Algemene Verordening Gegevensbescherming (AVG)

Verwerkersovereenkomst

Sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze nieuwe wetgeving vervangt de eerdere Wet Bescherming Persoonsgegevens.

Onderdeel van de AVG is dat u, als Verwerkingsverantwoordelijke, met veel van uw leveranciers een Verwerkersovereenkomst aan moet gaan. Zo ook met Urios.

Afhankelijk van uw manier van werken heeft u een Verwerkersovereenkomst met Urios nodig omdat:

  1. Wij support verlenen middels RealVNC waarmee wij op uw scherm in Urios kunnen meekijken dus letterlijk meelezen: een vorm van ‘verwerken’.
  2. Omdat wij op afstand bij uw data in de database en drive kunnen. Omdat wij deze diensten aan u leveren en daarvoor voor u een cloud database aanmaken, kunnen wij als beheerder technisch gesproken altijd bij uw data. Deze toegang is van belang voor het verlenen van support en uitvoeren van werkzaamheden behorende bij deze diensten.
    Punt 2 is alleen van toepassing op gebruikers van de Urios Cloud Database.

Om te zorgen dat zowel u als wij voldoen aan een van de eisen die worden gesteld onder de AVG, hebben wij een Verwerkersovereenkomst opgesteld. In deze overeenkomst is onder andere opgenomen welke dat wij met wel doel verwerken.

In geval van de cloud-gebruikers: waar deze data staat opgeslagen en welke stappen er ondernomen moeten worden in geval van een datalek.

U kunt deze Verwerkersovereenkomst afdrukken, ondertekenen en daarna aan ons retourneren. Dit kan zowel gescand per mail als per post naar:

Urios B.V.
T.a.v. Ilse Aerts
Otterkoog 7
1822 BW ALKMAAR
info@urios.nl

De Verwerkersovereenkomst zal dan ondertekend worden door Ilse Aerts en naar u worden teruggestuurd, zodat u de Verwerkersovereenkomst in uw eigen administratie kunt opnemen.

Omdat Urios op dit moment bijna 300 advocatenkantoren bedient, hebben wij deze Verwerkersovereenkomst zoveel mogelijk gestandaardiseerd. Indien er punten zijn in de overeenkomst waar u zich niet in kunt vinden, verzoeken wij u om contact met Ilse Aerts op te nemen, zodat wij in goed overleg kunnen bepalen wat de mogelijkheden zijn.

Functionaris Gegevensbescherming

Organisaties zijn verplicht een Functionaris Gegevensbescherming (FG) te benoemen als zij op grote schaal Bijzondere Persoonsgegevens verwerken en dit een kernactiviteit is.

Bijzondere Persoonsgegevens zijn gegevens omtrent iemands ras, geloof, politieke voorkeur, seksuele leven, lidmaatschap van een vakbond, gezondheid en strafrechtelijk verleden.

Verwerking door Urios

In de rol van Verwerkingsverantwoordelijke verwerkt Urios bepaalde persoonsgegevens van u als gebruiker ten behoeve van de facturering, het verlenen van support en voor het kunnen uitvoeren van alle werkzaamheden die voortvloeien uit het feit dat u gebruik maakt van onze software (Grondslag ‘Uitvoering van een overeenkomst’).

Enkel gezien in de rol van Verwerkingsverantwoordelijke is het niet nodig voor Urios om een Functionaris Gegevensbescherming aan te stellen. In Urios haar rol als Verwerker van uw data ligt het echter anders.

Omdat wij middels RealVNC support verlenen, en daardoor mee kunnen kijken op uw scherm, kan het zijn dat wij op die manier (ook) Bijzondere Persoonsgegevens inzien en dus Verwerken. Dit speelt vooral bij strafrecht en letselschade kantoren.

Cloud Diensten

Daarnaast bieden wij onze cloud dienst aan: de Cloud Database. Deze diensten worden nu, dan wel in de toekomst, ook gebruikt door advocatenkantoren die Bijzondere Persoonsgegevens verwerken.

Op dit moment is de Verwerking van Bijzondere Persoonsgegevens vanuit onze organisatie gezien beperkt (er is geen sprake van ‘verwerking op grote schaal’ en tevens is dit geen kernactiviteit van Urios op dit moment). Wij bieden onze cloud diensten echter wel actief aan en hopen dit in de toekomst verder uit te breiden.

Om die redenen heeft Urios ervoor gekozen toch een Functionaris Gegevensbescherming aan te stellen. Ilse Aerts is officieel ingeschreven als FG bij de Autoriteit Persoonsgegevens en is daarmee ook eerste aanspreekpunt voor deze toezichthouder.

Contactgegevens Functionaris Gegevensbescherming Urios B.V.

Ilse Aerts
072 512 22 05
info@urios.nl

Subverwerkers

Voor het aanbieden van de Urios Cloud Database en Urios Cloud Drive maakt Urios gebruik van de diensten van een tweetal subverwerkers: TransIP voor het hosten van de databases en RFC IT, leverancier voor de dienst Urios Cloud Drive voor documentenopslag die wordt ingekocht bij Ek.co.

TransIP

TransIP is gevestigd in Leiden en maakt gebruik van verschillende datacenters in Amsterdam. De serverruimte die wij afnemen bij TransIP wordt gebruikt om de Urios Cloud Databases op te slaan. Deze data wordt primair opgeslagen binnen Nederland en per definitie niet buiten de Europese Economische Ruimte.

Bekijk de certificeringen van TransIP

RFC IT & Ek.co

Voor de Urios Cloud Drive, bedoeld voor documentenopslag in de cloud, maken wij gebruik van de diensten van Ek.co. Deze dienst van Ek.co wordt ingekocht via de tussenleverancier RFC IT, met wie er een Verwerkersovereenkomst is afgesloten. RFC IT heeft op haar beurt weer een Verwerkersovereenkomst afgesloten met Ek.co waarin dezelfde voorwaarden worden gesteld. De bestanden die door de gebruiker in de Urios Cloud Drive worden gezet, worden feitelijk opgeslagen in één van de Nederlandse datacenters van Ek.co in Amsterdam of Delft.

Meer informatie over RFC IT

Meer informatie over Ek.co

Voorzieningen en ISO-certificeringen

De datacenters van zowel TransIP als Ek.co zijn voorzien van onder andere sterke internet verbindingen, brandbeveiliging, koeling en noodstroom om de servers met daarop alle data zo goed mogelijk tegen onheil te beschermen. Uiteraard zijn de feitelijke serverruimtes ook voorzien van toegangscontrole. Alleen medewerkers die geautoriseerd zijn mogen de serverruimtes betreden. Om alle data ook digitaal te beveiligen voldoet alle gebruikte apparatuur aan de huidige gestelde veiligheidseisen. Omdat RFC IT alleen de rol van leverancier vervult en niet zelf de cloudopslag in beheer heeft, is RFC IT hier verder buiten beschouwing gelaten.

De verschillende partijen beschikken over de volgende ISO certificeringen:

TransIP

ISO 27001:2013Standaard voor informatiebeveiliging
ISO 9001:2015Kwaliteitsmanagement
NEN 7510:2011Informatiebeveiliging in de zorg

Ek.co

ISO 27001Standaard voor informatiebeveiliging
NEN 7510Informatiebeveiliging in de zorg

Grondslagen om persoonsgegevens te mogen verwerken

Een organisatie heeft alleen het recht om Persoonsgegevens te Verwerken als zij zich kan baseren op een van de zes grondslagen uit de AVG. Urios maakt gebruik van de volgende grondslagen:

  • Uitvoering van de overeenkomst
  • Gerechtvaardigd belang

Privacy- en beveiligingsprotocol

We maken graag aan u duidelijk welke gegevens wij van u verzamelen en welke niet. Door u verstrekte gegevens zullen nooit aan derden worden verstrekt zonder dat dit noodzakelijk is. Verzamelde gegevens zullen nooit worden verkocht.

Om inzicht te geven in de soorten gegevens die wij gebruiken en met welk doel deze worden verzameld, hebben wij verschillende protocollen opgesteld. Deze kunt u hieronder downloaden.

Beveiligingsprotocol

Onderdeel van onze Verwerkersovereenkomst vormt het Beveiligingsprotocol. In dit protocol leggen wij uit hoe wij onze eigen gegevens en de gegevens die wij voor onze klanten beheren beveiligen. Tevens geven wij in dit protocol uitleg en adviezen over het gebruik van beveiligingsinstellingen en opties van onze software en software van derden.