Data Pro Statement

  

Dit Data Pro Statement vormt samen met de Standaardclausules voor verwerkingen in hoofdstuk 2 van de NLdigital Voorwaarden 2020 de verwerkersovereenkomst voor de producten en diensten van WSB Solutions B.V.

Algemene informatie

1. Dit Data Pro Statement is opgesteld door de volgende data processor (verwerker):

WSB Solutions B.V.
Kade 30
3371 EP Hardinxveld-Giessendam
Nederland

Voor vragen over dit Data Pro Statement of dataprotectie kan contact opgenomen worden met onze Security & Privacy Officer; privacy@wsb-solutions.nl. Tel. +31 184 618837.

2. Dit Data Pro Statement geldt vanaf 04 december 2025

Dit Data Pro Statement en de daarin omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij publiceren de actuele versie van dit Data Pro Statement op onze website.

3. Toepasselijkheid Data Pro Statement

Alle diensten van WSB Solutions B.V. (hierna WSB) zijn vermeld in onze Dienstbeschrijving. Dit Data Pro Statement is van toepassing op alle verwerkingen van Persoonsgegevens die WSB doet in het kader van de levering van de in de Dienstbeschrijving vermelde diensten en op al onze overeenkomsten en aanbiedingen voor deze diensten.
De diensten die WSB aan u levert, worden voor een deel door WSB uitbesteed aan derde partijen; de zogenaamde “sub data processors” of “subverwerkers” volgens de Algemene verordening gegevensbescherming (Avg). In artikel 8 van deze Data Pro Statement is een overzicht opgenomen van de subverwerkers waar WSB gebruik van maakt. In de overeenkomst(en) die WSB met u sluit, is aangegeven welke diensten WSB aan u levert en van welke derde partijen WSB in die specifieke overeenkomst(en) gebruik maakt.
De belangrijkste partij waar WSB diensten van levert is Microsoft. Voor alle door Microsoft geleverde producten en diensten geldt de bijzonderheid dat er een directe overeenkomst, de zogenaamde Microsoft Customer Agreement, wordt gesloten tussen u als klant en Microsoft. Dit houdt in dat Microsoft, en niet WSB, dient te worden aangemerkt als “Verwerker” en dat Microsoft geen “subverwerker” is van WSB. Voor de overzichtelijkheid hebben we Microsoft echter toch vermeld in het overzicht van sub-verwerkers in artikel 8. In de Microsoft Customer Agreement en in het Microsoft Vertrouwenscentrum, kunt u alle informatie vinden hoe Microsoft omgaat met security en privacy en voldoet aan de Avg als Verwerker van persoonsgegevens.

4. Omschrijving diensten

In onze Dienstbeschrijving vindt u een omschrijving van alle beschikbare diensten van WSB. De Dienstbeschrijving is bepalend voor wat u kunt verwachten van iedere dienst. In de overeenkomst(en) die WSB met u sluit, is telkens aangegeven welke van de beschikbare diensten WSB aan u levert. Eventuele afwijkingen of uitzonderingen op de Dienstbeschrijving zijn vermeld in de overeenkomst(en) die WSB met u sluit.

5. Beoogd gebruik

De diensten van WSB zijn niet bedoeld voor de verwerking van bijzondere persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of door de overheid uitgegeven persoonsnummers. Verwerken van deze gegevens met de diensten van WSB door opdrachtgever is ter eigen beoordeling van opdrachtgever.

6. Standaardclausules voor verwerkingen

WSB gebruikt de Standaardclausules voor verwerkingen, welke zijn opgenomen in Hoofdstuk 2 van de NLdigital Voorwaarden. De NLdigital Voorwaarden zijn als bijlage bij de overeenkomst(en) te vinden.

7. Verwerking persoonsgegevens binnen en buiten de EU/EER

Voor alle diensten die WSB zelf uitvoert geldt dat WSB de persoonsgegevens van zijn opdrachtgevers verwerkt binnen de EU/EER. Voor de diensten die WSB uitbesteed aan subverwerkers, is in artikel 8 per subverwerker vermeld of deze persoonsgegevens binnen en/of buiten de EU/EER verwerkt en hoe de betreffende subverwerker voldoet aan de Avg.

8. Subverwerkers

WSB maakt gebruik van de volgende subverwerkers:

9. Ondersteuning opdrachtgever bij verzoeken van betrokkenen:

Opdrachtgever kan via de WSB Supportdesk eenvoudig een ticket aanmaken met verzoeken om een export, aanpassing of verwijdering van gegevens. De procedure hiervoor is opgenomen in onze Service Level Agreement die te vinden is op onze website.

10. Verwijderen persoonsgegevens na beëindiging van de overeenkomst met een opdrachtgever

Na beëindiging van de overeenkomst met een opdrachtgever verwijdert WSB de persoonsgegevens in principe binnen 3 maanden op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible). Uitzonderingen hierop zijn:

• Persoonsgegevens waarvoor een wettelijke bewaarplicht geldt (zoals bijvoorbeeld facturatiegegevens).
• Persoonsgegevens van een persoon die heeft aangegeven dat bepaalde persoonsgegevens verwerkt mogen worden door WSB (opt-in, bijvoorbeeld voor marketinginformatie).

Beveiligingsbeleid

11. Beveiligingsmaatregelen

WSB heeft de volgende beveiligingsmaatregelen getroffen. Deze beveiligingsmaatregelen kunnen van tijd tot tijd worden aangepast aan veranderende omstandigheden.

Geheimhoudingsverplichting

WSB is verplicht tot geheimhouding van alle vertrouwelijke gegevens, waaronder persoonsgegevens, van Verantwoordelijke, die haar medewerkers tijdens de uitvoering van de overeenkomst(en) onder ogen krijgen. Dit is vastgelegd in de NLdigital Voorwaarden die van toepassing zijn op alle overeenkomsten die WSB met u sluit. Om naleving van deze geheimhoudingsverplichting te waarborgen, laat WSB al haar medewerkers bij indiensttreding een geheimhoudingsverklaring tekenen. Deze geheimhoudingsverklaring is onderdeel van de arbeidsovereenkomst. Op niet naleving van de geheimhoudingsverklaring is een boetebeding van toepassing.

Managementsysteem voor Kwaliteit en Informatiebeveiliging

WSB maakt gebruik van een gecertificeerd Managementsysteem voor Kwaliteit en Informatiebeveiliging dat voldoet aan de normen van respectievelijk ISO 9001 en ISO 27001.
Om te zorgen dat alleen bevoegde medewerkers toegang tot haar systemen en gegevens hebben, heeft WSB beleid op de volgende gebieden dat is vastgelegd in het Managementsysteem. De naleving van het beleid wordt periodiek door middel van interne audits en door externe audits, door een onafhankelijke en geaccrediteerde partij, geverifieerd.

• Beleid voor mobiele apparatuur en telewerken
• Screeningsbeleid
• Beleid voor informatieclassificatie
• Toegangsbeveiligingsbeleid; zowel voor digitale als fysieke toegang
• Wachtwoordbeleid
• Beleid inzake het gebruik van cryptografische beheermaatregelen
• Clean desk en clear screen beleid
• Back-up beleid
• Beleid voor informatietransport
• Beleid voor beveiligd ontwikkelen
• Informatiebeveiligingsbeleid voor leveranciers
• Beleid voor het melden van informatiebeveiligingsincidenten
• Sanctiebeleid
• Informatiebeveiliging in het beheer van projecten

Binnen het wachtwoordbeleid zijn onder meer de volgende maatregelen getroffen.

• Gebruikersidentiteiten worden centraal beheerd in onze Microsoft Entra omgeving.
• In Entra is een password policy ingesteld die gebruikers verplicht een sterk wachtwoord te kiezen. Gebruikers worden tevens verplicht regelmatig hun wachtwoord te wijzigen.
• Multi Factor Authenticatie (MFA) is ingericht. Om buiten het kantoor van in te kunnen loggen is naast gebruikersnaam en wachtwoord, tevens toegang tot een geverifieerd apparaat (smartphone) noodzakelijk.

Beheer wachtwoorden van klanten

Om haar werkzaamheden te kunnen uitvoeren, kan het voorkomen dat WSB over wachtwoorden, waaronder het Admin wachtwoord, van opdrachtgever moet beschikken. Deze wachtwoorden (en zaken als encryptiesleutels) worden centraal en versleuteld opgeslagen in de datakluis van onze wachtwoordmanagement applicatie. Alleen medewerkers van WSB waarvan de gebruikersidentiteit geverifieerd is via Entra en die vanuit hoofde van hun functie toegang moeten hebben tot deze wachtwoorden, hebben toegang tot de gegevens in deze datakluis.

12. WSB heeft zich geconformeerd aan het volgende Information Security Management System (ISMS):

• ISO 27001

13. WSB heeft de volgende certificeringen:

• ISO 9001
• ISO 27001

Datalekprotocol

14. WSB hanteert het volgende datalekprotocol om ervoor te zorgen dat opdrachtgever op de hoogte is van incidenten:

WSB gebruikt de volgende monitoringtools / werkwijze om potentiële beveiligingsincidenten te signaleren en daarop te reageren:

• Threat & Vulnerability informatie uit meerdere bronnen (o.a. Microsoft, Nationaal Cyber Security Center en Blackpoint Cyber) wordt actief gemonitord om potentiële beveiligingsincidenten in een zo vroeg mogelijk stadium te signalen.
• De genomen security maatregelen in de IT-omgeving van WSB, op basis van het informatiebeveiligingsbeleid, worden continu gemonitord en gehandhaafd. Afwijkingen worden grotendeels automatisch hersteld.
• De IT-omgeving van WSB wordt continu actief gemonitord om potentiële beveiligingsincidenten zo snel mogelijk te detecteren en noodzakelijke tegenmaatregelen te kunnen nemen.
• Er is een security awareness programma om medewerkers van WSB alert te laten zijn op phishing pogingen.
• Er is een Business Continuity Plan en een bijbehorend draaiboek met de stappen hoe te reageren indien zich een beveiligingsincident voordoet in de interne IT-omgeving van WSB.

Er is een procedure voor het intern melden van beveiligingsincidenten en datalekken. Beveiligingsincidenten en datalekken worden geregistreerd in een daarvoor bestemd register.

In geval van een datalek zal WSB, voor zover mogelijk, binnen 72 uur na de ontdekking van het datalek de volgende gegevens verstrekken aan opdrachtgever.