Privacy statement

Privacy Statement

Dataplace heeft op diverse plaatsen in Nederland moderne TIER III-datacenters in beheer. Vanaf deze locaties huisvesten wij voor een diversiteit aan klanten zowel grote als kleine IT-omgevingen. Gebouwd vanuit een duidelijke filosofie – waarin betrouwbaarheid, efficiëntie, duurzaamheid en continuïteit centraal staan – draaien onze datacenters om onze missie te volbrengen: het 24/7 bieden van continuïteit en kwalitatief hoogstaande datacenterdienstverlening. Via deze privacyverklaring wil Dataplace u uitleggen hoe zij als verwerker de Algemene Verordening Gegevensbescherming naleeft. Daarnaast verwerkt Dataplace als zelfstandige verantwoordelijke gegevens over u, uw medewerkers en eventuele leveranciers, als u contact met ons opneemt, onze website bezoekt of als u of uw medewerkers toegang nodig hebben tot één van onze datacenters. Zie daarvoor het tweede deel van deze verklaring.

Dataplace als verwerker

Dataplace biedt organisaties de mogelijkheid hun servers te huisvesten (colocaten) in één van haar vier datacenters in Nederland. Dataplace kan niet bij de persoonsgegevens die opgeslagen zijn op uw servers. Dataplace maakt geen backups, en levert ook geen updates of onderhoud voor het besturingssysteem of de applicaties op uw servers. Eigenlijk doen we dus helemaal niets met de persoonsgegevens op uw servers, en zijn we dus geen verwerker in de zin van de Algemene Verordening Gegevensbescherming. Maar om onzekerheid te voorkomen bij onze klanten over de naleving van de AVG, beschouwen we ons toch als verwerker en sluiten we, indien van toepassing, een verwerkersovereenkomst met u of met een leverancier van u die zijn servers in één van onze datacentra heeft ondergebracht.

Voor de definities van begrippen wordt aangesloten bij artikel 4 van de AVG. Dataplace kan en zal de persoonsgegevens die worden verwerkt via uw servers niet voor eigen doeleinden gebruiken. Dataplace kan de persoonsgegevens uit uw servers ook niet aan derde partijen verstrekken of doorgeven naar derde landen. U bent als klant zelf verwerkingsverantwoordelijke in de zin van de AVG. U moet er dus bijvoorbeeld zelf voor zorgen dat u een grondslag hebt om persoonsgegevens te mogen verwerken, en dat u uw klanten goed en begrijpelijk informeert welke persoonsgegevens u verwerkt, voor welke doeleinden. U bepaalt als klant ook zelf de bewaartermijn van de persoonsgegevens op uw servers.

U bent als klant zelf verwerkingsverantwoordelijke in de zin van de AVG. U moet er dus bijvoorbeeld zelf voor zorgen dat u een grondslag hebt om persoonsgegevens te mogen verwerken, en dat u uw klanten goed en begrijpelijk informeert welke persoonsgegevens u verwerkt, voor welke doeleinden. U bepaalt als klant ook zelf de bewaartermijn van de persoonsgegevens op uw servers.

Technische en organisatorische beveiligingsmaatregelen

Dataplace neemt passende technische en organisatorische maatregelen om uw servers met persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Dataplace zorgt ervoor dat deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG.
Vanuit ons eigen DNA maar ook vanuit onze ISO certificeringen (w.o. ISO27001 en NEN7510) zijn diverse technische en organisatorische maatregelen ingericht. Om gecertificeerd te blijven, is Dataplace verplicht met geplande tussenpozen de maatregelen te toetsen.

Geheimhouding medewerkers
Dataplace is zich ervan bewust dat op de servers van klanten zeer geheime, privacy- en bedrijfsgevoelige gegevens kunnen staan. Daarom moeten alle (vaste en tijdelijke) medewerkers van Dataplace bij indiensttreding een aparte geheimhoudingsovereenkomst tekenen. Bovendien is er een geheimhoudingsbeding opgenomen in de arbeidsovereenkomst. Dataplace praat haar medewerkers daarnaast met geplande tussenpozen bij over het belang van goede naleving van het privacy en security beleid.

Strikt toegangsbeleid
Dataplace hanteert een zeer strikt toegangsbeleid. Dataplace gebruikt zowel fysieke als digitale toegangscontrole, legt vast wie op welke momenten toegang heeft gekregen en het gebouw heeft verlaten, en controleert deze logbestanden regelmatig. De digitale controle bestaat onder andere uit algemeen cameratoezicht, digitale aanmelding voor incidenteel bezoek of de verstrekking van een pasje voor structurele toegangsrechten. Alle bezoekers dienen zich bij de toegangszuil in te schrijven. Aan reguliere bezoekers kan, onder voorwaarden, een toegangspas worden verstrekt.

Inschakelen subverwerkers
Dataplace maakt geen gebruik van subverwerkers. Als Dataplace een ander bedrijf als subverwerker wil inschakelen, zal zij daarvoor eerst toestemming vragen aan de klant of klanten waarvoor dat zou gelden. Als Dataplace een subverwerker inschakelt, zal zij de subverwerker via een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opleggen als die in de overeenkomst met de klant zijn opgenomen. Dat geldt met name voor tot het toepassen van passende technische en organisatorische beveiligingsmaatregelen en voor het eventueel melden van een data incident. Wanneer de subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, zal Dataplace ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk zijn voor het nakomen van de verplichtingen van de subverwerker.

Omgang met data incidenten

Dataplace registreert alle security incidenten en handelt deze volgens een vaste procedure af. Het naleven van registratie en afhandeling van security incidenten wordt periodiek getoetst. Daarnaast worden incidenten geanalyseerd in het kader van continu verbetering van onze organisatie. Dit willen wij zelf, maar is ook een verplichting vanuit ISO27001 en NEN7510 certificering. Dataplace zal u als klant juist, tijdig en volledig informeren over relevante data incidenten, zodat u als verwerkingsverantwoordelijke aan uw wettelijke verplichtingen kunt voldoen om een eventueel datalek te melden bij de Autoriteit Persoonsgegevens en eventueel ook de mensen die te informeren die het raakt (de betrokkenen).

Dataplace zal de contactpersoon van het abonnement informeren over het mogelijke datalek. Het is uw taak als verantwoordelijke om de naam en contactgegevens van uw contactpersoon actueel te houden via het klantenportaal van Dataplace.

Voorbeelden van data incidenten zijn het onherstelbaar beschadigd raken van harde schijven, diefstal van gegevens op servers na een fysieke inbraak of geslaagde hack in het datacenter of een calamiteit zoals brand in een datacenter.

Dataplace probeert u direct, uiterlijk binnen 48 uur, alle informatie te verstrekken die u nodig heeft om - indien nodig - een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Dataplace wordt onderzocht, dan zal Dataplace u in ieder geval zo snel mogelijk de informatie verstrekken die u nodig heeft om zelf binnen de vereiste 72 uur een voorlopige melding te kunnen doen bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen informeren. Dataplace vertelt u in ieder geval de aard van de (mogelijke) inbreuk, waar mogelijk een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de door u te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.

Dataplace zal u (uw contactpersoon) op de hoogte houden over de voortgang en de maatregelen die getroffen worden. In ieder geval houdt Dataplace u op de hoogte in geval van een wijziging van de situatie en het bekend worden van nadere informatie.

Indien u als klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Dataplace, terwijl zonder meer duidelijk voor u is dat bij Dataplace geen sprake is van een datalek dan bent u aansprakelijk voor alle door Dataplace geleden schade en kosten. U bent daarnaast verplicht een dergelijke melding direct in te trekken.

Dataplace als zelfstandige verantwoordelijke

Dataplace respecteert uw privacy, en zorgt ervoor dat alle persoonlijke informatie die u ons zelf geeft, of die wij over uw verzamelen, vertrouwelijk wordt behandeld.
U verstrekt zelf persoonsgegevens aan Dataplace als u telefonisch en per e-mail contact met ons opneemt, als u persoonsgegevens over uzelf invoert via het klantcontactportaal en als u een van onze datacenters bezoekt. Daarnaast verzamelt Dataplace persoonsgegevens over u als u de website bezoekt, als uw werkgever of opdrachtgever toegang voor u aanvraagt tot een datacenter en als u het datacentrum bezoekt. Dataplace verwerkt eigenlijk alleen de persoonsgegevens die noodzakelijk zijn om de overeenkomst met u aan te kunnen gaan en uit te voeren. Als dat moet van de wet, zal Dataplace ook persoonsgegevens verstrekken aan bevoegde autoriteiten. En als Dataplace u nieuwsbrieven wil versturen of via volgcookies persoonsgegevens verwerkt, zullen wij u eerst om specifieke toestemming vragen.

Soorten persoonsgegevens
Dataplace verzamelt zo min mogelijk gegevens van en over haar klanten. Dataplace verzamelt voornamelijk contact- en betalingsgegevens. Dataplace verzamelt géén bijzondere persoonsgegevens van klanten, zoals bedoeld in artikel 9 of 10 van de AVG.
De gegevens die benodigd zijn om (tijdelijke) toegang tot het Datacenter te verkrijgen, zijn:

  • Uw volledige naam
  • Uw geboortedatum
  • Uw mobiele telefoonnummer
  • Uw e-mail adres
  • Het nummer van uw identiteitsbewijs
  • Een kopie van uw identiteitsbewijs
  • De vervaldatum van uw identiteitsbewijs
  • Uw vingerafdruk (niet van toepassing bij begeleide toegang)

Na authenticatie wordt scan van uw ID bewijs verwijderd. Andere informatie wordt versleuteld in onze systemen opgeslagen. Na het verlaten van het Datacenter worden uw vingerafdrukken verwijderd. Een maand na uw bezoek wordt het documentnummer en de vervaldatum verwijderd. Na 12 maanden worden ook uw naam en geboortedatum uit onze systemen verwijderd.

Als u klant bent geworden, kunt u via ons klantenportal gegevens van uw medewerkers of leveranciers invullen, om hen toegang te verlenen tot het datacenter. De benodigde gegevens m.b.t toegang tot het Datacenter zijn gelijk aan de lijst hier boven.

BSN Nummers worden nooit overgenomen en/of opgeslagen.

Doeleinden
Samengevat, Dataplace verwerkt de genoemde persoonsgegevens voor de volgende vier doeleinden:

  1. Geautoriseerde vertegenwoordigers van onze klanten toegang bieden tot hun eigen serverapparatuur in één van onze datacentra
  2. Uitvoering van de dienstverlening zoals contractueel met u afgesproken
  3. Facturen opstellen en verzenden
  4. Serviceberichten versturen per e-mail (geen direct marketing)

Grondslagen
De belangrijkste grondslag voor de meeste verwerkingen van persoonsgegevens is de noodzaak om de overeenkomst tot stand te brengen en uit te voeren. Dat geldt ook voor het verzenden van serviceberichten per e-mail. Alleen als Dataplace daartoe wettelijk verplicht is, zal zij persoonsgegevens verstrekken op verzoek van autoriteiten zoals de Stichting Autoriteit Financiële Markten, de Europese Centrale Bank of de Nederlandsche Bank N.V.. Zij kunnen persoonsgegevens nodig hebben voor uitvoering van hun taak uit hoofde van de Wft. Het is ook mogelijk dat Dataplace de dienstverlening beëindigt op last van de opsporingsautoriteiten. In die gevallen verwerkt Dataplace persoonsgegevens op de grondslag van het moeten voldoen aan een wettelijke verplichting. Indien Dataplace gezamenlijk verantwoordelijk is met andere organisaties voor de verwerking van persoonsgegevens door het laten plaatsen en uitlezen van tracking cookies, zal Dataplace mede namens deze andere organisatie eerst uw specifieke toestemming vragen.

Personeel en verwerkers Zoals toegelicht in het eerste deel van deze privacyverklaring, vindt Dataplace het belangrijk dat alle medewerkers zorgvuldig omgaan met de persoonsgegevens van klanten. Daarom laat Dataplace alle (vaste en tijdelijke) medewerkers bijvoorbeeld een aparte geheimhoudingsovereenkomst tekenen.

Daarnaast heeft Dataplace verwerkersovereenkomsten gesloten met leveranciers die namens ons persoonsgegevens van klanten verwerken, bijvoorbeeld als het gaat om facturering, toegangscontrole, kantoorautomatisering en softwareontwikkeling op de klantenportal.

Doorgifte
De persoonsgegevens via verwerkers of zelfstandige verantwoordelijken worden niet buiten de EU gebracht.

Beveiliging en omgang met datalekken
Dataplace zal datalekken in haar eigen systemen en systemen van haar verwerkers en leveranciers bij twijfel altijd melden bij de Autoriteit Persoonsgegevens, en ook bij betrokkenen. Om te bepalen of sprake is van een datalek, gebruikt Dataplace de AVG en de richtsnoeren van de Europese toezichthouders over datalekken. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking.
Dataplace zal mogelijke datalekken binnen 72 uur melden bij de AP. Dataplace zorgt ervoor dat haar medewerkers in staat zijn om een datalek te constateren. Dataplace verwacht van haar verwerkers en opdrachtnemers dat zij Dataplace in staat stellen om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Dataplace, dan meldt Dataplace dit uiteraard ook aan u als klant. Dataplace is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met leveranciers of verwerkers van Dataplace.

Uw rechten op basis van de verwerking van persoonsgegevens
Onder de Algemene verordening gegevensbescherming (AVG) heeft u mogelijkheden om voor zichzelf op te komen als persoonsgegevens worden verwerkt, namelijk:

  • Het recht op dataportabiliteit. Het recht om persoonsgegevens over te dragen
  • Het recht op vergetelheid. Het recht om ‘vergeten’ te worden
  • Recht op inzage. Dat is het recht van mensen om de (uw) persoonsgegevens die verwerkt worden in te zien.
  • Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen.
  • Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
  • Het recht om bezwaar te maken tegen de gegevensverwerking

Hoe kunt u contact met ons opnemen?
Wanneer u meer informatie wilt, of zelfs een klacht heeft over het gebruik van en/of omgang met uw persoonsgegevens, kunt u altijd bij ons terecht. Neemt u hiervoor contact op met de kwaliteitsmanager binnen Dataplace.

COOKIE VERKLARING

Dataplace gebruikt cookies op haar website voor een goed werkende website en om inzicht te verkrijgen in het gebruik van haar website. Lees hiervoor onze cookieverklaring op www.dataplace.eu/cookiebeleid