Privacy Statement

Dataplace heeft op diverse plaatsen in Nederland moderne TIER III-datacenters in beheer. Vanaf deze locaties huisvesten wij voor een diversiteit aan klanten zowel grote als kleine IT-omgevingen. Gebouwd vanuit een duidelijke filosofie – waarin betrouwbaarheid, efficiëntie, duurzaamheid en continuïteit centraal staan – draaien onze datacenters om onze missie te volbrengen: het 24/7 bieden van continuïteit en kwalitatief hoogstaande datacenterdienstverlening.

Sommige klanten vragen ons om een verwerkersovereenkomst. Maar omdat we geen verwerker zijn van de persoonsgegevens op uw servers, kunnen we zo’n overeenkomst niet ondertekenen. Wat we wel doen, is een veilig onderdak bieden aan uw servers. Dat leggen we uit in het eerste deel van deze verklaring. Onder de Algemene Verordening Gegevensbescherming is Dataplace een zelfstandige verantwoordelijke voor de verwerking van gegevens over u, uw medewerkers en eventuele leveranciers, als u contact met ons opneemt, onze website bezoekt of als u of uw medewerkers toegang nodig hebben tot één van onze datacenters.  Zie daarvoor het tweede deel van deze verklaring.

Dataplace is geen verwerker

Dataplace biedt organisaties de mogelijkheid hun servers te huisvesten (colocaten) in één van onze vier datacenters in Nederland. Dataplace kan niet bij de persoonsgegevens die zijn opgeslagen  op uw servers. Dataplace maakt geen back-ups, en levert ook geen updates of onderhoud voor het besturingssysteem of de applicaties op uw servers. Het feit dat Dataplace uw servers huisvest en u een verbinding aanbiedt met (snel) internet, betekent niet dat Dataplace een verwerker is zoals bedoeld in artikel 4(8) van de AVG. De colocation dienstverlening van Dataplace is een vorm van transmissie; Dataplace stelt u in staat om uw systemen onder te brengen op een veilige locatie en zorgt ervoor dat uw server gegevens kan uitwisselen via internet. Maar Dataplace heeft geen enkele invloed op de verwerking van de persoonsgegevens op, afkomstig van of verzonden naar, uw apparatuur.

Technische en organisatorische beveiligingsmaatregelen

Dataplace neemt passende technische en organisatorische maatregelen om uw servers met persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Dataplace zorgt ervoor dat deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG.

Vanuit ons eigen DNA maar ook vanuit onze ISO certificeringen (w.o. ISO27001 en NEN7510) zijn diverse technische en organisatorische maatregelen ingericht. Om gecertificeerd te blijven, is Dataplace verplicht met geplande tussenpozen de maatregelen te toetsen.

Geheimhouding medewerkers

Dataplace is zich ervan bewust dat op de servers van klanten zeer geheime, privacy- en bedrijfsgevoelige gegevens kunnen staan. Daarom moeten alle (vaste en tijdelijke) medewerkers van Dataplace bij indiensttreding een aparte geheimhoudingsovereenkomst tekenen. Bovendien is er een geheimhoudingsbeding opgenomen in de arbeidsovereenkomst. Dataplace praat haar medewerkers daarnaast met geplande tussenpozen bij over het belang van goede naleving van het privacy en security beleid.

Strikt toegangsbeleid

Dataplace hanteert een zeer strikt toegangsbeleid. Dataplace gebruikt zowel fysieke als digitale toegangscontrole, legt vast wie op welke momenten toegang heeft gekregen en het gebouw heeft verlaten, en controleert deze logbestanden regelmatig. De digitale controle bestaat onder andere uit algemeen cameratoezicht, digitale aanmelding voor incidenteel bezoek of de verstrekking van een pasje voor structurele toegangsrechten. Alle bezoekers dienen zich bij de toegangszuil in te schrijven. Aan reguliere bezoekers kan, onder voorwaarden, een toegangspas worden verstrekt.

Omgang met data incidenten

Dataplace registreert alle security incidenten en handelt deze volgens een vaste procedure af. Het naleven van registratie en afhandeling van security incidenten wordt periodiek getoetst. Daarnaast worden incidenten geanalyseerd in het kader van continue verbetering van onze organisatie. Dit willen wij zelf, maar is ook een verplichting vanuit ISO27001 en NEN7510 certificering.

Dataplace zal u als klant juist, tijdig en volledig informeren over relevante data incidenten, zodat u als verwerkingsverantwoordelijke aan uw wettelijke verplichtingen kunt voldoen om een eventueel datalek te melden bij de Autoriteit Persoonsgegevens en eventueel ook de mensen die te informeren die het raakt (de betrokkenen).

Dataplace zal de contactpersoon van het abonnement informeren over het mogelijke datalek. Het is uw taak als verantwoordelijke om de naam en contactgegevens van uw contactpersoon actueel te houden via het klantenportaal van Dataplace.

Voorbeelden van data incidenten zijn het onherstelbaar beschadigd raken van harde schijven, diefstal van gegevens op servers na een fysieke inbraak of geslaagde hack in het datacenter of een calamiteit zoals brand in een datacenter.

Dataplace probeert u direct, uiterlijk binnen 48 uur, alle informatie te verstrekken die u nodig heeft om - indien nodig - een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek door Dataplace wordt onderzocht, dan zal Dataplace u in ieder geval zo snel mogelijk de informatie verstrekken die u nodig heeft om zelf binnen de vereiste 72 uur een voorlopige melding te kunnen doen bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te kunnen informeren. Dataplace vertelt u in ieder geval de aard van de (mogelijke) inbreuk, waar mogelijk een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de door u te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen

Dataplace zal u (uw contactpersoon) op de hoogte houden over de voortgang en de maatregelen die getroffen worden. In ieder geval houdt Dataplace u op de hoogte in geval van een wijziging van de situatie en het bekend worden van nadere informatie.

Indien u als klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Dataplace, terwijl zonder meer duidelijk voor u is dat bij Dataplace geen sprake is van een datalek dan bent u aansprakelijk voor alle door Dataplace geleden schade en kosten. U bent daarnaast verplicht een dergelijke melding direct in te trekken.

Dataplace als zelfstandige verantwoordelijke

Dataplace respecteert uw privacy, en zorgt ervoor dat alle persoonlijke informatie die u ons zelf geeft, of die wij over uw verzamelen, vertrouwelijk wordt behandeld.

U verstrekt zelf persoonsgegevens aan Dataplace als u telefonisch en per e-mail contact met ons opneemt, als u persoonsgegevens over uzelf invoert via het klantcontactportaal en als u een van onze datacenters bezoekt. Daarnaast verzamelt Dataplace persoonsgegevens over u als u de website bezoekt, als uw werkgever of opdrachtgever toegang voor u aanvraagt tot een datacenter en als u het datacentrum bezoekt. Dataplace verwerkt  alleen de persoonsgegevens die noodzakelijk zijn om de overeenkomst met u aan te kunnen gaan en uit te voeren. Als dat moet van de wet, zal Dataplace ook persoonsgegevens verstrekken aan bevoegde autoriteiten. En als Dataplace u nieuwsbrieven wil versturen of via volgcookies persoonsgegevens verwerkt, zullen wij u eerst om specifieke toestemming vragen.

Soorten persoonsgegevens

Dataplace verzamelt zo min mogelijk gegevens van en over onze klanten. Dataplace verzamelt voornamelijk contact- en betalingsgegevens. Dataplace verzamelt géén bijzondere persoonsgegevens van klanten, zoals bedoeld in artikel 9 of 10 van de AVG, met uitzondering van uw vingerafdruk (een biometrisch gegeven).

De gegevens die benodigd zijn om (tijdelijke) toegang tot het Datacenter te verkrijgen, zijn:

  • Uw volledige naam
  • Uw geboortedatum
  • Uw mobiele telefoonnummer
  • Uw e-mail adres
  • Het nummer van uw identiteitsbewijs
  • Een kopie van uw identiteitsbewijs
  • De vervaldatum van uw identiteitsbewijs
  • Uw vingerafdruk (niet van toepassing bij begeleide toegang)

Na authenticatie wordt de scan van uw ID bewijs verwijderd. Andere informatie wordt versleuteld in onze systemen opgeslagen. Dataplace gebruikt als extra authenticatiemiddel, om toegang door onbevoegden te voorkomen, uw vingerafdruk. Deze wordt opgeslagen op uw toegangspas, en in gehashste vorm bewaard in het toegangssysteem gedurende uw bezoek aan het Datacenter. Na het verlaten van het Datacenter wordt uw vingerafdruk uit het systeem verwijderd. Een maand na uw bezoek wordt het documentnummer en de vervaldatum verwijderd. Na 12 maanden worden ook uw naam en geboortedatum uit onze systemen verwijderd

Als u klant bent geworden, kunt u via ons klantenportal gegevens van uw medewerkers of leveranciers invullen, om hen toegang te verlenen tot het datacenter. De benodigde gegevens m.b.t toegang tot het Datacenter zijn gelijk aan de lijst hier boven.

Dataplace heeft ervoor gezorgd dat de systemen niet het BSN nummer kunnen overnemen of opslaan.

Doeleinden

Samengevat, Dataplace verwerkt de genoemde persoonsgegevens voor de volgende vier doeleinden:

  1. Geautoriseerde vertegenwoordigers van onze klanten toegang bieden tot hun eigen serverapparatuur in één van onze datacentra
  2. Uitvoering van de dienstverlening zoals contractueel met u afgesproken.
  3. Facturen opstellen en verzenden
  4. Serviceberichten versturen per e-mail (geen direct marketing)

Grondslagen

De belangrijkste grondslag voor de meeste verwerkingen van persoonsgegevens is de noodzaak om de overeenkomst tot stand te brengen en uit te voeren. Dat geldt ook voor het verzenden van serviceberichten per e-mail. Alleen als Dataplace daartoe wettelijk verplicht is, zal zij persoonsgegevens verstrekken op verzoek van autoriteiten zoals de Stichting Autoriteit Financiële Markten, de Europese Centrale Bank of de Nederlandsche Bank N.V.. Zij kunnen persoonsgegevens nodig hebben voor uitvoering van hun taak uit hoofde van de Wft. Het is ook mogelijk dat Dataplace de dienstverlening beëindigt op last van de opsporingsautoriteiten. In die gevallen verwerkt Dataplace persoonsgegevens op de grondslag van het moeten voldoen aan een wettelijke verplichting. Indien Dataplace gezamenlijk verantwoordelijk is met andere organisaties voor de verwerking van persoonsgegevens door het laten plaatsen en uitlezen van tracking cookies, zal Dataplace mede namens deze andere organisatie eerst uw specifieke toestemming vragen.

Personeel en verwerkers
Zoals toegelicht in het eerste deel van deze privacyverklaring, vindt Dataplace het belangrijk dat alle medewerkers zorgvuldig omgaan met de persoonsgegevens van klanten. Daarom laat Dataplace alle (vaste en tijdelijke) medewerkers bijvoorbeeld een aparte geheimhoudingsovereenkomst tekenen.

Daarnaast heeft Dataplace verwerkersovereenkomsten gesloten met leveranciers die namens ons persoonsgegevens van klanten verwerken, bijvoorbeeld als het gaat om facturering, toegangscontrole, kantoorautomatisering en softwareontwikkeling op de klantenportal.

Doorgifte

Dataplace verwerkt geen persoonsgegevens van haar klanten buiten de EU.. 

Beveiliging en omgang met datalekken

Dataplace zal datalekken in haar eigen systemen en systemen van haar verwerkers en leveranciers bij twijfel altijd melden bij de Autoriteit Persoonsgegevens, en ook bij betrokkenen. Om te bepalen of sprake is van een datalek, gebruikt Dataplace de AVG en de richtsnoeren van de Europese toezichthouders over datalekken. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking.

Dataplace zal mogelijke datalekken binnen 72 uur melden bij de AP. Dataplace zorgt ervoor dat haar medewerkers in staat zijn om een datalek te constateren. Dataplace verwacht van haar verwerkers en opdrachtnemers dat zij Dataplace in staat stellen om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Dataplace, dan meldt Dataplace dit uiteraard ook aan u als klant. Dataplace is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met leveranciers of verwerkers van Dataplace.

Uw rechten op basis van de verwerking van persoonsgegevens

Onder de Algemene verordening gegevensbescherming (AVG) heeft u mogelijkheden om voor zichzelf op te komen als persoonsgegevens worden verwerkt, namelijk:

Hoe kunt u contact met ons opnemen?

Wanneer u meer informatie wilt, of zelfs een klacht heeft over het gebruik van en/of omgang met uw persoonsgegevens, kunt u altijd bij ons terecht. Neemt u hiervoor contact op met de kwaliteitsmanager binnen Dataplace. Daarnaast is het mogelijk om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Zie hiervoor: https://autoriteitpersoonsgegevens.nl/

COOKIE VERKLARING

Dataplace gebruikt cookies op haar website voor een goed werkende website en om inzicht te verkrijgen in het gebruik van haar website. Lees hiervoor onze cookieverklaring op www.dataplace.com/nl/cookiebeleid