Bescherming van persoonsgegevens - Subverwerkers

1. Technische en organisatorische maatregelen

Beveiligingsbeleid en organisatie van informatiebeveiliging

Gegevensbescherming

Er werd een DPO aangesteld die verantwoordelijk is voor het coördineren, adviseren, controleren en sensibiliseren van procedures en richtlijnen omtrent gegevensbescherming. Deze verantwoordelijke zal periodiek worden bijgeschoold zodat zijn kennis en deskundigheid steeds actueel blijft.

Contactgegevens: privacy@ticketmatic.com

Beveiligingsverantwoordelijkheden

Er zijn formele beleidsteksten omtrent gegevensbescherming goedgekeurd en bekend onder de medewerkers. De verantwoordelijkheden omtrent gegevensbescherming zijn intern toebedeeld.

Risicobeheer

Er worden periodiek risicoanalyses uitgevoerd waaruit maatregelen ten aanzien van gegevensbescherming worden opgesteld.

Veilig personeelsbeleid

Vertrouwelijkheidsverplichtingen

De medewerkers zijn onderworpen aan een vertrouwelijkheidsverplichting bij het verwerken van persoonsgegevens. Deze verplichting is opgenomen in het arbeidsreglement of een aparte non-disclosure agreement.

Sensibilisering

De medewerkers zijn zich bewust van het belang van gegevensbescherming en zullen de nodige procedures volgen bij de verwerking van persoonsgegevens. Deze sensibilisering zal periodiek worden herhaald

In- en uitdiensttreding

De toegangsrechten van de verschillende werknemers worden bij de beëindiging van de samenwerking stopgezet zodat onbevoegden geen toegang meer hebben tot de persoonsgegevens.

Inventaris van bedrijfsmiddelen

Er wordt een inventaris bijgehouden van alle informatieverwerkende systemen die worden gebruikt door de werknemers.

Gebouw

Fysieke beveiliging

De fysieke toegang tot bureauruimtes waar persoonsgegevens verwerkt worden in kader van haar opdracht is strikt beperkt tot geïdentificeerde en geautoriseerde personen.

Hiervoor werden badge-lezers geïnstalleerd en werden sloten voorzien op deuren waar nog nodig, dit alles om ongeoorloofde toegang te vermijden. Naast badge-lezers is het volledige gebouw uitgerust met een alarm- en branddetectie systeem.

Toegangscontrole

Toegangsbeleid

De rechten van iedere werknemer zullen beperkt worden volgens het ‘need-to-know’ principe. Meer toegang dan initieel noodzakelijk zal enkel mogelijk zijn naar een formele goedkeuring en bij de aanwezigheid van een geldige reden.

Toegangsautorisatie

Om toegang te krijgen tot gevoelige informatie is er een passend autorisatiesysteem. Ieder individu zal een uniek ID krijgen waarmee hij kan inloggen.

Netwerktoegang

Er is een firewall aanwezig die een redelijke mate van zekerheid biedt dat toegang tot het netwerk gepast wordt beschermd.

Data center

Alle data die nodig is in het kader van de opdracht is gecentraliseerd in een beveiligd datacenter conform de industrienormen.

Ticketmatic huurt hiervoor diensten bij AWS (Amazon Web Services). Een bewezen en betrouwbare partij met meer dan 500 voorzieningen inzake privacy (zie https://aws.amazon.com/compliance/gdpr-center/ voor meer details). AWS is ook ISO27001 gecertificeerd.

Toegang tot servers is niet toegestaan voor externe partijen.

Operationele beveiliging

Backup

Verwerker neemt uitgebreide voorzieningen om de gegevens van de Verwerkingsverantwoordelijke te beschermen.

Alle gegevens worden in real-time gerepliceerd naar een tweede datacenter als “standby” replica. Deze replicatie is synchroon: alle wijzigingen aan gegevens worden gelijktijdig op zowel de primaire als de secundaire locatie doorgevoerd zodat er steeds een up-to-date standby systeem is in geval het primaire systeem zou falen.

Daarenboven wordt iedere nacht een volledige backup (inclusief transactielogs) gemaakt. Deze backup laat een point-in-time herstel toe naar een specifiek gewenst tijdstip in de voorbije 7 dagen. Bijkomende snapshots worden redundant opgeslagen op een externe lokatie tot 100 dagen.

Paswoorden en gevoelige data

Wachtwoorden worden cryptografisch gehasht alvorens ze worden opgeslagen, zodanig dat de oorspronkelijke gegevens niet teruggehaald kunnen worden.

Creditcard- en andere betaalgegevens worden niet opgeslagen.

Beveiligingsupdates

Beveiligingsupdates en -patches worden systematisch opgevolgd en geïnstalleerd.

Communicatie beveiliging

Alle persoonsgegevens die worden verzonden via publieke of interne kanalen of netwerken zullen adequaat worden versleuteld.

Toegangsprotocollen zijn beperkt, zo is FTP-toegang bijvoorbeeld niet mogelijk.

Leveranciersrelaties

Keuze van subverwerkers/onderaannemers

Er wordt een adequaat selectieproces gehanteerd bij de keuze van subverwerkers/onderaannemers waarbij de beveiliging van persoonsgegevens wordt geëvalueerd. Enkel partijen die voldoen aan de huidige standaarden op vlak van informatieveiligheid en gegevensbescherming zullen worden gebruikt voor de verwerking van persoonsgegevens.

Contractuele verplichtingen

Er is een verwerkersovereenkomst aanwezig met alle mogelijke leveranciers die persoonsgegevens zullen verwerken.

Incidenten

Ticketmatic houdt een register van beveiligingsinbreuken bij met een beschrijving van de inbreuk, het tijdstip, de gevolgen van de inbreuk, de naam van de melder en van degene aan wie de inbreuk werd gemeld.

Bij een mogelijk beveiligingsincident dat een impact heedt op de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens zullen de nodige stappen worden ondernomen om de verwerkingsverantwoordelijke tijdig en voldoende in te lichten hierover. Verwerker zal bij het doen van een melding van een inbreuk de volgende gegevens verschaffen:

  • Contactgegevens melder (naam, functie, e-mail, telefoonnummer)
  • Gegevens over de inbreuk:
  • Samenvatting van het incident
  • Persoonsgegevens die bij de inbreuk zijn betrokken
  • Wanneer de inbreuk plaatsvond
  • De aard van de inbreuk
  • Inschatting van de gevolgen van de inbreuk
  • Maatregelen die Verwerker heeft getroffen om de inbreuk te beperken en te voorkomen

2. Subverwerkers

Volgende Subverwerker(s) voeren in opdracht van Ticketmatic dienstverlening met betrekking tot persoonsgegevens uit:

Amazon Web Services Europe

https://aws.amazon.com

Hosting en infrastructuur services (PaaS)

Verwerkingslokatie: EU/ESS (Ierland en Frankfurt data centers)

Postmark

https://postmarkapp.com/

E-mail Service Provider. E-mails die vanuit de applicatie getriggerd worden, worden verstuurd via Postmark.

Verwerkingslokatie: US (EU - U.S. Privacy Shield Framework en/of Standard Contractual Clauses (SCCs) actief)

https://postmarkapp.com/eu-privacy#gdpr

Intercom

https://www.intercom.com/

Help desk software om te communiceren met klanten. Soms bevatten deze communicaties persoonlijke gegevens van eindklanten.

Verwerkingslokatie: US (EU - U.S. Privacy Shield Framework en/of Standard Contractual Clauses (SCCs) actief)

https://www.intercom.com/help/en/articles/1385437-how-intercom-complies-with-gdpr

Loggly

https://www.loggly.com/

Logbeheer om applicatie events te visualiseren, analyseren en monitoren.

Verwerkingslokatie: US (EU - U.S. Privacy Shield Framework en/of Standard Contractual Clauses (SCCs) actief)

Sentry

https://sentry.io/

Applicatie error logging.

Verwerkingslokatie: wereldwijd (Google data centers) (EU - U.S. Privacy Shield Framework en/of Standard Contractual Clauses (SCCs) actief)

https://sentry.io/security/

Google Analytics

https://www.google.com/

Traffic analytics

Verwerkingslokatie: wereldwijd

Laatste update : 10/06/2020

Ticketing op maat van je organisatie

In een kennismakingsgesprek van 20 minuten ontdekken we samen hoe ticketmatic jouw organisatie en jouw publiek kan helpen. Vrijblijvend en zonder verplichtingen – we denken graag met je mee.