Algemene informatie

  1. Dit Data Pro Statement is opgesteld door de volgende data processor (verwerker):
    DataMask B.V., gevestigd te Capelle aan den IJssel (2908LW) aan de Ligusterbaan 16a.

    Voor vragen over dit Data Pro Statement of dataprotectie kan contact opgenomen worden met: Leonard van der Leeden (jurist en mede-eigenaar)

    privacy@datamask.nl, algemeen telefoonnummer: 010 - 258 14 88, incidenten: 06 - 146 790 79

  2. Dit Data Pro Statement geldt vanaf:
    20 februari 2023
    Dit Data Pro Statement en de daarin omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij houden u op de hoogte van nieuwe versies via onze normale kanalen, in ieder geval op datamask.nl en het bij onze bekende contactpersoon voor privacy, zoals opgenomen in de verwerkersovereenkomst.

  3. Dit Data Pro Statement is van toepassing op de volgende producten en diensten van data processor
    a. SaaS-applicatie: DataMask en,
    b. Dienstverlening: Anonimiseren-as-a-Service.

    1. Omschrijving product: DataMask-applicatie
      DataMask is een softwareapplicatie waarmee allerlei verschillende documenten van de verwerkingsverantwoordelijke geanalyseerd worden, om deze te voorzien van suggesties aan gebruikers ten behoeve van anonimiseren of maskeren. Bij het definitief maken van de keuzes van de gebruiker wordt geautomatiseerd een nieuw document gegenereerd waarbij de te anonimiseren data definitief uit het document zijn verwijderd. De applicatie is geschikt om meerdere documenten tegelijkertijd te anonimiseren alsook om de juridische verantwoording toe te voegen die samenhangt met de gemaakte keuze. Voor een meer gedetailleerde beschrijving en alle functionaliteiten verwijzen wij graag naar de offerte van DataMask, welke onderdeel uitmaakt van de overeenkomst, alsmede de website: www.datamask.nl.

    2. Omschrijving dienst: Anonimiseren-as-a-Service
      DataMask biedt de mogelijkheid om het anonimiseren van documenten van de opdrachtgever uit te besteden aan DataMask medewerkers. Als de opdrachtgever bijvoorbeeld een opdracht heeft die op korte termijn moet worden afgerond of een zeer omvangrijke anonimiseringsklus (via bijvoorbeeld een Woo-verzoek), die een te grote impact zou hebben op de eigen organisatie, dan kan DataMask de opdrachtgever volledig ontzorgen in dit proces. Het uitbesteden van dit proces aan DataMask is daarnaast ook uitermate geschikt voor organisaties die nog niet veel ervaring hebben met dergelijke werkzaamheden. Voor een procesmatige beschrijving van deze dienstverlening verwijzen wij graag naar de offerte van DataMask, welke onderdeel uitmaakt van de overeenkomst, alsmede de website: www.datamask.nl.

  4. Beoogd gebruik
    De producten en diensten van DataMask zijn ontworpen en ingericht om er de volgende soort gegevens mee te verwerken:
    Alle mogelijke gegevens die voorkomen in de documenten die door opdrachtgever dienen te worden geanonimiseerd en vervolgens gepubliceerd.

    • Bij dit product/deze dienst is rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers.

    • Het verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

  5. Data processor heeft bij het ontwerpen van het product/de dienst privacy by design/privacy by default op de volgende wijze toegepast:
    Bij onze SaaS-applicatie om documenten te anonimiseren staat privacy als vanzelfsprekend hoog in het vaandel. We hebben zowel privacy by design als privacy by default principes geïmplementeerd om ervoor te zorgen dat de gegevens van onze gebruikers en de gegevens die zijn opgenomen in de aangeboden documenten beschermd zijn.

    Privacy by design houdt in dat we vanaf het begin van de ontwikkeling van onze applicatie rekening hebben gehouden met de gegevensbeschermingsprincipes en wetgeving. We hebben ervoor gezorgd dat privacy-implicaties standaard zijn opgenomen in ons ontwerp- en doorontwikkelproces, en dat we steeds state-of-the-art technologieën implementeren die de privacy van onze gebruikers en andere betrokkenen beschermen. Enkele voorbeelden hiervan zijn:

    • Gegevensversleuteling: We gebruiken encryptie (SSL/TLS) om de gegevens van onze gebruikers te beschermen tegen ongeautoriseerde toegang. Dit betekent dat de gegevens alleen toegankelijk zijn voor geautoriseerde gebruikers die over de juiste sleutels beschikken.

    • Toegangscontroles: Single Sign On (SSO) en Multi factor authenticatie (MFA) zijn geïmplementeerd om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de gegevens van gebruikers.

    • Audit-trails: Het bijhouden van gedetailleerde logs van alle gebruikersactiviteiten helpt ons bij het identificeren van potentiële beveiligingsbedreigingen en het handhaven van de privacy van gegevens.

    • Automatisch beleid voor gegevensbewaring: Het implementeren van beleid over hoe lang gebruikersgegevens worden bewaard, zorgt ervoor dat onnodige gegevens worden verwijderd en niet langer worden bewaard dan nodig is. DataMask past dit standaard toe, door aan nieuwe documenten direct een bewaartermijn te koppelen (van standaard maximaal 30 dagen) evenals aan afgeronde documenten (van standaard maximaal 7 dagen).

    • Scheiding van gegevens: Het standaard scheiden van gegevens die toebehoren aan verschillende gebruikers en/of klanten helpt ons bij het beschermen van privacy en het voorkomen van datalekken.

    Privacy by default betekent voor DataMask dat we standaardinstellingen hebben gecreëerd die de privacy van onze gebruikers en betrokkenen waarborgen. We hebben ervoor gezorgd dat de meest beschermende privacy-instellingen de standaardinstellingen zijn, zodat onze gebruikers niet hoeven te worstelen met het aanpassen van hun privacy-instellingen om hun gegevens te beschermen. Enkele voorbeelden van onze privacy by default maatregelen zijn:

    • Gegevensminimalisatie: We minimaliseren de gegevens die we verzamelen tot alleen wat strikt noodzakelijk is om de dienst te verlenen. Dit betekent dat we geen overbodige gegevens verzamelen die de privacy van onze gebruikers in gevaar zouden kunnen brengen.

    • Standaardinstellingen voor privacy: We hebben standaardinstellingen die de privacy van onze gebruikers beschermen. Dit betekent bijvoorbeeld dat we alle tracking- en advertentiecookies standaard blokkeren en dat we geen persoonlijke gegevens delen met derden zonder de uitdrukkelijke toestemming van onze gebruikers.

  6. Data Processor gebruikt niet de Standaardclausules voor verwerkingen, maar gebruikt in plaats daarvan de Standaard verwerkersovereenkomst gemeenten van de Vereniging van Nederlandse Gemeenten (VNG) / Informatiebeveiligingsdienst voor gemeenten (IBD) welke als bijlage bij de Overeenkomst te vinden zijn. Bij andere opdrachtgevers dan gemeenten wordt de standaard van de opdrachtgever gehanteerd.

  7. Data processor verwerkt de persoonsgegevens van zijn opdrachtgevers binnen de EU/EER.

  8. Data processor maakt gebruik van de volgende sub-processors:

    Microsoft Corporation 34061536 Microsoft Azure Server omgeving ten behoeve van de herkenning van entiteiten in tekst in samenwerking / combinatie met eigen (AI-) technieken van DataMask.
    TransIP 24345899 Hosting / Cloud Hosting van serveromgeving DataMask. Toepassing van de eigen persoonlijke VPS voor verwerkings-verantwoordelijke binnen deze serveromgeving.
  9. [Optie:] Data processor ondersteunt opdrachtgever op de volgende manier bij verzoeken van betrokkenen:
    Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, helpt Data Processor de Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen. Data processor stelt samen met de opdrachtgever een exitplan op waarin is voorzien in de wijze waarop het dataportabiliteit wordt vormgegeven bij een einde van de hoofdovereenkomst.

  10. Data processor zal op de volgende wijze medewerking verlenen aan Data Privacy Impact Assessments:
    Data processor heeft een standaard Data Privacy Impact Assessment (DPIA) uitgevoerd op de DataMask software, waarvan voor of bij het sluiten van de overeenkomst een afschrift wordt verstrekt. De verwerkingsverantwoordelijke voert naar eigen inzicht haar DPIA uit en kan daarbij het verstrekte model raadplegen. Als standaard onderdeel van het DataMask implementatieplan wordt een meeting belegd waarin partijen met elkaar de (uitvoering van de) DPIA bespreken.

  11. Na beëindiging van de Overeenkomst met een opdrachtgever verwijdert data processor de persoonsgegevens die hij voor opdrachtgever verwerkt in principe binnen 1 maand op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible).
    Documenten die aan DataMask zijn toegevoegd hebben standaard een bewaar-/vernietigingstermijn van 30 dagen, na deze termijn worden de persoonsgegevens die zijn opgenomen in deze documenten definitief vernietigd. Persoonsgegevens van medewerkers van de opdrachtgever (zoals gebruikersgegevens) worden bij het verwijderen van de klantomgeving (uiterlijk binnen 30 dagen) vernietigd.

Beveiligingsbeleid

  1. Data processor heeft de volgende beveiligingsmaatregelen genomen ter beveiliging van zijn product of dienst:
    Hierna volgt een samenvatting van genomen beveiligingsmaatregelen. Het volledige beveiligingsbeleid kan worden ingezien door de opdrachtgever.

    DataMask kan specifieke maatregelen nemen op instructie van de opdrachtgever en er vindt standaard een IT-meeting plaats om de implementatie van de software te bespreken en specifieke beveiligingsmaatregelen op de eigen instantie van de opdrachtgever af te stemmen.

    • Gegevensbeveiliging:
      • Gebruik van encryptie
        • Versleuteling van gegevens om te voorkomen dat onbevoegde partijen deze kunnen lezen.
      • Gegevensversleuteling in rust
        • Versleuteling van gegevens terwijl deze worden opgeslagen om te voorkomen dat onbevoegde partijen toegang krijgen tot de gegevens, zelfs als ze de opslagmedia stelen.
      • Beperking van externe toegang
        • Beperking van toegang tot gevoelige gegevens vanaf externe locaties, bijvoorbeeld door het gebruik van VPN's.
      • Beperking van externe toegang
        • Beperking van toegang tot gevoelige gegevens vanaf externe locaties, bijvoorbeeld door het gebruik van VPN's.
      • Gebruik van beveiligde protocollen
        • HTTPS-verbindingen (SSL/TLS vanaf 1.2) en andere beveiligde protocollen om gegevens over het netwerk te verzenden.
      • Beperking van toegangsrechten
        • Gebruikers hebben alleen toegang tot de gegevens die ze zelf nodig hebben om hun werk te doen.
    • Gebruikersbeveiliging:
      • Sterke authenticatie
        • Het gebruik van meerdere factoren om de identiteit van de gebruiker te verifiëren, zoals een wachtwoord en een verificatiecode.
      • Monitoring van gebruikersactiviteiten
        • Het bijhouden van gebruikersactiviteiten om verdachte activiteiten te identificeren.
    • Netwerkbeveiliging:
      • Firewall
        • Een netwerkbeveiligingssysteem dat het verkeer controleert en ongewenste toegang blokkeert.
      • IP-whitelisting
        • Een (optionele) beveiligingsmaatregel waarbij alleen specifieke IP-adressen toegang krijgen tot de software van DataMask.
      • Patch management
        • Het up-to-date houden van software om bekende beveiligingsproblemen te verhelpen.
      • Gebruik van antivirussoftware
        • Software die wordt gebruikt om malware en andere bedreigingen te detecteren en te verwijderen.
  2. Data processor heeft zich geconformeerd aan het volgende Information Security Management System (ISMS):
    • NEN-ISO 27001
    • Baseline Informatiebeveiliging Overheid
  3. Data processor heeft de volgende certificeringen:
    • Data Pro Certificate (in audit-fase)
    • ISO 27001 (in audit-fase)

Datalekprotocol

  1. In geval er toch iets mis gaat, hanteert data processor het volgende datalekprotocol om ervoor te zorgen dat opdrachtgever op de hoogte is van incidenten: Data processor zal Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk binnen 24 uur, informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. Verwerker vermeldt hierbij voor zover bekend:

    • de vermeende oorzaak van de (vermoedelijke) Inbreuk
    • de categorie persoonsgegevens
    • de categorie betrokkenen en,
    • het aantal betrokkenen.

    In geval van een Inbreuk neemt data processor zonder onredelijke vertraging alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.

    Data processor heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen, deze zijn opgenomen in het Privacy management systeem: Trustbound. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.

    Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene. Data processor ondersteunt de Verwerkingsverantwoordelijke waar nodig bij de melding aan de toezichthoudende autoriteit en/of Betrokkene. Bij een inbreuk zijn de contactgegevens:

    Leonard van der Leeden (leonard@datamask.nl / privacy@datamask.nl - 0614679079) op als contactpersoon van de data processor.