Elvy levert een standaard softwareapplicatie en daarbij passende dienstverlening. Hiervoor is een standaard verwerkersovereenkomst opgesteld tussen Elvy en klant. Deze verwerkersovereenkomst is onlosmakelijk verbonden met de overeenkomst geldend bij jouw Elvy licentie. Elvy zal om deze reden geen andere verwerkersovereenkomst accepteren.
Elvy verwerkt onder andere persoonsgegevens voor, en in opdracht van, de klant. Elvy en de klant zijn daarom volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om een Verwerkersovereenkomst te sluiten. Volgens de AVG is Elvy 'verwerker' en is de klant 'verwerkingsverantwoordelijke'. In deze Verwerkersovereenkomst staat ook hoe Elvy met de meldplicht datalekken omgaat.
Verwerkersovereenkomst
Elvy en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij artikel 1 van de AVG. Elvy zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst. Elvy heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak (gezien de aard van de door de klant verstrekte opdracht), expliciete toestemming van de klant of wettelijke verplichting, zal Elvy de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
Elvy neemt passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met Elvy tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. Elvy zal, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V., op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht Elvy de subverwerker, zoals hieronder benoemd, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders. De klant zal alle kosten in verband met deze controle dragen.
De Autoriteit Persoonsgegevens zal eerst aan de verwerkersverantwoordelijke een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De verwerkersverantwoordelijke zal Elvy direct op de hoogte stellen van deze bindende aanwijzing. Elvy zal er alles aan doen, wat in redelijkheid van haar verwacht kan worden, om de naleving mogelijk te maken. Als Elvy niet doet wat in redelijkheid van haar gevraagd kan worden, waardoor er een boete volgt - of als de Autoriteit Persoonsgegevens direct een boete oplegt, omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Elvy - dan geldt de toepasselijke aansprakelijkheidsbeperking als genoemd in het hoofdstuk Aansprakelijkheid van de Algemene Voorwaarden niet.
Subverwerker
Elvy is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker, waarbij de aansprakelijkheidsbeperking uit het hoofdstuk Aansprakelijkheid van de Algemene Voorwaarden geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. Elvy is niet aansprakelijk in geval van overmacht (zoals gedefinieerd in het hoofdstuk Aansprakelijkheid van de Algemene Voorwaarden) aan de kant van de subverwerker.
Elvy zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan, indien hij dat nodig acht, bezwaar maken tegen de subverwerker bij Elvy en in het uiterste geval heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Privacy en geheimhouding
Elvy is zich bewust dat de informatie die de klant met Elvy deelt en opslaat binnen Elvy Online een geheim en bedrijfsgevoelig karakter heeft. Alle Elvy medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.
Medewerkers met toegang tot klantgegevens
Systeembeheerders van Elvy Online hebben volledige toegang tot de klantgegevens voor:
- Het plaatsen van een nieuwe versie;
- Het doorvoeren van patches en hotfixes;
- Het maken van een back-up;
- Het verplaatsen van een omgeving.
Consultants, Supportmedewerkers en andere Elvy medewerkers hebben alleen toegang tot de klantgegevens waar zij toestemming voor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.
Gegevens
Elvy verzamelt geanonimiseerde gegevens over het gebruik van haar producten. Deze gegevens ondersteunen Elvy om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren.
Datacenters
De datacenters waar de servers van Elvy Online gehuisvest zijn, bevinden zich uitsluitend in Nederland (Rotterdam). De datacenters vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn ISO 27001 gecertificeerd. Elvy heeft gekozen voor datacenters van I3D.net en deze is hiermee subverwerker van de klantdata. Persoonsgegevens worden door Elvy en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Elvy zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Elvy als verwerker de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Bepaling datalek
Voor het bepalen van een datalek, gebruikt Elvy de AVG en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden, een malwarebesmetting of een calamiteit zoals brand in een datacenter.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Elvy, terwijl zonder meer voor de klant duidelijk is dat bij Elvy geen sprake is van een datalek, dan is de klant aansprakelijk voor alle door Elvy geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Melding aan de klant
Indien blijkt dat bij Elvy sprake is van een datalek, dat door de klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zal Elvy de klant daarover zo spoedig mogelijk informeren nadat Elvy bekend is geworden met het datalek. Om dit te realiseren zorgt Elvy ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Elvy van haar opdrachtnemers dat zij Elvy in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Elvy, dan meldt Elvy dit uiteraard ook. Elvy is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Elvy.
Informeren klant (contactpersoon instellen)
In eerste instantie zal Elvy de contactpersoon van het abonnement informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan kan dit worden aangepast door een mail te sturen naar info@elvy.nl.
Informatie verstrekken
Elvy probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Elvy wordt onderzocht, dan zal Elvy de klant de informatie verstrekken die de klant nodig heeft om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen verrichten.
Hierbij volgt Elvy de informatielijst uit de eerdergenoemde beleidsregels. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Elvy informeert de klant daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat de klant tijdig de melding kan doen bij de Autoriteit Persoonsgegevens.
Voortgang en maatregelen
Elvy zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Elvy maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Elvy de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Juist, tijdig en volledig
Elvy registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.