1. Doelstelling

Tijdens de werkzaamheden die Pointlogic voor haar opdrachtgevers verricht kan het voorkomen dat medewerkers van Pointlogic in aanraking komen met, of tijdelijk de beschikking hebben over, vertrouwelijke data. Gelet op de aard van de dienstverlening zal dit veelal persoonlijke gegevens betreffen die mogelijk ook vallen onder de Algemene Verordening Gegevensbescherming (AVG, voorheen Wet Bescherming Persoonsgegevens).

In dit Protocol wordt beschreven op welke wijze Pointlogic met vertrouwelijke data van haar opdrachtgevers zal omgaan.
Onder Vertrouwelijke Data wordt verstaan alle data, in welke vorm dan ook, betrekking hebbend op de onderneming van opdrachtgever (met inbegrip van alle ondernemingen welke hiervan onderdeel zijn) met inbegrip van data over cliënten, leveranciers, huidige en toekomstige handelsactiviteiten, methodes, producten, financiële, statistische, personele data en programmatuur, systemen of toebehoren, onderzoek, ontwikkeling, strategische planning, handelsgeheimen, know-how en andere relevante data, die voor of na ondertekening van deze overeenkomst direct of indirect ter kennis gebracht, in het kader van een –
mogelijke – samenwerking.

In het kader van de AVG is Pointlogic Verwerker van gegevens en zijn de opdrachtgevers van Pointlogic de Verwerkingsverantwoordelijke. De AVG schrijft ook voor dat de Verwerkingsverantwoordelijke en Verwerker afspraken over de beveiliging van data maken. Dit document beoogt dit adequaat te beschrijven.

2. Afspraken en uitgangspunten

Pointlogic verplicht zich dergelijke Vertrouwelijke Data geheim te houden en vertrouwelijk te behandelen en verplicht zich hiermee meer in het bijzonder:
• Vertrouwelijke Data niet bekend te maken aan derden en alle nodige maatregelen te treffen teneinde openbaarmaking aan derden te voorkomen
• Aan Vertrouwelijke Data binnen haar organisatie geen bekendheid te geven, behoudens voor zover dit noodzakelijk is in het kader van de goede uitvoering van de werkzaamheden
• Vertrouwelijke data alleen toegankelijk te maken voor daartoe bevoegd personeel.
• De personen in haar organisatie aan wie de Vertrouwelijke Data bekend wordt gemaakt in te lichten omtrent de verplichtingen die uit deze geheimhoudings verklaring voortvloeien en zeker te stellen dat deze personen op hun beurt de verplichtingen uit deze verklaring zullen naleven
• Vertrouwelijke Data niet voor eigen doeleinden buiten het kader van de – mogelijke – samenwerking of voor doeleinden van derden te benutten.

3. Uitzonderingen

Voorgaande verplichtingen hebben evenwel geen betrekking op eventuele Vertrouwelijke Data:
• Die reeds algemeen bekend is vóórdat deze is ontvangen
• Die vervolgens, buiten schuld van Pointlogic, algemeen bekend wordt
• Die Pointlogic aantoonbaar reeds bekend was vóórdat deze is ontvangen
• Die vervolgens door Pointlogic, op niet vertrouwelijke basis, van een derde wordt ontvangen die geen inbreuk op een verplichting tot geheimhouding pleegt
• Waarvan Pointlogic kan bewijzen dat deze geheel onafhankelijk van de data van opdrachtgever tot stand is gekomen.
Deze verplichtingen gelden niet indien en voor zover wettelijk openbaar maken zulks vereist.

4. Retourneren of vernietigen data

Materiaal met Vertrouwelijke Data dat Pointlogic – of derden namens Pointlogic – van opdrachtgever heeft ontvangen, blijft eigendom van opdrachtgever en zal op eerste verzoek aan opdrachtgever worden geretourneerd of worden vernietigd, inclusief daarvan gemaakte kopieën. Voor materiaal dat door of namens andere ondernemingen behorende tot opdrachtgever aan Pointlogic ter hand is gesteld, geldt een overeenkomstige verplichting.

5. Verwerkersovereenkomst

Als toevoeging van de reguliere samenwerkingsovereenkomst streeft Pointlogic naar het hebben van een separate dan wel geïntegreerde verwerkersovereenkomst.
Voor overeenkomsten die ingaan na de inwerking treding van de nieuwe AVG wetgeving zal dit per definitie integraal worden overeengekomen. Voor eerder afgesloten overeenkomst is een standaard model beschikbaar en wordt geadviseerd.

6. Data locaties

Uitgangspunt in alle samenwerkingen is dat alle vertrouwelijke personeels data van opdrachtgevers wordt opgeslagen op datadragers van opdrachtgever, dan wel datadragers onder haar verantwoordelijkheid. Dit betreft dus ook Hosted omgevingen van de klant, al dan niet bij door Pointlogic gecontracteerde Hostingpartners, ook deze data valt onder verantwoordelijkheid van de opdrachtgever. Pointlogic wil nimmer structureel toegang tot deze data, het is de verantwoordelijkheid van opdrachtgever om dit te borgen.
Indien tijdelijke toegang tot deze data benodigd is voor:
• Implementatieprojecten
• Consultancy werkzaamheden
• Support vraagstukken
zal opdrachtgever tijdelijk aan Pointlogic toegang verstrekken. Opdrachtgever dient te borgen dat deze toegang tijdelijk en traceerbaar is.
Indien voor de goede uitvoering van de werkzaamheden toch data op datadragers van Pointlogic dient te worden opgeslagen zal dit uitsluitend bij haar Hosting partner Proxsys zijn. Zie voor details ook #9.

7. Data Handling

Pointlogic verplicht zich om alle ter beschikking gestelde data vertrouwelijk te behandelen en hanteert qua afhandeling een aantal stringente uitgangspunten:
• Bestanden met personeelsdata worden uitsluitend uitgewisseld via een beveiligde filetransfer applicatie (Cryptshare), gehost door Pointlogics ICT Hosting partner (Proxsys)
• Uitwisseling per email is uitdrukkelijk niet toegestaan
• Bestandsnamen mogen nimmer de organisatie naam of anderszins herleidbare benaming bevatten
• Personeelsdata zal nimmer een van de volgende gegevens bevatten :
o Naam
o Adres
o Postcode
o Woonplaats
o Rekeningnummer
o BSN
o Bijzondere persoonsgegevens zoals vastgelegd door de autoriteit persoonsgegevens
o Andere gegevens die het herleiden tot een individu mogelijk maken, tenzij deze gegevens nodig zijn voor uitvoeren van de dienstverlening aan de klant
Indien opdrachtgever aan een dezer uitgangspunten niet voldoet zal Pointlogic de data verwijderen en niet in bewerking nemen. In dat geval is de opdrachtgever ook verantwoordelijk voor de additionele risico’s rondom de data en de gerelateerde gegevensstromen.

8. Data integriteit

Om de integriteit van de data te waarborgen zullen aangeleverde data nimmer door Pointlogic bewerkt worden. De brondata is en blijft zoals aangeleverd door de opdrachtgever.
Dit impliceert ook :
• In geval dat data anders is dan overeengekomen dient opdrachtgever gecorrigeerde data aan te leveren
• Hernieuwde data levering kan projectvertraging ten gevolge hebben
Afwijkingen van dit Data Protocol zijn in beginsel niet mogelijk. Indien in een onvoorziene situatie er aanleiding is toch een, eenmalige, wijziging toe te staan kan dit eerst na uitdrukkelijke toestemming van de Directies van opdrachtgever en Pointlogic. Potentiele additionele risico’s als gevolg van het afwijken van het standaard protocol zijn voor opdrachtgever.

9. Beveiliging van data

Voor de opslag van data maakt Pointlogic gebruik van de diensten van Proxsys als ICT Hosting partner. Pointlogic heeft maatregelen getroffen om ervoor zorg te dragen dat er geen externe back-ups zullen worden gemaakt van de databestanden (met uitzondering van e-mailverkeer). De data zal uitsluitend op systemen van Pointlogic/Proxsys aanwezig zijn voor de tijd die benodigd is voor de goede uitvoering van de werkzaamheden. Daar email niet van de back-up faciliteiten is uitgesloten is, als eerder, bestandsuitwisseling via email dan ook niet toegestaan.
Additionele beveiligingsmaatregelen:
• Alle voor de systemen van Pointlogic beschikbare klant data zal nimmer aanwezig zijn op laptops van Pointlogic, danwel op andere (mobiele) datadragers
• Er zijn slechts een beperkt aantal geauthoriseerde klant data lokaties, te weten
o Op infrastructuur van de klant onder zijn verantwoordelijkheid
o Op externe beveiligde servers van Pointlogic bij haar ICT Hosting partner (Proxsys)
o In een hosted omgeving bij Proxsys als onderdeel van de overeenkomst tussen Pointlogic en klant
• Pointlogic zal zorgdragen dat alle medewerkers op de hoogte zijn van de dataprotocollen en richtlijnen
• Pointlogic zal zorgdragen dat Proxsys voldoet aan gangbare securityprotocollen/certificeringen (momenteel minimaal ISO17799/27001 of BS7799)
• Pointlogic zal een security officer aanwijzen die frequent zal toezien op de protocollen en afspraken, dit zowel intern, bij Proxsys en of de klant
• Pointlogic zal halfjaarlijks een security rapportage produceren met bevindingen, updates, signaleringen en maatregelen. Deze zijn, op verzoek, door de klant in te zien
• Pointlogic zal frequent testen op haar/proxsys infrastructuur (laten) uitvoeren. Dit zal ook een penetratietest omvatten

10. Persoonlijke data van opdrachtgevers en leveranciers

Pointlogic slaat gegevens van opdrachtgevers en leveranciers op in haar CRM systeem Exact. Dit teneinde haar contractuele verplichtingen te kunnen nakomen, dan wel in het kader van een verantwoorde bedrijfsvoering.
Periodiek, doch minstens 1 maal per jaar, zullen alle betrokkenen per mail geïnformeerd worden over welke gegevens er vastgelegd worden en voor welk doel. Verwijdering kan gevorderd worden mits niet strijdig met een wettelijke verplichting.

11. Persoonlijke data van potentiele opdrachtgevers en andere relaties

Pointlogic slaat gegevens van opdrachtgevers en leveranciers op in haar CRM systeem Exact. Dit teneinde haar contractuele verplichtingen te kunnen nakomen, dan wel in het kader van een verantwoorde bedrijfsvoering
Periodiek, doch minstens 1 maal per jaar, zullen alle betrokkenen per mail geïnformeerd worden over welke gegevens er vastgelegd worden en voor welk doel. Verwijdering kan gevorderd worden mits niet strijdig met een wettelijke verplichting.

12. Middels email verkregen data

Niet voorkomen kan worden dat via email verkregen gegevens automatisch in het emailsysteem van Pointlogic worden opgeslagen. Deze zullen niet, anders dan in 10 en 11 beschreven, in het CRM systeem worden opgenomen.
Pointlogic zal in haar “email signatures” een statement hieromtrent en een verwijzing naar dit protocol opnemen.