Op deze pagina geven we inzicht in hoe we omgaan met de gegevens die we opslaan over onze klanten ('klantgegevens'), de gegevens die klanten bij ons opslaan ('klantdata') en wie de eigenaar is van de data.

 

Bewaren en verwerken van klantgegevens en klantdata

  • We zoeken alleen toegang tot klantdata om op verzoek van de klant een probleem op te lossen, of in uitzonderingsgevallen als dat nodig is om een (kritiek) probleem te verhelpen dat we zelf constateren. In alle gevallen zullen wij ons beperkten tot alleen de voor die situatie relevante data.
  • Alle medewerkers van ECM2 met toegang tot klantgegevens tekenen bij in dienst gaan een geheimhoudingsverklaring die ook na beëindiging van de arbeidsrelatie geldig blijft.
  • We hebben geen andere bron van inkomsten dan het verlenen van hosted-software diensten en -consultancy. Dat is waar klanten ons voor betalen en is een duidelijk businessmodel waarbinnen andere inkomstenbronnen niet nodig zijn. We verkopen dus bijvoorbeeld geen klantgegevens (ook niet 'geanonimiseerd') of -data aan derden en binnen onze diensten wordt niet geadverteerd.
  • We slaan niet meer gegevens op over onze klanten dan nodig voor onze administratie en onze verkoop.
  • Gevoelige gegevens als persoonlijke inloggegevens en wachtwoorden slaan we (bij voorkeur) in het geheel niet op, of we verwijderen ze z.s.m. na gebruik. We adviseren onze klanten altijd om direct na ontvangst hun wachtwoord te wijzigen en stellen bepaalde minimumeisen aan de complexiteit van die wachtwoorden.
  • Gebruikerswachtwoorden worden altijd in gehasht formaat en met een unieke 'salt' opgeslagen. Wij kunnen die dus nooit terughalen.
  • We geven klanten op verzoek inzicht in de gegevens die we van hen hebben opgeslagen.
  • Voor een dienst waar je bedrijf van afhankelijk is, is back-up essentieel. Onze backups worden tot 3 maanden bewaard op fysiek gescheiden locaties, gemonitord en regelmatig handmatig gecontroleerd.  Als je ons als klant verlaat is drie maanden later al je data definitief verwijderd uit de back-ups.
  • Ook tot de data in deze backup verschaffen wij ons geen toegang, tenzij de klant ons hierom verzoekt.
  • De beveiliging van klantgegevens en data heeft bij ons de hoogste prioriteit. De gegevens staan opgeslagen op een beveiligd platform en zijn alleen bereikbaar via de bijbehorende applicatie en met geldige inloggegevens (ECM2-systeembeheerders uitgesloten).
  • Onze diensten zijn uitsluitend te bereiken via een beveiligde verbinding. Gegevens worden dus nooit over een onbeveiligde internetverbinding verzonden.
  • De servers waarop de klantdata staat zijn niet rechtstreeks vanaf internet te benaderen, maar alleen via andere machines die onderling zijn verbonden d.m.v. een intern netwerk. Dat betekent dat er een extra 'laag' zit tussen de klantdata en het 'openbare' internet.
  • De fysieke beveiliging van data is even belangrijk. De door ons gebruikte hostingleverancier en datacentra hebben de certificaten ISO 27001 en PCI/DSS. PCI/DSS geeft aan dat de dienstverlening aan de strenge veiligheidseisen voldoet van de financiële sector. Dat betekent dat je data op iedere laag dus optimaal beveiligd is.
  • Voor klanten die een eigen server afnemen ('MKB'-producten) kunnen we de toegang limiteren op ip-adres.

 

Eigendom data en geldend recht

  • Voor al onze diensten geldt dat je data exporteerbaar is. Volgens bijvoorbeeld Cloudrecht is dit het belangrijkste aspect van een cloud- of hosted dienst, m.n. als je je zorgen maakt over de eigendom van je data.
  • Wij beperken nooit de exporteerbaarheid van data door geautoriseerde gebruikers, zonder dat daar een dwingende (bijvoorbeeld veiligheids-, of juridische) reden voor is. Ook verlenen wij op verzoek altijd hulp bij exporteren. Voor kleine vragen en handelingen is dit kosteloos. Als er door ons wel kosten worden berekend, bijvoorbeeld als je vraagt om de migratie voor jou uit te voeren of bij exports die niet met de standaard  tools kunnen, dat zijn die nooit hoger dan ons vaste uurtarief voor het aantal redelijkerwijs benodigde uren. Er worden dus nooit extra kosten berekend om overstappen onaantrekkelijk te maken.
  • De data die je bij ons plaatst, slaan wij uitsluitend in Nederland op (de datacenters staan in Amsterdam en Haarlem). Dat betekent voor Nederlandse klanten dat in geval van een conflict uitsluitend Nederlands recht van toepassing is.
  • We verlenen geen medewerking aan verzoeken van derde partijen tot inzage in klantgegevens of -data. De enige uitzondering hierop is bijvoorbeeld een gerechtelijk verzoek waaraan wij wettelijk verplicht moeten meewerken.
  • Alleen de originele aanvrager ('hoofdgebruiker'), of de persoon aan wie die titel eventueel is overgedragen, kan wijzigingen doorvoeren aan de dienstverlening (account erbij/eraf, samenstelling van (autorisatie)groepen, et cetera). Die persoon is dan ook verantwoordelijk voor de gevolgen van een wijziging. Op verzoek van de hoofdgebruiker kunnen wij adviseren over de gevolgen van een wijziging, maar nemen daar in geen geval de verantwoordelijkheid voor.
  • Waar mogelijk proberen we verzoeken te relateren aan de (bij ons bekende) geldende wetgeving en geven daarover terugkoppeling aan de hoofdgebruiker. In geen geval betekent dit echter dat wij, op dit of enig ander vlak, enige verantwoordelijkheid overnemen van de hoofdgebruiker.
  • Wij zijn lid van branchevereniging ISPConnect en houden ons bij conflicten die we niet onderling kunnen oplossen, aan de uitspraak van de ISPConnect geschillencommissie.

 

Wij kunnen deze voorwaarden aanpassen indien de situatie daarom vraagt. We lichten onze klanten daar dan tijdig over in.