Data Statement
1 Dit Data Pro Statement is opgesteld door de volgende data processor (verwerker):
Shared Service Center DeSom, gevestigd te Wognum (1687 CD), Dick Ketlaan 20.
Voor vragen over dit Data Pro Statement of dataprotectie kan contact opgenomen worden met:
M. Hoefsmid
functionaris gegevensbescherming
Email: privacy@sscdesom.nl
Tel. 0229 – 85 66 66.
2 Dit Data Pro Statement geldt vanaf :
08-08-11-2022 (V.2.2). Dit Data Pro Statement en de daarin omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij houden u op de hoogte van nieuwe versies via de periodieke nieuwsbrief.
3 Dit Data Pro Statement is van toepassing op de volgende producten en diensten van data processor:
a) Functioneel applicatiebeheer;
- Het beheren van de functionaliteiten van applicaties welke gebruikt worden door deelnemers aan DeSom.
Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst. - Bij deze dienst is rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
b) Technisch applicatiebeheer;
- Het beheren van de technische infrastructuur van applicaties welke gebruikt worden door deelnemers aan DeSom.. Hieronder valt beschikbaarheidsbeheer, capaciteitbeheer en beheer van de applicatie-specifieke infrastructuur.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
c) Werkplek beheer;
- Het inrichten en (op afstand) beheren van digitale werkplekken welke gebruikt worden door deelnemers aan DeSom. Hieronder valt het toezicht op desktop computers, laptops en andere computerapparatuur. ICT ondersteuning op 1e en 2e lijns niveau over de afgenomen producten en diensten uit de PDC;
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
d) Technisch telefoonbeheer;
- Het verzorgen van heet technisch beheer van een telefooncentrale welke gebruikt wordt door deelnemers aan DeSom.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
e) Participatie in en vormgeving van (grote) ICT-projecten;
- Het participeren en adviseren over de inrichting, vormgeving van ICT-projecten.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
f) Coördinatie en verzorging van aanbestedingen van ICT-inkoop;
- Het ondersteunen van deelnemers aan DeSom bij het inkoop- en aanbestedingstrajecten op ICT-gebied.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
g) Beheer en onderhoud van de ICT-infrastructuur.
- Het beheren van het geheel aan ICT-voorzieningen ten einde een stabiele en betrouwbare werkomgeving te kunnen leveren.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
h) ICT ondersteuning bij Audits, crisisbeheersing en verkiezingen;
- Het ondersteunen bij het uitvoeren van gemeentelijke audits, zoals de ENSIA-, Digi-D- en Suwi-audits. Tevens ondersteuning bij Crisisbeheersing en het organiseren van verkiezingen.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
i) Uitwijk op de Infrastructuur;
- Het faciliteren van digitale uitwijkmogelijkheden ten einde de digitale beschikbaarheid te waarborgen. In het geval een (grote) calamiteit kan zodoende de digitale omgeving relatief snel weer beschikbaar worden gemaakt.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
j) Configuratie management database beheer (CMDB);
- Het onderhouden van een CMDB. Een CMDB houdt de gegevens van en relaties tussen de verschillende Configuration Items bij.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
k) Certificaatbeheer;
- Het installeren, vernieuwen en beheren van certificaten van applicaties die gebruikt worden door deelnemers aan DeSom.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
l) Levering van producten en diensten uit de PDC.
- Het verzorgen en beheren van een ‘Producten- en dienstencatalogus’ (PDC).Hierin kunnen deelnemers aan DeSom informatie vinden over de producten en diensten die DeSom aanbiedt.
- Brondocumentatie: Gemeenschappelijke regeling; Dienstverleningshandvest DeSom; Service Level Agreement; Verwerkersovereenkomst.
- Bij deze dienst is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Een overzicht van verwerkte persoonsgegevens is opgenomen in de verwerkersovereenkomst.
4. Data processor heeft bij het ontwerpen van de diensten privacy by design op de volgende wijze toegepast:
- Formulieren zijn zo ontworpen dat te allen tijde alleen relevante informatie wordt uitgevraagd.
- Wanneer mobiele devices worden uitgegeven, dan wordt een set aan beveiligings- en privacy maatregelen automatisch ingeschakeld. Zodoende kan het device altijd veilig worden gebruikt.
5. Data Processor gebruikt NIET de Standaardclausules voor verwerkingen, maar gebruikt in plaats daarvan de VNG Verwerkersovereenkomst, welke als bijlage 1 bij de Overeenkomst te vinden zijn/integraal verwerkt is in de Overeenkomst, zie link.
6. Data processor verwerkt de persoonsgegevens van zijn opdrachtgevers binnen de EU/EER.
7. Data processor maakt gebruik van de volgende sub-processors:
- Tripple P/ Netwerkbeheer / gegevensverwerking binnen de EU / Verwerkersovereenkomst afgesloten
- Skillstown/ Dienstverlening Leerplein/ gegevensverwerking binnen de EU / Verwerkersovereenkomst afgesloten
- Dmarcian/ Spamfilter / gegevensverwerking binnen de EU / Verwerkersovereenkomst afgesloten
- The Chatfactory/ Dienstverlening via Whatsapp / gegevensverwerking binnen de EU / Verwerkersovereenkomst afgesloten
- DBA.nl/ Beheer Oracle database / gegevensverwerking binnen de EU / Verwerkersovereenkomst afgesloten
- Bit.nl/ SPAMfilter / gegevensverwerking binnen de EU / Verwerkersovereenkomst afgesloten
- PQR/ Beheer IT-infrastructuur / gegevensverwerking binnen de EU / Verwerkersovereenkomst afgesloten
- Govroam/ Wifi netwerk / gegevensverwerking binnen de EU / Verwerkersovereenkomst afgesloten
8. Data processor ondersteunt opdrachtgever op de volgende manier bij verzoeken van betrokkenen:
- Wanneer verzoeken van betrokkenen rechtstreeks bij DeSom binnenkomen, dan verwijst DeSom te allen tijde terug naar de verantwoordelijke organisatie.
- Op verzoek van de verantwoordelijke organisatie werkt DeSom mee aan het vergaren en overdragen van relevante informatie/documenten.
9. Na beëindiging van de Overeenkomst met een opdrachtgever verwijdert data processor de persoonsgegevens die hij voor opdrachtgever verwerkt in principe binnen 3 maanden op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible).
Beveiligingsbeleid
10. Data processor heeft de volgende beveiligingsmaatregelen genomen ter beveiliging van zijn product of dienst:
SSC DeSom Informatie Beveiligings Principes
Principe | Omschrijving | Kern |
DSM-IBP-1 | We beschermen primair onze data ongeacht het platform, de applicatie of de locatie | data security first |
DSM-IBP-2 | De sterkste –en, waar mogelijk, meest kosteneffectieve beveiligingstechnologieen zijn onderdeel van elk ontwerp | secure by design |
DSM-IBP-3 | Beveiligingsmaatregelen bevinden zich op meerdere lagen conform verschillende beschermingmethoden | defense in depth |
DSM-IBP-4 | Het uitgangspunt is beveiligingsmaatregelen nemen tenzij… | secure by default |
DSM-IBP-5 | De primaire instelling is volgens het ‘standaard-weigeren-beleid’ | default deny |
DSM-IBP-6 | In geval van storing en/of systeemdefecten blijven beveiligingsmaatregelen altijd van kracht | fail secure |
DSM-IBP-7 | Elke uitrol of implementatie wordt volgens beveiligingsindustrie aanbevolen werkwijze uitgevoerd waarbij de ondersteunende software en handreikingen beschikbaar zijn | secure in deployment |
DSM-IBP-8 | De maatregelen onder ons beveiligingsbeleid zijn consistent | no security gap approach |
11. Data processor heeft zich geconformeerd aan het volgende Information Security Management System (ISMS):
- BIG (Baseline Informatiebeveiliging Gemeenten)
- Anders namelijk: Baseline Informatiebeveiliging Overheid.
12. Data processor heeft de volgende certificeringen:
- Data pro certificaat
Datalekprotocol
13. In geval er toch iets mis gaat, hanteert data processor het Incident Management Responseplan (IMR) om ervoor te zorgen dat opdrachtgever op de hoogte is van incidenten:
Een incident response-actie bestaat – in hoofdlijnen – uit de volgende stappen:
1. Identificatie;
2. Schade Indamming (Insluiting En Beperking);
3. Remediatie En Herstel;
4. Kennisgeving / Communicatie;
5. Rapportage En Evaluatie.