External Security Policy

1. Begrippen

In deze security policy zullen de hiernavolgende begrippen, in enkelvoud of meervoud, de betekenis hebben zoals deze hierna uiteengezet worden:

AVG

Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

Application Programming Interface (‘API’)

Toepassing op basis waarvan het Platform gegevens kan uitwisselen met software, een programma of onderdeel aangeboden door een derde-dienstverlener;

Eindgebruiker

De gebruiker binnen de organisatie van de Klant, die op basis van een gebruiksrecht een eigen account heeft op het Platform;

Gegevensbeschermingseffectbeoordeling (GEB)

Het proces dat conform artikel 35.7 AVG uitgevoerd wordt door de Verwerkingsverantwoordelijke telkens wanneer een gegevensverwerking waarschijnlijk gepaard gaat met hoge risico's in verband met de rechten en vrijheden van natuurlijke personen, waarin de Verwerking van Persoonsgegevens wordt beschreven, de noodzaak en evenredigheid van de Verwerking wordt beoordeeld en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen te helpen beheren;

Data

Klantgegevens en Persoonsgegevens die noodzakelijk zijn voor de werking van het Platform;

Datalek

Elk veiligheidsincident dat de vertrouwelijkheid, integriteit of beschikbaarheid van Persoonsgegevens aantast en daardoor kan leiden tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Klant

Het kantoor, de rechtspersoon of de eenmanszaak, genoemd in de bijzondere voorwaarden, met wie digibodeen overeenkomst sluit;

Klantgegevens

Alle inhoud, materialen en gegevens die de Klant en haar geautoriseerde Eindgebruikers invoeren, beheren en opslaan in het Platform alsook alle inhoud, materialen en gegevens die door de Klant en de geautoriseerde Eindgebruikers daaruit worden afgeleid (secundaire data);

Persoonsgegeven(s)

Alle informatie over een geïdentificeerde of een identificeerbare natuurlijke persoon (“Betrokkene”) zoals gedefinieerd in artikel 4(1) van de AVG;

Profilering

Elke vorm van geautomatiseerde Verwerking van Persoonsgegevens waarbij aan de hand van Persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, onder meer met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

Pseudonimisering

Elke verwerking van Persoonsgegevens op zodanige wijze dat de Persoonsgegevens niet meer aan een Betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de Persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

Subverwerker

Mogelijke onderaannemers van digiboddie in opdracht van digibodbepaalde Persoonsgegevens Verwerkt;

Verwerker

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt; 

Verwerking

Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

VerwerkingsverantwoordelijkeEen natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt; wanneer de doelstellingen van en de middelen voor deze Verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de Verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

2. Doelstellingen en rollen

2.1. In deze security policy (hierna de “Policy”) leggen wij, digibod(hierna “wij” of “digibod.”), aan de Klant uit welke passende technische en organisatorische maatregelen wij nemen met oog op de beveiliging van het digibodplatform (hierna het “Platform”) dat wij aan de Klant ter beschikking stellen in overeenstemming met de ondertekende algemene en bijzondere voorwaarden. 

2.2.  De Klant erkent en aanvaardt dat informatiebeveiliging een gedeelde verantwoordelijkheid is tussen ons, als aanbieder van het Platform, en de Klant samen met haar geautoriseerde Eindgebruikers. digibodtreedt hierbij louter op als de Verwerker van de Persoonsgegevens die de Klant en haar geautoriseerde Eindgebruikers ingeven, beheren en opslaan in het Platform. De Klant zal zelf en op eigen verantwoordelijkheid de vereiste beveiligingsmaatregelen nemen met oog op het vermijden van cyberincidenten, van welke aard ook, en met oog op het voorkomen van o.a. enig verlies van Data, de vernietiging dan wel de onbeschikbaarheid daarvan.     2.3. digibodverleent hierbij aan de Klant een uitdrukkelijke toelating om deze Policy aan te wenden, indien er daartoe de noodzaak zou bestaan om een Gegevensbeschermingseffectbeoordeling (hierna “GEB”) uit te voeren voor de verwerkingsactiviteiten die via het Platform worden uitgevoerd. digibodzal de Klant desgevallend bijstaan als Verwerker bij de uitvoering van de GEB door de Klant en de daartoe noodzakelijke informatie ter beschikking stellen aan de Klant.

3. Verwerkingsactiviteiten

3.1. Algemene omschrijving Het Platform is een “web based”-applicatie die “in the cloud” wordt gehost. Aan de Klant wordt de mogelijkheid geboden om via de ter beschikking gestelde accounts toegang te verkrijgen tot het Platform, vanaf eender welke locatie waar een degelijke internetverbinding voorhanden is. Door ingebruikname van het Platform wordt beoogd om de dagelijkse activiteiten van de Klant als advocaat/advocatenkantoor te faciliteren en digitaliseren. Verwerkingsactiviteiten zoals het ingeven, beheren, opslaan en bewaren van Data vormen een essentieel onderdeel hiervan. Met behulp van het Platform kunnen de Klant en haar Eindgebruikers dossiers volledig online aanmaken, uitvoeren en opvolgen.  

De Persoonsgegevens die Verwerkt kunnen worden via het Platform worden uiteengezet in artikel 4 van huidige Policy. De opsomming die in dit artikel 4 gegeven wordt is louter indicatief, met dien verstande dat Persoonsgegevens die door de Klant en/of diens geautoriseerde Eindgebruikers verkregen worden via afgeleide data, hierin niet opgenomen zijn. Elke Verwerking van Data gebeurt op initiatief en onder de verantwoordelijkheid van de Klant met inachtneming van de bepalingen uit de verwerkersovereenkomst die tussen de Klant en digibodwerd aangegaan.

3.2 Diensten van derden digibodmaakt gebruik van diensten van betrouwbare derden die zij samen met het Platform aanbiedt, waaronder:

Naam derde partij dienstverlener — Soort dienst die verleend wordt  De algemene voorwaarden van deze dienstverleners zijn hier raadpleegbaar: 

3.3 digibodverleent hierbij haar uitdrukkelijk akkoord aan de Klant om software en diensten van derden te integreren in het Platform via koppelingen voorzien door digiboddigibodverleent evenwel geen enkele garantie, noch  kan zij noch met haar verbonden vennootschappen en/of haar aangestelden aansprakelijk gesteld worden en/of instaan voor enige nadelige gevolgen van welke aard ook onder meer in navolging van Verwerkingen en/of cyberincidenten die zich voordoen door het gebruik van dergelijke software en/of API’s. Het is tevens de uitsluitende verantwoordelijkheid van de Klant als Verwerkingsverantwoordelijke om ervoor te zorgen enige Verwerkingen (indien van toepassing) in overeenstemming zijn met de toepasselijke wetgeving.

• Vercel: https://vercel.com/legal/terms
• Posthog: https://posthog.com/terms
• Stripe: https://stripe.com/legal/ssa
• Resend: https://resend.com/legal/terms-of-service
• Clerk: https://clerk.com/legal/terms
• Upstash: https://upstash.com/trust/terms.pdf

4. Categorieën van persoonsgegevens kunnen worden verwerkt in het platform

4.1. De Klant zal als Verwerkingsverantwoordelijke bepalen welke categorieën van Persoonsgegevens op welke wijze verwerkt zullen worden door het Platform, hoe lang de Persoonsgegevens bewaard worden en wanneer ze gewist worden.

4.2. In het Platform kunnen onder meer de volgende Persoonsgegevens worden Verwerkt door de Klant:

• Functionele gegevenscategorie — Soorten Persoonsgegevens
• Persoonlijke identificatiegegevens — Naam, titel
• Contactgegevens — Adres, telefoon-/gsm-nummer
• Financiële transacties — Bedragen die in een bestand zijn opgenomen, moet betalen en heeft betaald, overzicht van betalingen, rekeningnummers
• Beroepsactiviteiten — Beroepsactiviteiten van een persoon die in een bestand is opgenomen
• Overeenkomsten en schikkingen — Juridische overeenkomsten en schikkingen
• Persoonlijke bijzonderheden — Leeftijd, geslacht, geboortedatum, geboorteplaats, burgerlijke staat, nationaliteit
• Samenstelling van het gezin — Burgerlijke staat, identificatiegegevens gezinsleden
• Nationaal identificatienummer — Nationaal identificatienummer 
• Resultaten van wettelijk verplichte onderzoeken — Resultaten van customer de diligence-onderzoek, resultaten van UBO-check
• Beeldopnamen — Cameraopname, fotografische opname, video-opname, digitale foto’s
• Geluidsopnamen — Bandopname, telefoonopname 
• Bijzondere categorieën van persoonsgegevens — Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid
• Overig — Klantgegevens ingevoerd door de Klant of een Eindgebruiker

5. Beveiligingsmaatregelen op het platform

5.1. Genomen beveiligingsmaatregelen door digibod. digibodheeft als Verwerker van Persoonsgegevens in het Platform de passende technische en organisatorische beveiligingsmaatregelen genomen in de zin van artikel 32 AVG.

digibodheeft de volgende organisatorische beveiligingsmaatregelen genomen:

• Iedere persoon die voor digibodPersoonsgegevens Verwerkt in het Platform is onderworpen aan een contractuele geheimhoudingsverplichting en personen die niet onderworpen zijn aan dergelijke geheimhoudingsverplichting worden niet toegelaten om Persoonsgegevens te Verwerken;
• Toekenning van specifieke toegangsrechten voor medewerkers van digibodin het Platform op een “need to know” basis;
• Beheer van gebruikte software en hardware voor het Platform in een register;
• Beheer van wijzigingen in de gebruikte software en hardware voor het PlatformAfsluiten van de nodige overeenkomsten met Subverwerkers van het Platform;
• Regelmatige training en opleiding van medewerkers van digibodin gegevensbescherming en beveiligingsprocedures voor het Platform;

digibod.heeft de volgende technische beveiligingsmaatregelen genomen:

• Gebruik van basisinfrastructuur en softwarecomponenten voor de bescherming van de gebruikte informatiesystemen in het Platform, zoals firewalls, anti-malwarebescherming en virusscans;
• Toegangscontrole en authenticatie met complexe wachtwoorden;
• Regelmatige uitvoering van volledige back-ups van de gebruikte software voor het Platform;
• Encryptie van data die over het internet wordt verzonden; 
• Het voorkomen van ongeautoriseerde toegang tot Data door het digibodrechtensysteem;
• Het aanbieden van multi-factor authenticatie aan de Eindgebruikers en de mogelijkheid om dit door de Klant op kantoorniveau af te dwingen.

5.2. Beveiliging van de gebruikte servers Alle medewerkers van digibod.zijn op de hoogte van de meest gebruikte technieken om webapplicaties te kraken zodat ze het Platform hier ook optimaal tegen kunnen beveiligen. Naast de voorziene beveiligingsmaatregelen door de dienstverleners van de gebruikte servers voor het Platform, neemt digibodbijkomend de volgende beveiligingsmaatregelen voor de servers: 

• De medewerkers van digibodvolgen de “best security practices” van OWASP (https://www.owasp.org);
• Alle servers worden continu gecontroleerd op anomalieën door een automatisch monitoring systeem. Gedetecteerde afwijkingen worden gemeld per sms zodat ons team onmiddellijk kan ingrijpen;
• Alle servers worden regelmatig geüpdatet met bevoorrechte behandeling van beveiligingsupdates; 
• Nieuws over ontdekkingen van kwetsbaarheden in software die wij gebruiken voor het Platform wordt systematisch opgevolgd zodat er meteen op gepaste wijze ingegrepen kan worden;
• Alle servers zijn afgeschermd van het internet en enkel bereikbaar via een VPN-verbinding en daarbovenop nog private key authentication;
• Er kan enkel met de database servers gecommuniceerd worden over het intern netwerk;

5.3. Best practices door de Klant De Klant kan, naast de beveiligingsmaatregelen genomen door digibodin 5.1 en 5.2, bijkomende organisatorische en technische beveiligingsmaatregelen nemen bij wijze van best practice bij het gebruik van het Platform, waaronder:

• Het aannemen van een toegangsbeleid op basis van een “need to know”-principe;
• Het implementeren van een wachtwoordbeleid met gebruik van sterke wachtwoorden door de Eindgebruikers;
• Het invoeren van multi-factor authenticatie;
• Training van Eindgebruikers in de fundamentele principes van cybersecurity;
• Implementeren van anti-malware software, firewalls en virusscanners;
• Gebruik van een cloud access security broker.

6. Locatie van de persoonsgegevens verwerkt op het platform

Alle Persoonsgegevens die opgeslagen worden op het Platform worden bewaard op servers gelokaliseerd binnen de Europese Unie.

7. Responsible disclosure

digibodhecht veel belang aan de veiligheid van haar Platform. Ondanks de beveiligingsmaatregelen die digibodgenomen heeft in haar Platform kan het voorkomen dat er toch een kwetsbaarheid is. Indien de Klant een kwetsbaarheid in het Platform heeft gevonden vraagt digibodom dit te melden zodat de genomen beveiligingsmaatregelen kunnen worden aangepast of bijkomende maatregelen kunnen worden getroffen.

7.1. Melding van de kwetsbaarheid Als de Klant een kwetsbaarheid ontdekt, vraagt digibodaan de Klant om de kwetsbaarheid zo snel mogelijk na de ontdekking te melden per e-mail. digibodvraagt om voldoende informatie te geven om de kwetsbaarheid te reproduceren en zo snel mogelijk op te lossen. De Klant kan bij de melding desgevallend bijlagen en/of afbeeldingen toevoegen die de omschrijving van de kwetsbaarheid onderbouwen.

7.2. Verplichtingen van de Klant Bij ontdekking van een kwetsbaarheid, zal de Klant zich onthouden van de volgende handelingen:

• Het openbaar maken van de kwetsbaarheid totdat digibodde kwetsbaarheid heeft kunnen corrigeren;
• Het misbruiken van de kwetsbaarheid om onnodig gegevens te kopiëren, te verwijderen, aan te passen of in te kijken of meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen;
• Het plaatsen van malware in het Platform;
• Het aanbrengen van veranderingen in het Platform;
• Het herhaaldelijk toegang verkrijgen tot het Platform of de toegang delen met derden;
• Het gebruik maken van geautomatiseerde scantools;
• Het gebruik maken van “bruteforcen” van toegang tot het Platform;
• Het gebruik maken van aanvallen op fysieke beveiliging, denial-of-service, social engineering, spam of applicaties van derden;
• Enige handeling uit te voeren die een mogelijke impact heeft op de goede werking van het Platform, waaronder maar niet beperkt tot de beschikbaarheid en performantie van het Platform en de confidentialiteit en integriteit van gegevens in het Platform.
• De Klant zal alle gegevens die zijn verkregen via de kwetsbaarheid onverwijld wissen na de melding aan digibod.   7.3. Verplichtingen van digibod. digibodzal de Klant, behoudens een wettelijke uitzondering en onder dezelfde voorwaarden als bepaald voor haar aansprakelijkheid in de Algemene Voorwaarden van de Overeenkomst, vrijwaren tegen enige vorm van aansprakelijkheid door ontdekking van de kwetsbaarheid in het Platform. digibodzal de melding van de kwetsbaarheid door de Klant vertrouwelijk behandelen en zal geen Persoonsgegevens van de Klant en/of Eindgebruiker zonder diens toestemming doorgeven, tenzij om te voldoen aan een wettelijke verplichting die op digibodrust.

8. Versiebeheer en wijzigingen

digibodkan deze Policy op elk moment wijzigen en zal de nieuwe versie op eigen initiatief communiceren aan de Klant, voor zover er die te allen tijde het vertrouwelijke karakter ervan zal garanderen.  digibodmag de opgenomen beveiligingsmaatregelen wijzigen, verwijderen en nieuwe beveiligingsmaatregelen toevoegen in de Policy.