Crolox verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst met Crolox heeft. Crolox en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Crolox is in deze de ‘verwerker’ en de klant de ‘verwerkingsverantwoordelijke’. Crolox en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Crolox zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.
Instructies verwerking
De verwerking bestaat uit het beschikbaar stellen van de Crolox applicaties met de door de klant ingevoerde en gegenereerde data. Crolox zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar schriftelijke instructie voor gegeven heeft. Die instructie kan via een verzoek aan de helpdesk of kan via de applicatie worden gegeven.
Binnen de applicaties, die Crolox beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. Crolox is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat Crolox deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die Crolox doet.
Crolox verzamelt geanonimiseerde gegevens over het gebruik van haar producten en diensten. Deze gegevens ondersteunen Crolox om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren. Crolox zal de verzamelde gebruikersstatistieken nooit gebruiken voor commerciële doeleinden of aanbieden aan derde partijen.
Geheimhoudingsplicht
Crolox is zich bewust dat de informatie die de klant met Crolox deelt en opslaat binnen Crolox, een geheim en bedrijfsgevoelig karakter heeft. Alle Crolox-medewerkers zijn via hun arbeidsovereenkomst verplicht eventuele gegevens van de klant strikt geheim te houden.
Medewerkers met toegang tot klantgegevens
Alleen systeembeheerders en helpdeskmedewerkers van Crolox hebben volledige toegang tot de klantgegevens voor:
- het plaatsen van een nieuwe versie;
- het doorvoeren van patches en hotfixes;
- het maken van een back-up;
- het verplaatsen van een gegevens binnen het Crolox domein;
- het geven van ondersteuning op de helpdesk.
Beveiliging
Crolox neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Crolox is daarvoor ISO27001 gecertificeerd. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. Crolox zal bijstand verlenen aan de klant bij het doen nakomen van de op de klant rustende verplichtingen op grond van de AVG en andere toepasselijke wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens.
De klant is gerechtigd om in overleg met Crolox tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.
Crolox zelf wordt jaarlijks extern geaudit in het kader van de ISO27001 en de NEN7510. Deze kosten worden door Crolox zelf gedragen.
Crolox is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit het hoofdstuk Aansprakelijkheid geldt. Crolox kan geen beroep doen op een aansprakelijkheidsbeperking ten aanzien van een verhaalsactie op grond van artikel 82 van de AVG.
Indien de Nederlandse Autoriteit Persoonsgegevens (AP) aan de klant een bindende aanwijzing zal geven dient de klant Crolox direct op de hoogte stellen van deze bindende aanwijzing. Crolox zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Crolox niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Crolox, dan geldt de toepasselijke aansprakelijkheidsbeperking als hiervoor genoemd in het hoofdstuk Aansprakelijkheid niet.
Subverwerkers
Crolox verwerkt de klantdata in datacenters van Previder B.V. en deze is hiermee subverwerker. De datacenters waar Crolox gebruik van maakt bevinden zich uitsluitend in Nederland (Hengelo (ov)) en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door Crolox en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte. Crolox heeft aan de subverwerker(s) dezelfde verplichtingen opgelegd als die voor haarzelf gelden.
Crolox zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij Crolox tegen de subverwerker. Crolox zal deze bezwaren op directieniveau afhandelen. Mocht Crolox toch gegevens willen laten verwerken door de nieuwe subverwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Privacyrechten
Crolox heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Crolox de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
Voor zover vereist op grond van toepasselijke wet- en regelgeving, zijn Toezichthouders gerechtigd om audits uit te voeren om te controleren of de Crolox voldoet aan de voorwaarden en bepalingen zoals uiteengezet in de overeenkomst, toezichtsregels en / of toepasselijke dwingende wetgeving. Crolox zal de klant zo snel mogelijk informeren van een dergelijke audit, tenzij dit verboden is.
Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. Crolox zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. Crolox zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Crolox zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Crolox de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Crolox, zonder dat de klant Crolox hierover geïnformeerd heeft, dan is de klant aansprakelijk voor door Crolox geleden schade en kosten van deze melding. Indien blijkt dat er geen sprake is van een datalek bij Crolox, is de klant verplicht de melding direct in te trekken.
Bepaling datalek
Voor het bepalen van een inbreuk in verband met persoonsgegevens, gebruikt Crolox de AVG en de Beleidsregels meldplicht datalekken als leidraad. Zie deze pagina daarvoor.
Melding aan de klant
Indien blijkt dat bij Crolox sprake is van een beveiligingsincident of datalek zal Crolox de klant daarover zo spoedig mogelijk informeren nadat Crolox bekend is geworden met het datalek. Om dit te realiseren zorgt Crolox ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Crolox van haar opdrachtnemers dat zij Crolox in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een subverwerker van Crolox, dan meldt Crolox dit uiteraard ook. Crolox is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de subverwerkers van Crolox.
Informeren klant
In eerste instantie zal Crolox de contactpersoon van het abonnement informeren over een datalek.
Informatie verstrekken
Crolox probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreed zal Crolox de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door Crolox ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.
Voortgang en maatregelen
Crolox zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Crolox maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Crolox de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Crolox registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af. De registratie en afhandeling van security incidenten wordt getoetst met een audit in het kader van de ISO27001 certificering.
Gegevens verwijderen
Crolox zal, na afloop van de overeenkomst, alle klant gegevens verwijderen zoals beschreven staat bij ‘Beëindiging van de overeenkomst’. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. Crolox verplicht zich daar gehoor aan te geven.