GDPR-nalevingsverklaring Exclaimer

v1.1 May 2018

Inleiding

De "GDPR" (General Data Protection Regulation) of "AVG" (Algemene verordening gegevensbescherming) van de Europese Unie werd op 25 mei 2018 van kracht in de Europese Unie en gaat gepaard met de meest significante wijzigingen van de gegevensbeschermingswetgeving sinds twee decennia. De GDPR is gebaseerd op ingebouwde privacy, hanteert een op risico's gebaseerde aanpak en is ontworpen om aan de behoeften van het digitale tijdperk te voldoen.

Onze inzet

Exclaimer (‘wij’ of ‘ons’ of ‘onze’) heeft zichzelf ten doel gesteld om de beveiliging en bescherming te waarborgen van de persoonlijke gegevens die we verwerken en om gegevensbescherming op een consistente manier na te leven. We hebben altijd al een robuust en effectief gegevensbeschermingsprogramma gehad dat aan de bestaande wetgeving voldoet en zich houdt aan de gegevensbeschermingsprincipes, zoals wordt aangetoond door onze ISO 27001-certificering. We erkennen echter onze verplichtingen inzake het bijwerken en uitbreiden van dit programma om aan de vereisten van de GDPR te voldoen.

Exclaimer zet zich in voor het beschermen van de persoonlijke gegevens waar wij verantwoordelijk voor zijn en voor het ontwikkelen van een gegevensbeschermingsregime dat effectief en doelmatig is en begrip en waardering voor de verordening toont.

Voldoet Exclaimer aan de GDPR?

Ja. Exclaimer heeft zijn systemen, processen en praktijken opnieuw beoordeeld om te kunnen waarborgen dat deze consistent zijn met de voorwaarden die als onderdeel van de GDPR (General Data Protection Regulation) zijn vastgesteld. Exclaimer heeft ook zijn bredere bedrijfsprocessen geanalyseerd om ervoor te zorgen dat deze voldoen aan de verplichtingen van de nieuwe voorschriften. Waar dit nodig was, zijn er veranderingen aangebracht.

Onze infrastructuur voor het aanbieden van onze service 'Exclaimer Cloud - Signatures voor Office 365/Signatures for G-Suite' is ondergebracht in verschillende landen. Vanuit welk land de service voor u wordt aangeboden, is afhankelijk van het land dat u hebt gekozen bij het maken van uw abonnement. Hierdoor hebt u de keuze en zekerheid om te weten waar uw gegevens zijn.

Zodra onze service een e-mail van Office 365 of G-Suite heeft ontvangen, worden uw gegevens niet verder overgedragen en uitsluitend door Exclaimer geretourneerd aan Office 365 of G-Suite nadat de e-mail van een handtekening is voorzien. Als u, met het oog daarop, een land binnen de EER kiest voor uw Signatures-service, draagt Exclaimer uw gegevens nooit over buiten de EER.

Iets gedetailleerder

Exclaimer schakelde externe juridische ondersteuning in om ervoor te zorgen dat we volledig voldoen aan de nieuwe voorschriften.

Exclaimer kan bovendien bevestigen dat we, om aan de vereisten van de GDPR te kunnen voldoen, de volgende processen hebben beoordeeld:

  1. Gegevensbescherming – Onze informatiebeveiligingsbeheersystemen zijn opnieuw beoordeeld om te kunnen waarborgen dat ze aan de normen en vereisten van de GDPR voldoen. Er zijn verantwoordings- en governancemaatregelen van kracht die moeten waarborgen dat we onze verplichtingen en verantwoordelijkheden begrijpen en adequaat verspreiden en staven; met speciale aandacht voor ingebouwde privacy en de rechten van individuen.
  2. Policies – we have updated our privacy notices and data handling policies to reflect Exclaimer’s new obligations and practices. We have trained our team to ensure the increased privacy requirements are understood and maintained throughout our organisation;
  3. Gegevensopslag en -verwijdering – We hebben ons bewaarbeleid en -schema bijgewerkt om ervoor te zorgen dat we voldoen aan de principes ‘minimalisering van de gegevensverwerking’ en ‘opslagbeperking’ en dat persoonlijke gegevens conform de nalevingsvereisten en op een ethische manier worden opgeslagen, gearchiveerd en vernietigd. We hebben vaste verwijderingsprocedures opgesteld om te voldoen aan de nieuwe verplichting ‘Recht op verwijdering’ en zijn ons ervan bewust wanneer dit recht en andere rechten van betrokkenen van toepassing zijn; inclusief eventuele ontheffingen, reactietijden en meldingsverantwoordelijkheden.
  4. Gegevensinbreuk – onze procedures voor gegevensinbreuk waarborgen dat we beveiligingen en maatregelen hebben getroffen om een eventuele inbreuk op persoonlijke gegevens zo vroeg mogelijk te identificeren, te beoordelen, te onderzoeken en te rapporteren. Onze procedures zijn robuust en zijn gecommuniceerd naar alle werknemers, waardoor iedereen zich bewust is van de rapportagelijnen en de te volgen stappen.
  5. Internationale gegevensoverdrachten en openbaarmakingen door derden – Wanneer Exclaimer persoonlijke gegevens buiten de EU opslaat of overdraagt, beschikken we over robuuste procedures en beveiligingsmaatregelen om de integriteit van de gegevens te beveiligen, te versleutelen en te behouden. Onze procedures bevatten een voortdurende evaluatie van de landen met besluiten over afdoende adequaatheid en voorzieningen voor bindende bedrijfsregels; standaardclausules voor gegevensbescherming of goedgekeurde gedragscodes voor de landen die dit niet hebben. We voeren grondige onderzoeken uit bij alle ontvangers van persoonlijke gegevens om te controleren en te verifiëren of ze over de juiste beveiliging beschikken om de gegevens te beschermen, of ze handhaafbare rechten van betrokkenen kunnen waarborgen en of ze over effectieve juridische maatregelen voor betrokkenen beschikken, waar dit van toepassing is.
  6. DSAR (Data Subject Access Request) – We hebben onze DSAR-procedures herzien om deze aan te passen aan de periode van 30 dagen voor het verschaffen van de aangevraagde informatie en om deze voorziening gratis aan te bieden. In onze nieuwe procedures wordt aangegeven hoe de betrokkene kan worden geverifieerd, welke stappen moeten worden uitgevoerd om een DSAR te verwerken en welke ontheffingen van toepassing zijn. Ook bevatten ze een pakket antwoordsjablonen om ervoor te zorgen dat de communicatie met betrokkenen consistent en adequaat is en volgens de norm wordt nageleefd.

    Als u een DSAR bij Exclaimer wilt indienen, stuurt u in eerste instantie een e-mail naar DSAR@Exclaimer.com. We zullen stappen ondernemen om uw identiteit te bevestigen voordat er nadere actie wordt ondernomen.
  7. Subprocessoren/derden - We hebben ons grondige onderzoeksproces uitgebreid wanneer we ervoor kiezen om met serviceproviders te werken om te kunnen bevestigen dat ze de GDPR-vereisten naleven die van toepassing zijn.
  8. Contracten/gegevensverwerkingsovereenkomsten – We hebben onze contracten en verwerkingsovereenkomst bijgewerkt. Deze maatregelen omvatten initiële en voortdurende beoordelingen van de geleverde service, de noodzaak van de verwerkingsactiviteit, de technische en organisatorische maatregelen die zijn getroffen en de naleving van de GDPR.
  9. Voortdurende beoordeling – We blijven de uitgebreide privacyvereisten en de richtlijnen van toezichthoudende instanties beoordelen om voortdurende naleving te kunnen waarborgen.

Om klanten bovendien extra zekerheid te bieden, worden alle door Exclaimer verwerkte gegevens veilig beheerd conform de standaarden van onze ISO 27001:2013-certificering.

Heeft Exclaimer een functionaris inzake gegevensbescherming aangesteld?

Ja, we hebben Daniel Richardson, Chief Technology Officer van Exclaimer, aangesteld als onze functionaris inzake gegevensbescherming, die u kunt bereiken op GDPRinfo@exclaimer.com.

Hoe dien ik een DSAR (Data Subject Access Request) in?

Als u een DSAR bij Exclaimer wilt indienen, stuurt u in eerste instantie een e-mail naar DSAR@Exclaimer.com. We zullen stappen ondernemen om uw identiteit te bevestigen voordat er nadere actie wordt ondernomen.

Hebt u nog vragen?

Als u nog vragen hebt over het GDPR-beleid van Exclaimer of over servicemogelijkheden die u kunnen helpen bij uw naleving van GDPR, kunt u contact opnemen met uw medewerker van Exclaimer of een e-mail sturen naar GDPRinfo@exclaimer.com.