Op deze pagina geven we inzicht in hoe we omgaan met gegevens.
Hieraan ten grondslag liggen de AVG / GDPR en de wens om transparant te zijn naar onze klanten en naar klanten van onze klanten.
We definieren een aantal soorten gegevens en verantwoordelijkheden:
- gegevens die we opslaan over onze klanten (‘klantgegevens’); hiervoor zijn wij de Verwerkingsverantwoordelijke
- de gegevens die klanten bij ons opslaan (‘klantdata’); hiervoor zijn wij de Verwerker;
- de gegevens kan klanten van klanten die bij ons diensten afnemen (ook ‘klantdata’); hiervoor zijn wij de Subverwerker;
Verwerken van klantgegevens: ECM2 B.V. is Verwerkingsverantwoordelijke
- We slaan niet meer gegevens op over onze klanten dan nodig voor onze administratie en onze verkoop.
- We gebruiken klantgegevens uitsluitend voor onze eigen doeleinden t.b.v. administratie, communicatie en verkoop.
- We geven klanten op verzoek inzicht in de gegevens die we van hen hebben opgeslagen.
- Gegevens van partijen die nooit klant zijn geworden verwijderen we binnen enkele maanden
- Gegevens van partijen die geen klant meer zijn verwijderen we zodra die gegevens zijn ontheven van archief-, bewijs- en andere wettelijke verplichtingen.
- Een klant kan ons verzoeken zijn/haar klantgegevens te mogen inzien. Wij zullen hieraan meewerken, mits de aanvraag binnen de wet valt en er een redelijke inzagefrequentie wordt gehanteerd.
- Een (ex-)klant kan ons verzoeken zijn/haar klantgegevens zo snel mogelijk te verwijderen. Wij zullen hieraan gehoor geven, zolang dat de uitvoering van onze processen niet verstoort en wij aan de wettelijke verplichtingen kunnen blijven voldoen.
- Gevoelige gegevens als persoonlijke inloggegevens en wachtwoorden slaan we (bij voorkeur) in het geheel niet op, of we verwijderen ze zo snel mogelijk na het versturen. We adviseren onze klanten altijd om direct na ontvangst hun wachtwoord te wijzigen en stellen bepaalde minimumeisen aan de complexiteit van die wachtwoorden.
- Gebruikerswachtwoorden worden altijd in gehasht formaat en met een unieke ‘salt’ opgeslagen. Wij kunnen die dus nooit terughalen.
- De beveiliging van klantgegevens heeft bij ons de hoogste prioriteit. De klantgegevens staan opgeslagen op een beveiligd platform en zijn alleen bereikbaar voor medewerkers van ECM2 B.V. die daar ten behoeve van het uitvoeren van hun functie toegang tot krijgen.
- De fysieke beveiliging van data is even belangrijk. De door ons gebruikte hostingleverancier en datacentra hebben de certificaten ISO 27001 en PCI/DSS. PCI/DSS geeft aan dat de dienstverlening aan de strenge veiligheidseisen voldoet van de financiële sector. Dat betekent dat je data op iedere laag dus optimaal beveiligd is.
Verwerken van klantdata: ECM2 B.V. is (Sub)Verwerker
- We gaan om met klantdata zoals afgesproken met de opdrachtgever, oftewel de Verwerkingsverantwoordelijke. Dat betekent dat we alleen toegang zoeken tot klantdata om op verzoek van de klant een probleem op te lossen, of in uitzonderingsgevallen als dat nodig is om een (kritiek) probleem te verhelpen dat we zelf constateren. In alle gevallen zullen wij ons beperken tot alleen de voor die situatie relevante data.
- Medewerkers van ECM2 B.V. krijgen uitsluitend toegang tot klantdata indien dat is vereist voor het uitvoeren van hun functie.
- Alle medewerkers van ECM2 B.V. tekenen bij in dienst gaan een geheimhoudingsverklaring die ook na beëindiging van de arbeidsrelatie geldig blijft.
- We hebben geen andere bron van inkomsten dan het verlenen van hosted-software diensten en -consultancy. Dat is waar klanten ons voor betalen en is een duidelijk businessmodel waarbinnen andere inkomstenbronnen niet nodig zijn. We verkopen dus bijvoorbeeld geen klantdata (ook niet ‘geanonimiseerd’) aan derden.
- Wij adverteren niet binnen onze diensten. Wij traceren (het gedrag van) onze klanten niet.
- Voor een dienst waarvan je bedrijf afhankelijk is, is een goede en actuele back-up essentieel. Onze backups worden tot 3 maanden bewaard op fysiek gescheiden locaties, gemonitord en regelmatig handmatig gecontroleerd.
- Als je ons als klant verlaat, verwijderen wij de klantdata uit de actieve dienst per direct. Ook zetten wij ons in om dit voor de back-ups te bereiken, maar kunnen dat niet in elke situatie uitvoeren. In dat geval is drie maanden later al je data definitief verwijderd uit de back-ups.
- De beveiliging van klantdata heeft bij ons de hoogste prioriteit. De gegevens staan opgeslagen op een beveiligd platform en zijn alleen bereikbaar via de bijbehorende applicatie en met geldige inloggegevens (ECM2 B.V.-systeembeheerders uitgesloten).
- Onze diensten zijn uitsluitend te bereiken via een beveiligde verbinding. Gegevens worden dus nooit over een onbeveiligde internetverbinding verzonden.
- De servers waarop de klantdata staat zijn niet rechtstreeks vanaf internet te benaderen, maar alleen via andere machines die onderling zijn verbonden d.m.v. een intern netwerk. Dat betekent dat er een extra ‘laag’ zit tussen de klantdata en het ‘openbare’ internet.
- De fysieke beveiliging van data is even belangrijk. De door ons gebruikte infrastructuurleverancier en datacentra hebben de certificaten ISO 27001 en PCI/DSS. PCI/DSS geeft aan dat de dienstverlening aan de strenge veiligheidseisen voldoet van de financiële sector. Dat betekent dat je data op iedere laag dus optimaal beveiligd is.
- Voor klanten die een eigen server afnemen (‘MKB’-producten) kunnen we de toegang limiteren op ip-adres en deze koppelen aan eigen authenticatie- en autorisatiesystemen.
Eigendom data en geldend recht
- Voor al onze diensten geldt dat je data exporteerbaar is. Volgens bijvoorbeeld ICTRecht is dit het belangrijkste aspect van een cloud- of hosted dienst, m.n. als je je zorgen maakt over de eigendom van je data.
- Wij beperken nooit de exporteerbaarheid van data door geautoriseerde gebruikers, zonder dat daar een dwingende (bijvoorbeeld veiligheids-, of juridische) reden voor is. Ook verlenen wij op verzoek altijd hulp bij exporteren. Voor kleine vragen en handelingen is dit kosteloos. Als er door ons wel kosten worden berekend, bijvoorbeeld als je vraagt om de migratie voor jou uit te voeren of bij exports die niet met de standaardtools kunnen, dat zijn die nooit hoger dan ons vaste uurtarief voor het aantal redelijkerwijs benodigde uren. Er worden dus nooit extra kosten berekend om overstappen onaantrekkelijk te maken.
- De data die je bij ons plaatst, slaan wij uitsluitend in Nederland op (de datacenters staan in Amsterdam en Haarlem). Dat betekent voor Nederlandse klanten dat in geval van een conflict uitsluitend Nederlands recht van toepassing is.
- We verlenen geen medewerking aan verzoeken van derde partijen tot inzage in klantgegevens of -data. De enige uitzondering hierop is bijvoorbeeld een gerechtelijk verzoek waaraan wij wettelijk verplicht moeten meewerken.
- Alleen de originele aanvrager (‘hoofdgebruiker’), of de persoon aan wie die titel eventueel is overgedragen, kan wijzigingen doorvoeren aan de dienstverlening (account erbij/eraf, samenstelling van (autorisatie)groepen, et cetera). Die persoon is dan ook verantwoordelijk voor de gevolgen van een wijziging. Op verzoek van de hoofdgebruiker kunnen wij adviseren over de gevolgen van een wijziging, maar nemen daar in geen geval de verantwoordelijkheid voor.
- Waar mogelijk proberen we verzoeken te relateren aan de (bij ons bekende) geldende wetgeving en geven daarover terugkoppeling aan de hoofdgebruiker. In geen geval betekent dit echter dat wij, op dit of enig ander vlak, enige verantwoordelijkheid overnemen van de hoofdgebruiker.
- Wij zijn lid van branchevereniging ISPConnect. Bij conflicten die we niet onderling kunnen oplossen, houden we ons aan de uitspraak van de ISPConnect geschillencommissie.
Wij kunnen deze voorwaarden aanpassen indien de situatie daarom vraagt. We lichten onze klanten daar dan tijdig over in.