Algemene beschrijving van de technische en organisatorische maatregelen volgens artikel 32, lid 1 van de AVG

Verantwoordelijke: eGroup smart business B.V., Spaces Zuidas II, Barbara Strozzilaan 101, 1083 HN, Amsterdam

Status: 03/2025

1. Toegangscontrole

Verplichting van de opdrachtnemer om onbevoegden de toegang tot gegevensverwerkingssystemen, waarin de contractgegevens worden verwerkt, te weigeren (toegangscontrole).

Implementatie door: Alarminstallatie, inschakeling van een externe beveiligingsdienst, transponder-sluissysteem, videobewaking van de toegangen, intercomsystemen bij ingangen, bewegingssensoren, zorgvuldige selectie van schoonmaak- en beveiligingspersoneel, algemene "No-Visitors-Policy", voor uitzonderingen gebruik van bezoekerspasjes.

2. Toegangscontrole
Verplichting van de opdrachtnemer om te voorkomen dat gegevensverwerkingssystemen door onbevoegden kunnen worden gebruikt, met name door het gebruik van versleutelingstechnieken die voldoen aan de actuele stand van de techniek (toegangscontrole).

Implementatie door: veilige wachtwoorden (volgens vastgestelde regels) voor gebruikersaccounts; automatische vergrendelingsmechanismen; tweefactorauthenticatie; versleuteling van databases en datadragers, VPN- of TLS-verbindingen met gebruikersnaam en wachtwoord.

3. Toegangscontrole
Verplichting van de opdrachtnemer om ervoor te zorgen, met name door het gebruik van authenticatie- en versleutelingstechnieken die voldoen aan de actuele stand van de techniek, dat degenen die bevoegd zijn om een gegevensverwerkingsysteem te gebruiken, uitsluitend toegang hebben tot de contractgegevens waarvoor ze gemachtigd zijn, deze alleen op verzoek van de opdrachtgever verwerken, en dat contractgegevens niet onbevoegd kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens de verwerking (toegangscontrole).

Implementatie door: autorisatieconcepten en op behoeften gebaseerde toegangsrechten; registratie van toegangspogingen; authenticatie- en versleutelingstechnieken; veilige wachtwoorden; automatische vergrendelingsmechanismen.

4. Doorgiftecontrole
Verplichting van de opdrachtnemer om ervoor te zorgen, met name door het gebruik van authenticatie- en versleutelingstechnieken die voldoen aan de actuele stand van de techniek, dat contractgegevens tijdens elektronische overdracht of transport niet onbevoegd kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd, en dat kan worden gecontroleerd en vastgesteld waar een overdracht van contractgegevens plaatsvond via gegevensoverdrachtsfaciliteiten (doorgiftecontrole).

Implementatie door: versleuteling; Virtual Private Networks (VPN); elektronische handtekening.

5. Invoegcontrole
Verplichting van de opdrachtnemer om ervoor te zorgen dat achteraf kan worden gecontroleerd en vastgesteld of en door wie contractgegevens in gegevensverwerkingssystemen zijn ingevoerd, gewijzigd, overgedragen of verwijderd (invoegcontrole), en dat contractgegevens altijd aan hun oorsprong kunnen worden toegewezen (authenticiteitscontrole).

Implementatie door: registratie; documentbeheer; documentatie van in- en uitgaande gegevens.

6. Beschikbaarheidscontrole
Verplichting van de opdrachtnemer om ervoor te zorgen dat contractgegevens beschermd zijn tegen toevallige of opzettelijke vernietiging of verlies (beschikbaarheidscontrole). Dit omvat met name de waarborging van de robuustheid van systemen en diensten, de opslag van contractgegevens volgens de principes van juiste gegevensback-up en regelmatige gegevensback-ups, inclusief regelmatige back-ups, in de benodigde omvang.

Implementatie door: schrijfbescherming / versiebeheer; back-upstrategie, ononderbroken stroomvoorziening (UPS); virusscanner; firewall; systeemonderhoud / belastingstests; updates; meldingssystemen en noodplannen.

7. Scheidingcontrole
Verplichting van de opdrachtnemer om ervoor te zorgen dat contractgegevens die voor verschillende doeleinden zijn verzameld, gescheiden kunnen worden verwerkt (scheidingcontrole).

Implementatie door: gescheiden toegangsrechten.

8. Implementatiecontrole
Verplichting van de opdrachtnemer om ervoor te zorgen dat de beginselen van gegevensbescherming effectief worden geïmplementeerd en de noodzakelijke waarborgen worden opgenomen in de verwerking om te voldoen aan de privacyvereisten en de rechten van betrokkenen te beschermen.

Implementatie door: instructie en training van medewerkers; controles / steekproeven.

9. Effectiviteitscontrole
Verplichting van de opdrachtnemer om een procedure te implementeren voor regelmatige controle, evaluatie en beoordeling van de effectiviteit van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

Implementatie door: volledige, actuele en transparante documentatie van gegevensverwerkingsprocessen; privacybeheer; incident-responsbeheer; belastingstests / steekproeven / gesimuleerde aanvallen "van buitenaf"; aanpassingen aan de stand van de techniek (updates, trainingen).

10. Opdrachtcontrole
Verplichting van de opdrachtnemer om ervoor te zorgen dat persoonsgegevens alleen worden verwerkt in overeenstemming met de instructies van de opdrachtgever en dat ontvangen instructies onmiddellijk worden uitgevoerd.

Implementatie door: duidelijke contractvorming; instructie van medewerkers; formeel opdragsbeheer; zorgvuldige selectie van de dienstverlener; verplichting voorafgaand aan overtuiging; nazorgcontroles.