in Nederland.
Klantenondersteuning. Als Klant meer wilt weten over dienst van Leverancier, gaat Klant naar website van Leverancier en kliktinhetmenuopdelink ‘Mijnaccount’ (inlogvereist) endaarna op de sub link ‘Documenten’. Hier wordt vervolgens een lijst gepresenteerd met de handleidingen. Mocht Klant extrahulp nodig hebben dan kan Klant via de sub link ‘Support’ de helpdesk van Leverancier bezoeken.
Van kracht blijvende bepalingen. Als een of meer bepalingen van deze Gebruiksvoorwaarden ongeldig, onwettig of niet- afdwingbaarwordengeacht, blijvendegeldigheid, wettigheid enafdwingbaarhei dvanderesterende bepalingenonverminderd van kracht.
Wijzigingeninde Gebruiksvoorwaarden. Leverancierkandeze Gebruiksvoorwaarden vantijdtottijdwijzigen. Leverancier stelt Klant minimaal 30 dagen voordat dergelijke wijzigingen op Klant van toepassing zijn, op de hoogte.
Elektronische communicatie. Leverancier stuurt Klant informatie over zijn/haar account (zoals betalingsautorisaties, facturen, wachtwoordwijzigingen, bevestigingsberichtenenkennisgevingen) uitsluitendinelektronischevorm, bijvoorbeeldvia e-mail naar het e-mailadres dat Klant heeft opgegeven bij de registratie.
Laatstbijgewerkt:18juni 2022
In het kader van de Diensten (zie hiervoor Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl) zal de Verwerker persoons gegevens in naam en ten behoeve van de Verwerkingsverantwoordelijke verwerken. Om de strengste vertrouwelijkheid en naleving van alle relevante bepalingen van de wetgeving inzake gegevens bescherming te waarborgen en aan de toepasselijke Europese vereisten voor gegevensbescherming (hierna te noemen als de "Toepasselijke Wetgeving") te voldoen, zal Klant akkoord moeten gaan met deze Gegevensverwerkingsovereenkomst.
1.1 In verband met de uitvoering van de Diensten (zie hiervoor Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl) is Klant de 'Verwerkingsverantwoordelijke' en is Leverancier de 'Verwerker' van de 'persoonsgegevens' van 'betrokkenen' (elk zoals gedefinieerd in de toepasselijke wet) namens Klant.
1.2 Deze Gegevens verwerkings overeenkomst is namens en ten behoeve van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke heeft het recht om deze Gegevensverwerkingsovereenkomst te handhaven.
1.3 Het onderwerp van deze Gegevensverwerkingsovereenkomst is de uitvoering van de volgende taken door de Verwerker:
a) De Verwerker verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke. De Verwerker en de Verwerkingsverantwoordelijke houden zich aan deze Gegevensverwerkingsovereenkomst gedurende het lidmaatschap voor het Platform. Dat impliceert dat de Verwerker verplicht is om toezicht te houden op de principes van correcte gegevensverzameling, verwerking en het gebruik van gegevens, en de naleving ervan.
b) Details van de Diensten geleverd door de Verwerker staan vermeld in de Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl.
1.4 De Verwerker is te allen tijde gebonden aan de gedocumenteerde instructies van de Verwerkingsverantwoordelijke met betrekking tot de uitvoering van de Gegevensverwerkingsovereenkomst en de verwerking van persoonsgegevens die toebehoren aan de Verwerkingsverantwoordelijke. Deze instructies mogen de werking van het Platform en de overeengekomen operationele procedures niet belemmeren. De Verwerker heeft het recht om de Verwerkingsverantwoordelijke kosten, die niet zijn opgenomen in de terugkerende kosten op basis van het lidmaatschap voor het Platform, in rekening te brengen als individuele instructie maatregelen dit vereisen.
1.5 Om de anonimiteit van de betrokkene(n) te garanderen, zal de Verwerker nooit het gebruikte IP-adres aan Verwerkingsverantwoordelijke overhandigen. Als het bericht zelf een ernstige overtreding, een criminele handeling of duidelijk een frequent misbruik van het systeem is, kan deze informatie worden overgedragen aan gerechtelijke en / of bevoegde die daartoe actie kan ondernemen.
1.6 Het is de Verwerker niet toegestaan de persoonsgegevens te gebruiken voor enig ander doel dan voor de uitvoering van de Diensten (zie hiervoor Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl). Er mogen geen kopieën of duplicaten worden gemaakt zonder medeweten van de Verwerking verantwoordelijke. Dit geldt niet voor back-up kopieën, voor de uitlezing van logbestanden enz. waar deze nodig zijn om correcte gegevensverwerking te verzekeren en de uitvoering van de Diensten (zie hiervoor Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl) op voorwaarde dat de inhoud van de gegevens ongewijzigd blijven en de verwerking niet interfereert met de belangen van de Verwerkingsverantwoordelijke.
1.7 De Verwerker garandeert dat hij de persoonsgegevens verwerkt in overeenstemming met de toepasselijke wet. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk op de hoogte brengen als, in zijn mening, een van de instructies van de Verwerkingsverantwoordelijke in strijd is met de Toepasselijke Wet of de Verwerker wettelijk verplicht is om de persoonsgegevens te verwerken (tenzij de toepasselijke wetgeving dergelijke informatie verbiedt).
2.1 De Gegevensverwerkingsovereenkomst wordt van kracht bij het akkoord gaan van de Gebruiksvoorwaarden van MeldBedijfsMisstand.nl en het akkoord gaan van deze Gegevensverwerkingsovereenkomst. De Gegevensverwerkingsovereenkomst zal effectief zijn voor de duur van het lidmaatschap voor het Platform.
2.2 Nadat deze Gegevensverwerkingsovereenkomst is beëindigd, zal de Verwerker alle persoonsgegevens die bij de uitvoering van de Diensten (zie hiervoor Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl) zijn gemaakt, verwijderen. Al de gegevens met betrekking tot de ontvanger van het bericht (bijvoorbeeld klantnaam) en de inhoud van het bericht zal, na afsluiting van elke zaak door Klant, anoniem worden gemaakt door de Verwerker. Dit impliceert dat alle persoonsgegevens met betrekking tot betrokkenen en / of de Klant in de berichten zal worden verwijderd. De geanonimiseerde berichten zullen dan alleen eventueel zijn gebruikt voor statistische en wetenschappelijke doeleinden.
3.1 De Verwerker verzamelt en verwerkt persoonsgegevens door middel van het Platform in overeenstemming met de bepalingen en voorwaarden van de Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl.
3.2 Persoonsgegevens kunnen betrekking hebben op: personen aan wie een bericht kan worden doorgegeven via het Platform; personen die een bericht achterlaten op het Platform; en personen die een bericht ontvangen via het Platform.
3.3 Om de Diensten (zie hiervoor Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl) uit te voeren, zal de Verwerker de persoonsgegevens van de betrokkenen verwerken zoals verder beschreven in Bijlage A (Beschrijving van gegevens verwerkingsactiviteiten).
3.4 De persoonsgegevens worden verwerkt door de Verwerker en eventuele onderaannemers uitsluitend binnen een lidstaat van de Europese Unie (EU), een andere ondertekenaar van de Overeenkomst betreffende de Europese Economische Ruimte (EER) of een land waarvoor de EU een adequaat niveau van gegevensbescherming heeft vastgesteld. Elke overdracht van gegevens naar een derde land vereist de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke en is onderworpen aan naleving van de wettelijke vereisten voor de overdracht van gegevens aan "derde landen".
4.1 De Verwerker dient passende technische en organisatorische beveiligingsmaatregelen te nemen om een passend beveiligingsniveau met betrekking tot de verwerking van persoonsgegevens te waarborgen. Dit in overeenstemming met de Toepasselijke Wet en rekening houdend met de stand van zaken, de kosten van implementatie en de aard, reikwijdte, contexten doeleinden van verwerking even als het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
4.2 De Verwerker heeft de technische en organisatorische maatregelen gedocumenteerd die voor een passend beveiligingsniveau met betrekking tot de verwerking van persoonsgegevens zorgen. Dit omvat maar is niet beperkt tot de daadwerkelijke uitvoering van de Gegevensverwerkingsovereenkomst.
4.3 De technische en organisatorische maatregelen welke door de Verwerker zijn genomen, worden vermeld in het document Bijlage B (MBM Beveiligingsoverzicht Systeeminformatie).
4.4 De technische en organisatorische maatregelen zijn onderhevig aan technologische vooruitgang en ontwikkeling. In zoverre is het de Verwerker toegestaan om adequate maatregelen te implementer en als alternatief, beveiliging moet altijd op hetzelfde minimum niveau worden gehandhaafd. Belangrijke veranderingen moeten worden gedocumenteerd.
4.5 Verwerkingsverantwoordelijke moet worden geïnformeerd door de Verwerker, als er belangrijke wijzigingen zijn aan de technische en organisatorische maatregelen.
5.1 Op verzoek zal de Verwerker de Verwerkingsverantwoordelijke assisteren met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de vervulling van de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken van betrokkenen die hun rechten, vastgelegd in de toepasselijke wetgeving uitoefenen,waaronder, maar niet beperkt tot, het omgangsrecht, rectificatie, uitwissing en beperking van verwerking.
5.2 De Verwerker staat, voor zover mogelijk, ook de Verwerkingsverantwoordelijke bij, om te voldoen aan zijn verplichtingen om een 'inbreuk in verband met persoonsgegevens' aan te melden (zoals gedefinieerd in de van toepassing zijnde Wet), een effectbeoordeling van de gegevensbescherming en voorafgaand overleg uit te voeren.
5.3 De Verwerker heeft het recht om de Verwerkingsverantwoordelijke kosten in rekening te brengen als de assistentie maatregelen vereist, welke niet zijn opgenomen in de terugkerende kosten op basis van de Diensten (zie hiervoor Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl).
6.1 De Verwerker moet, indien wettelijk verplicht, een functionaris voor gegevensbescherming in functie stellen.
6.2 De Verwerker garandeert dat de vertrouwelijkheid van gegevens tijdens de verwerking, verzamelen of gebruiken van persoonsgegevens, binnen de voorwaarden van deze Gegevensverwerkingsovereenkomst, wordt gehandhaafd. De Verwerker is verplicht om die werknemers te selecteren die met grote zorgvuldigheid aan de feitelijke Gegevensverwerkingsovereenkomst werken, met name waar de afhandeling van persoons- of gevoelige gegevens vertrouwelijk betreft. De Verwerker moet ervoor zorgen dat deze medewerkers zich bezig houden met gegevensbeveiliging en moeten hun betrouwbaarheid regelmatig
6.3 De Verwerker zal de Gegevensverwerkingsovereenkomst controleren door middel van reguliere beoordelingen met betrekking tot de uitvoering van het contract. Dit geldt in het bijzonder om te voldoen aan eventuele aanpassingen aan regelgevingen noodzakelijk maatregelen voor het uitvoeren van de Gegevensverwerkingsovereenkomst.
6.4 De Verwerker garandeert, dat bewijs kan worden verstrekt aan de Verwerkingsverantwoordelijke van om het even welke technische of organisatorische maatregelen genomen zijn. Dit kan worden aangevuld met actuele attesten, rapporten of delen van rapporten van onafhankelijke instanties (zoals externe of interne auditors, functionarissen voor gegevensbescherming, de IT beveiligingsafdeling, gegevensbescherming auditors of kwaliteitscontroleurs) of huidige passende certificering van een audit van IT - beveiliging of gegevensbescherming.
6.5 Alle personen die toegang hebben tot persoonsgegevens die toebehoren aan de Verwerkingsverantwoordelijke onder de voorwaarden van deze overeenkomst, verbinden zich er toe de vertrouwelijkheid te behouden en worden op de hoogte gebracht van speciale gegevensbeschermingsvereisten die voortvloeien uit deze Gegevensverwerkingsovereenkomst,en de beperking van gebruik voor specifieke doeleinden, zoals geïnstrueerd.
7.1 De Verwerker en de Verwerkingsverantwoordelijke zullen elkaar onmiddellijk op de hoogte brengen van fouten, onregelmatigheden of vermoedelijke inbreuken op bepalingen betreffende de bescherming van persoonsgegevens. Zowel Leverancier als Klant verbinden zich er toe om alle redelijke maatregelen te treffen om eventuele inbreuken onmiddellijk te verhelpen. De Verwerker zal het de Verwerkingsverantwoordelijke melden per e-mail of per telefoon.
7.2 De Verwerker dient Verwerkingsverantwoordelijke onmiddellijk en in ieder geval binnenvierentwintig (24) uur op de hoogte te stellen wanneer Verwerker een inbreuk op de persoonsgegevens detecteert of redelijkerwijs vermoedt dat een inbreuk op de persoonsgegevens heeft plaatsgevonden.
7.3 In het geval van een inbreuk in verband met persoonsgegevens zal de Verwerker onmiddellijk adequate corrigerende maatregelen nemen. Bovendien zal de Verwerker de Verwerkingsverantwoordelijke onmiddellijk van alle relevante informatie, zoals gevraagd door de Verwerkingsverantwoordelijke met betrekking tot de inbreuk op persoonsgegevens, voorzien. De Verwerker werkt volledig samen met de Verwerkingsverantwoordelijke om een reactieplan te ontwikkelen om de inbreuk in verband met persoonsgegevens aan te pakken. In uitoefening van de rechten van de Verwerkingsverantwoordelijke die in het kader hiervan worden verleend, zorgt de Verwerkingsverantwoordelijke ervoor dat zijn gemachtigde auditors en andere vertegenwoordigers de veiligheids- en vertrouwelijkheidsvereisten (inclusief de verplichtingen jegens de ander klanten) van de Verwerker zullen naleven.
7.4 Bij ontdekking of een redelijk vermoeden van een inbreuk in verband met persoonsgegevens, zal de Verwerker, zonder onnodige vertraging, passende herstel maatregelen nemen. Verder zal Verwerker alle redelijke feedback aan de Verwerkingsverantwoordelijke verstrekken en volledig effectief zijn in ondersteuning van de Verwerkingsverantwoordelijke en de (mogelijk) getroffen betrokkenen. De feedback en ondersteuning moet ten minste het volgende omvatten:
a) een beschrijving van de aard en de omvang van de inbreuk in verband met persoonsgegevens, inclusief een inschatting van het aantal betrokken gegevens subjecten (indien mogelijk), vermelding van de soorten persoonsgegevens in kwestie en of dit al dan niet dergelijke persoonsgegevens waren (op passende wijze) gecodeerd of anderszins beveiligd of onbegrijpelijk of ontoegankelijk gemaakt;
b) een beschrijving van de genomen en te nemen preventieve en corrigerende maatregelen, gepland en aanbevolen om mogelijke schade, waaronder een noodplan en de verwachte doorlooptijd;
c) informatie over welke derden, zoals overheidsinstanties ende(sociale)media, zich bewust zijn of kunnen zijn van de inbreuk in verband met persoonsgegevens,
d) de contactgegevens van de gemachtigde vertegenwoordiger (s) van de Verwerker voor met wie de Verwerkingsverantwoordelijke onmiddellijk een regelmatige updates over de status kan verkrijgen van de inbreuk in verband met persoonsgegevens; en,
e) andere informatie die zou kunnen helpen om mogelijke schade of schade aan de organisatie van de Verwerkingsverantwoordelijke te beperken en de privacy van de betreffende onderwerp gegevens.
8.1 Verwerker dient zijn relevante verwerkingssystemen, faciliteiten en ondersteuningsdocumentatie in te dienen bij een inspectie of audit met betrekking tot de verwerking door een bevoegd persoon van een overheidsinstantie indien dit noodzakelijk is om aan een wettelijke verplichting te voldoen. Ingeval van een inspectie of audit moet Leverancier of Klant alle redelijke hulp bieden aan de ander. Als een bevoegde overheidsinstantie de verwerking met betrekking tot de Gegevensverwerkingsovereenkomst onwettig acht, zullen zowel Leverancier als Klant onmiddellijk actie ondernemen om toekomstige naleving van de toepasselijke wetgeving te waarborgen.
8.2 De Verwerker dient Verwerkingsverantwoordelijke onmiddellijk en in elk geval binnenvierentwintig (24) uur op de hoogte te stellen als:
a) het een onderzoek, een dagvaarding of een verzoek om inspectie of audit van een bevoegde overheidsinstantie met betrekking tot de verwerking ontvangt. Behalve wanneer het de Verwerker anderszins wettelijk verboden is om dergelijke openbaarmaking te doen; en
b) het van plan is om persoonsgegevens aan een bevoegde overheidsinstantie bekend te maken, behalve waarde Verwerker het anderszins wettelijk verboden is om dit te doen openbaren.
9.1 Zowel Leverancier als Klant zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
9.2 Enige beperking van de aansprakelijkheid in de Diensten (zie hiervoor Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl) is mutatis mutandis ook van toepassing op deze Gegevensverwerkingsovereenkomst, met dien verstande dat:
a) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en / of verminking van Persoonsgegevens zijn uitgesloten;
b) eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerker, of een aan Verwerker toerekenbaar gedraging of nalaten, zijn uitgesloten
9.3 Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Verwerker en / of diens onderaannemers / subverwerkers in de nakoming van zijn verplichtingen onder deze Gegevensverwerkingsovereenkomst en/of enige schending door Verwerker en /of diens onderaannemers / subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.
9.4 Voor zover zowel Leverancier als Klant hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.
9.5 Voor zover in de Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl geen beperking van aansprakelijkheid voor Verwerkingsverantwoordelijke is opgenomen, geldt de in lid 2 opgenomen beperking voor Verwerker eveneens voor de Verwerkingsverantwoordelijke
9.6 Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.
9.7 Deze aansprakelijkheidsclausule is onderworpen aan het gedeelte 'Beperkte aansprakelijkheid en verzekering' van de Gebruiksvoorwaarden van MeldBedrijfsMisstand.nl.
10.1 Deze Gegevensverwerkingsovereenkomst en alle niet contractuele verbinteniss en die zich in relatie met deze Gegevensverwerkingsovereenkomst voortvloeien, worden beheerst door de Nederlandse Wet.
10.2 Geschillen tussen de Leverancier en Klant met betrekking tot deze Gegevensverwerkingsovereenkomst wordt voorgelegd aan de bevoegde rechter in Nederland.
10.3 Als een bepaling in de Gegevensverwerkingsovereenkomst als ongeldig wordt beschouwd of onvolledig als geheel of in delen, de geldigheid en afdwingbaarheid van de overblijvende bepalingen worden op geen enkele manier beïnvloed of aangetast, verbinden zowel Leverancier als Klant in een dergelijk geval zich er toe deze bepaling wederzijds te vervangen door een geldige bepaling die het beste dient in het economische doel en de wil van zowel Leverancier als Klant.
Bijlagen maken deel uit van deze Gegevensverwerkingsovereenkomst.
Bijlage A- Beschrijving van gegevensverwerkingsactiviteiten
Het Platform is 'freeform'. Er kan op allerlei manieren door de Melder worden gereageerd op de vragen (open tekst velden). Het is ook mogelijk dat er geen persoonsgegevens worden opgenomen in het rapport. De onderstaande persoonsgegevens zouden bijvoorbeeld verwerkt kunnen worden:
- Naam, adres en stad
- Geslacht
- Functie (Titel)
- Nationaliteit
- Administratieve nummers, werknemer nummers
- (Mobiel) telefoonnummer
- Kenmerken van de misstand
- Onderzoeksrapporten
- Genomen maatregelen
- Gezondheid
- Godsdienst
- E-mailadres
Het mogelijk maken van een (anonieme) misstand-rapportage via het Platform. Middels dit systeem is het mogelijk om (anoniem) te communiceren met de Melder.
Personeelsactiviteit en onder toezicht van de Verwerker.
Leverancier, zoals Verwerker het Platform aanbiedt: een web gebaseerd meertalig communicatiesysteem voor het rapporteren van misstanden en het mogelijk maakt om (anoniem) te communiceren met de Melder.
Processen uitgevoerd namens de Verwerker omvatten het beheren van het beveiligde MeldBedrijfsMisstand.nl Platform (servers en software) waardoor de gegevens in rapporten worden verwerkt.
Bijlage B - Overzicht van Platform informatiebeveiliging
Deze bijlage biedt een overzicht van het Platform beveiligingsinformatie beleid en markeert de belangrijke segmenten van het originele document.
Het informatie beveiligingsbeleid definieert en communiceert het standpunt van Leverancier over informatie en over informatiebeveiliging. Het doel is om beveiligingsrisico's en bedreigingen met betrekking tot de vertrouwelijkheid en integriteit van informatie, gebruikt en verstrekt door Leverancier, te reduceren.
Leverancier heeft een klein en toegewijd team van hoogopgeleide medewerkers. Elk teamlid is opgeleid om het belang van veiligheid te begrijpen en dienovereenkomstig te handelen. De medewerkers van Leverancier zijn continu betrokken bij informatiebeveiliging waarmee ze een risico kunnen detecteren of kritische vragen kunnen stellen wanneer er nog tijd is om pro- actief te handelen en risico's te voorkomen.
De belangrijkste richtlijnen en voorschriften vastgelegd in het Informatiebeveiligingsbeleid zijn:
Beveiligingsfunctionaris van Leverancieris verantwoordelijk voor het implementeren en onderhouden van informatiebeveiliging binnen het Platform en om eventuele uitbreiding van dit informatiebeveiligingsbeleid up -to- date te houden. Veiligheidseisen en IT-beheersmaatregelen worden behandeld in overeenkomsten met derden die toegang hebben tot, het verwerken of beheren van informatie - of informatie verwerkingsfaciliteitenbeheren.
Medewerkers, aannemers en externe aannemers van Leverancier begrijpen hun verantwoordelijkheden met betrekking tot informatie beveiliging om het risico van diefstal, fraude of misbruik van faciliteiten te reduceren.
Nieuwe medewerkers van Leverancier worden aangeworven op basis van duidelijke functiebeschrijvingen om de vereiste professionaliteit te garanderen. Leverancier neemt alleen mensen in dienst die de noodzaak van zijn kernwaarden begrijpen, zoals vermeld in de missie van Leverancier, en bereid zijn om ze te omhelzen en te belichamen. Gedrag van potentiële nieuwe medewerkers wordt gecontroleerd met referenties en gescreend door een "certificaat van goed gedrag" aan te vragen. Dit certificaat is afgegeven door het Nederlandse Ministerie van Veiligheid en Justitie. Als het certificaat niet wordt verleend, dan wordt het wervingsproces of - als het contract is ondertekend - onmiddellijk beëindigd.
Elke medewerker krijgt richtlijnen om inzicht te krijgen in de manier waarop Leverancier werkten zaken doet,inclusief de regels en procedures die moeten worden nageleefd. Verschillende documenten moeten worden begrepen en afgemeld op jaarbasis. Zoals het beleid van Leverancier ten aanzien van internet en e-mail, informatie beveiligingshandleidingenbeveiligingsrichtlijnen. Medewerkers en externe aannemers worden bewust gemaakt van hun verantwoordelijkheden met betrekking tot informatie beveiliging en voor een onjuiste omgang met informatie verantwoordelijk zijn. Beiden zijn getraind en betrokken bij het bijgewerkt houden van het Informatie Beveiligingsbeleid. Indien nodig wordt een afzonderlijke vertrouwelijkheidsovereenkomst ondertekend als onderdeel van hun contractuele verplichting jegens onze klanten.
Leverancier beëindigt contracten waarbij de integriteit wordt geschonden. We hebben een formeel disciplinair proces voor werknemers die een inbreuk op de beveiliging hebben begaan. Leverancier heeft een IT-procedure om er voor te zorgen dat de ex-werknemer geen toegang heeft tot enig systeem dat eigendom is van Leverancier. Ook hebben we een exit-checklist om ervoor te zorgen dat bedrijfseigenschappen inclusief IT-activa worden geretourneerd (mobiele telefoon, laptop).
Om ongeautoriseerde fysieke toegang, schade en inmenging in de organisatie van Leverancier te voorkomen, worden alle informatiever werkingsfaciliteiten, informatie opslag plaatsen en apparatuur van Leverancier beschermd tegen veiligheidsrisico's en gevaren voor het milieu.
Wanneer technische apparatuur of gegevens media opnieuw worden geïmplementeerd binnen het bedrijf, worden verwijderd (einde levensloop) of op enige andere manier het bedrijf van Leverancier verlaat, worden alle gegevens veilig gewist.
IT- incidenten die een onderbreking van de dienstverlening veroorzaken, worden tijdig en gecontroleerd opgelost. Ze worden geanalyseerd om structurele problemen te bepalen en op te lossen. Om passende niveaus van informatiebeveiliging en dienstverlening te implementeren en te onderhouden, bevatten ondertekende overeenkomsten met externe serviceproviders alle noodzakelijke beveiligingsvereisten. Veiligheidsaspecten, d.w.z.probleembeheer, beschikbaarheid en verantwoordelijkheid worden aangepakt bij de implementatie van een IT-oplossing binnen MeldBedrijfsMisstand.nl.
Om de integriteit en beschikbaarheid van informatie- en informatiever werkingsfaciliteiten te beschermen tegen “malicious code” en andere bedreigingen, hebben alle computers een actief, bijgewerkte en actuele beveiligingssoftware geïnstalleerd. Back-ups worden regelmatig gemaakt van alle gegevens op alle servers vereist voor het Platform. Om ervoor te zorgen dat de back-up routine werkt zoals gepland en dat beschikbaarheid en integriteit van gegevens tijdig kunnen worden hersteld, wordt herstel van de back-ups minstens eenmaal per jaar getest.
Toegang tot informatie, zakelijke toepassingen en infrastructuur is enkel en alleen beperkt tot bevoegde medewerkers van Leverancier. Om voor traceerbaarheid en niet - afwijzing te zorgen, wanneer informatie wordt gebruikt of veranderd, worden alle gebruikers geïdentificeerd via een unieke gebruikersnaam en wachtwoord in combinatie met een tweetraps authenticatie.
Alleen bevoegde gebruikers krijgen zo toegang tot IT-systemen.
Wacht woorden worden veilig afgehandeld en worden ingesteld in overeenstemming meteen standaard informatie beveiliging voor wachtwoordbeheer. Aan alle geautoriseerde gebruikers worden toegangsrechten toegewezen om hen in staat te stellen met het Platform te kunnen werken. Om opzettelijke of onbedoelde schade te voorkomen, worden het aantal Gebruikers met geprivilegieerde gebruikersrechten zoveel als mogelijk beperkt.
Beveiliging is een integraal onderdeel van onze bedrijfstoepassingen. Alle nieuwe IT-oplossingen worden geëvalueerd of ze voldoen aan functionele beveiligingsvereisten en andere IT-standaarden. Om fouten, verlies, ongeoorloofde toegang, ongeautoriseerde wijziging of misbruik van informatie in informatie systemen te voorkomen, geschikte bedieningselementen, controleproeven en/of activiteitenlogboeken vormen een integraal onderdeel van elk systeem ontwerp.
Routines voor verandermanagement omvatten informatie beveiligingseisen voor het onderhouden van een passend informatie beveiligingsniveau in IT-omgeving van Leverancier. Alleen geplande en geautoriseerde veranderingen zijn geïmplementeerd. Alle wijzigingen zijn getest en goedgekeurd voor dat ze in productie worden genomen. Toegang is beperkt om te voorkomen dat er directe wijzigingen in de productieomgeving worden aangebracht. Noodveranderingen worden op een gecontroleerde manier geïmplementeerd.
Gevoelige productiegegevens die buiten de productieomgeving worden gebruikt voor testen, worden beschermd en gecontroleerd. De productieomgeving is minimaal goed gescheiden van de ontwikkel- en testomgevingen voor alle belangrijke bedrijfsapplicaties, systemen en infrastructuur. Beveiligingspatches en updates worden toegepast bij vrijgave om potentiële beveiliging te ver helpen kwetsbaarheden in software. Beveiligingsinstellingen zijn gedocumenteerd en geïmplementeerd in alle systemen en toepassingen.
Anticiperen op en reageren op inbreuken op de informatie beveiliging wordt gerealiseerd door alle informatiebeveiligingsgebeurtenissen en zwakke punten in verband met bedrijfsapplicaties, systemen en infrastructuur te communiceren. Sta toe dat tijdig corrigerende maatregelen worden genomen.
Alle werknemers en externe gebruikers van informatie diensten noteren en rapporteren alle waargenomen of vermoedelijke beveiligingsincidenten, gebeurtenissen en / of zwakke punten in of bedreigingen voor systemen of services van Leverancier. Informatie over gevoelige beveiligingsincidenten wordt zeer vertrouwelijk gehouden.
Om onderbrekingen in bedrijfsactiviteiten tegen te gaan, kritieke bedrijfsprocessen te beschermen tegen de effecten van grote storingen en om te zorgen voor een tijdige hervatting in het geval van een storing, identificeert Leverancier gebeurtenissen die IT-gerelateerde onderbrekingen van het bedrijf kunnen veroorzaken, samen met de waarschijnlijkheid en impact van dergelijke onderbrekingen en hun gevolgen voor informatie beveiliging, in termen van tijd, schaal van schade en herstel periode. De impact van IT-onderbrekingen op (kritische en onderling afhankelijke) bedrijfsprocessen worden beoordeeld en waar nodig worden maatregelen getroffen.
Alle servers hebben gespiegelde harde schijven. Alle kern servers op de hoofdsite hebben een redundante server.
Wanneer de eerste server uitvalt, zal de redundante server het overnemen. De servers waar op het systeem wordt uitgevoerd, zijn over gedimensioneerd. Op deze manier kunnen we piekbelastingen gemakkelijk aan.
Laatst bijgewerkt: 10 september 2022
