Een Data Protection Impact Assessment (DPIA) is een middel om privacy risico's in kaart te brengen en gepaste maatregelen vast te stellen. Deze beoordeling wordt ook wel eens PIA of gegevensbeschermingseffectbeoordeling genoemd. Mett hanteert de term DPIA omdat de AVG en de toezichthouder (Autoriteit Persoonsgegevens) deze voert.
Is een DPIA Verplicht?
In een aantal gevallen is een organisatie (verwerkingsverantwoordelijke) verplicht om voor het in gebruik nemen van de website/community een DPIA uit te voeren. Dit kan bijvoorbeeld verplicht zijn als er gezondheidsgegevens binnen de website/community worden verwerkt of als een over als er samenwerkingsverbanden zijn tussen de overheid met publieke partijen risicovolle gegevens uitwisselt.
Twijfel je of een DPIA nodig is? Informeer dan binnen je organisatie bij de privacy officer of Functionaris Gegevensbescherming (FG).
Je moet zelf een DPIA uitvoeren, maar wij helpen een handje
Hoewel onze klant verantwoordelijk is voor het uitvoeren van een DPIA helpen we graag een handje. Wij zien dit document als een startpunt om een DPIA op te stellen. Op basis van het rijksmodel DPIA lichten we toe hoe Mett zaken geregeld heeft.
Betrokken partijen
In lijn met de AVG is je werkgever verwerkingsverantwoordelijke en daarmee eindverantwoordelijk voor de verwerking van die persoonsgegevens binnen de website/community. Mett geldt daarbij als (gegevens)verwerker. En bijvoorbeeld onze hostingprovider als sub-verwerker.
Subverwerkers, met welke leveranciers werkt Mett?
Mett beschikt over een register van verwerkingen waarin alle verwerkers staan van persoonsgegevens. Binnen onze dienstverlening maken wij gebruik van de volgende leveranciers: Laposta, Zendesk, Trengo, HTX automatisering B.V. en CJ2 Hosting B.V.. Met elk van hen heeft Mett een verwerkersovereenkomst en zijn aanvullende beveiligingsafspraken gemaakt. Voorbeelden van beveiligingsmaatregelen zijn:
- Certificaten incl. Verklaring van Toepasselijkheid worden jaarlijks opgevraagd en gecontroleerd;
- Service Lever Agreements inclusief controle van deze rapportage;
- Afspraken over de logging en toegang zodat Mett op ieder moment weet wie er toegang heeft gehad tot persoonsgegevens.
De datacenters zijn in Nederland gevestigd; data en back-ups worden (dus) in Nederland opgeslagen. Met onze hostingprovider hebben wij contractuele afspraken gemaakt over beveiliging. Deze beveiliging ziet onder meer op maatregelen die de hostingprovider zelf neemt, alsook op beveiligingsnormen die wij stellen aan de datacenters waarvan wij via onze hostingprovider gebruikmaken. Ons datacenter is gecertificeerd conform ISO 27001, ISAE 3402, NEN 1010, NEN 3140 en heeft een TIER 3 redundantie. Het datacenter wat dienst doet als onze back-up locatie is ISO gecertificeerd en heeft een TIER 3 redundantie.
Voor verwerking van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) (derde landen) gelden specifieke regels. Binnen de EER vallen naast alle Europese landen ook Noorwegen, Liechtenstein en IJsland.
Mett werkt samen met een leverancier (subverwerker) die gevestigd is buiten de EER. Ondanks het wegvallen van de privacy Shield kan Mett en haar klanten in lijn met de AVG blijven werken. De volgende afspraken zijn gemaakt met leveranciers die in de Verenigde Staten gevestigd zijn.
- Zendesk, in lijn met de overeenkomst met Mett en daarmee het optimaal laten functioneren van deze community/website kunnen organisaties terugvallen op de Helpdesk-ondersteuning. Mett maakt hierbij gebruik van Zendesk, gevestigd in de Verenigde staten. De data, e-mail, voor- en achternaam, en eventuele telefoonnummers, worden in de VS opgeslagen. Over deze verwerking zijn afspraken gemaakt in de vorm van een verwerkingsovereenkomst.
Ter vervanging van de Privacy Shield beschikt Zendesk over een bedrijfsbreed beleid voor gegevensbescherming, zogenaamde bindende bedrijfsvoorschriften (“BCR's”). Deze zijn goedgekeurd middels het EU-goedkeuringsproces afgerond met de Ierse toezichthouder (getoetst de Nederlandse Autoriteit Persoonsgegevens). En hiermee is een veilige verwerking geborgd. Bovendien beschikt de organisatie over onder meer een SOC 2 Type II rapport en de ISO 27001 en ISO 27018 certificering.
Binnen het Mett platform is er geen sprake van (semi-) geautomatiseerde besluitvorming, big data verwerkingen of profilering.
Mett is een multi-tenancy applicatie, dit betekent dat de 'codebase' van Mett voor alle klanten gelijk is. Door stringente ingebouwde restricties is het echter niet mogelijk om bij data van andere klanten te komen.
Om de continuïteit van de beschikbaarheid van de data in het Mett Platform te waarborgen heeft Mett meerdere maatregelen getroffen. Een van de belangrijkste maatregelen is dat Mett alle servers en firewalls redundant heeft uitgevoerd. Deze staan in een datacentrum die zeer goed is beveiligd tegen, overstromingen, brand en stroomuitval. Daarnaast zorgt Mett voor een offsite backup welke veilig wordt opgeslagen in een secundair datacentrum op hemelsbreed 65 kilometer afstand. Dit is om mede om bij hackpogingen een kopie te hebben die niet geïnfecteerd is. De servers staan in Nederland en worden beheerd door een Nederlandse partner. Bij een eventueel faillissement van onze hostingprovider heeft dan niet de curator (zoals meestal het geval is), maar Mett zelf nog steeds volledig controle over de servers waarop ons Mett Platform draait.