Veelgestelde vragen over de General Data Protection Regulation of Algemene Verordening Gegevensbescherming

Hier behandelen we enkele vragen die vaak terugkomen met betrekking tot de aanpassingen die Citrix heeft doorgevoerd in de End User License Agreements en End User Services Agreements, en het Data Processing Addendum zoals dit beschikbaar is in Citrix My Account, en algemene vragen over de GDPR oftewel AVG.

We hebben de bepalingen rond security en gegevensbescherming in onze End User License Agreements (EULA) en End User Services Agreements (EUSA) geactualiseerd. De bijgewerkte voorwaarden bevatten een gedetailleerde omschrijving van de beveiligingsmaatregelen die Citrix heeft getroffen, evenals bepalingen m.b.t. de verwerking van gegevens, in overeenstemming met de desbetreffende artikelen van de GDPR en door de EU goedgekeurde modelclausules (ook wel modelcontractbepalingen genoemd). Deze voorwaarden zijn van toepassing op alle toekomstige bestellingen of productupdates. U hoeft verder niets te doen om de eisen van de GDPR na te leven en ervoor te zorgen dat de persoonsgegevens van uw organisatie overeenkomstig een gegevensverwerkingsovereenkomst worden verwerkt.

Met de gewijzigde voorwaarden wil Citrix voldoen aan de eisen van artikel 28 van de GDPR, waarin staat dat de verwerking van gegevens moet gebeuren overeenkomstig een overeenkomst, en om meer specifieke informatie te geven over de manier waarop Citrix zijn Services beveiligt.

De General Data Protection Regulation (Algemene Verordening Gegevensbescherming) is de belangrijkste update van de Europese privacywetgeving sinds 1995, en bedoeld om de persoonsgegevens van natuurlijke personen beter te beschermen.

De GDPR is van toepassing als uw organisatie is gevestigd in de EU of persoonsgegevens verwerkt van natuurlijke personen uit de EU voor het aanbieden van producten of diensten. Dit betekent dat de GDPR geldt voor vrijwel alle bedrijven die zakendoen in de EU.

Alle informatie die kan worden gebruikt om een natuurlijke persoon te identificeren, zoals een telefoonnummer, e-mailadres of IP-adres.

Het verzamelen, bewaren en gebruiken van persoonsgegevens (en verder zo’n beetje alles wat je met persoonsgegevens kunt doen).

De GDPR is ingegaan op 25 mei 2018.

Organisaties hebben de verplichting om gepaste regels en beveiligingsmaatregelen in te voeren, om datalekken te melden aan de autoriteiten (en in bepaalde gevallen ook aan de getroffen personen), om ‘privacy impact assessments’ te houden, om een register aan te leggen over activiteiten m.b.t. gegevens en om een overeenkomst aan te gaan met bedrijven die de gegevens verwerken.

De GDPR is gebaseerd op de Databeschermingsrichtlijn en versterkt in bepaalde opzichten de bestaande wetgeving, bijvoorbeeld met betrekking tot het melden van inbreuken, er zijn hogere boetes voor non-compliance en dataverlies, en regels voor de verwerking van persoonsgegevens.

De boete kan oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet, waarbij het hoogste bedrag telt.

Een ‘quick fix’ is er niet. Als dit nog niet is gebeurd, bepaal dan eerst wat de GDPR precies inhoudt voor uw organisatie en voor uw gebruik van persoonsgegevens uit de EU. Mogelijk moet u een gegevensverwerkingsovereenkomst afsluiten met uw gegevensverwerkers. Kijk ook goed naar de security van uw computersystemen en alles wat u doet rond de verwerking van gegevens. Citrix heeft een infopakket over de GDPR samengesteld, dat u kan helpen bij uw voorbereidingen.

Als uw organisatie gegevens verzamelt en bepaalt hoe deze worden verwerkt (een ‘data controller’ oftewel ‘verwerkingsverantwoordelijke’ in de officiële vertaling), dan bepaalt de GDPR dat u een overeenkomst moet aangaan met iedereen die namens u gegevens verwerkt (‘data processors’ oftewel ‘gegevensverwerkers’). Een gegevensverwerkingsovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke en gegevensverwerker, waarin wordt bepaald hoe beide aan de eisen van de GDPR zullen voldoen. Citrix biedt hiervoor een Data Processing Addendum (DPA)

Dat hangt af van hoe uw organisatie werkt met Citrix. Als u Services afneemt (zoals Citrix Cloud Services) en Citrix persoonsgegevens van u bewaart binnen die Services, dan is Citrix een gegevenverwerker.

Dit Citrix Data Processing Addendum (DPA) maakt deel uit van de Citrix EULA, EUSA of serviceovereenkomst die van toepassing is op de Services (‘Overeenkomst’) en vereist geen aparte goedkeuring.  Ondertekening van de Citrix modelclausules van de EU is optioneel.

De Europese wet reguleert de overdracht van Europese persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) (EU-landen + IJsland, Liechtenstein en Noorwegen). De EU biedt een aantal modelclausules (dit zijn niet-onderhandelbare eisen die door de Europese Unie zijn vastgelegd), die kunnen worden toegevoegd aan overeenkomsten tussen een gegevensverantwoordelijke en een gegevensverwerker buiten de EU of EER om ervoor te zorgen dat alle persoonsgegevens die de EER verlaten, worden overdragen in overeenstemming met de Europese wetgeving, waaronder de GDPR/AVG.

Ja, de modelclausules van de Europese Unie zijn gebruikt voor internationale overdracht. Voor klanten die ook formeel de modelclausules willen gebruiken, is een uitvoerbare versie beschikbaar door enkele eenvoudige stappen te volgen:

  • Ga naar Citrix.nl en meld u aan bij uw Citrix My Account
  • Klik op ‘View Standard Contractual Clauses’ aan de linkerkant
  • Klik op ‘Accept’ om de modelclausules elektronisch te raadplegen

Podio, RightSignature en Citrix Content Collaboration klanten zonder Citrix Content Collaboration Enterprise Edition of zonder ander Citrix Enterprise product hebben mogelijk geen My Citrix Account.  

U kunt heel eenvoudig een My Account aanmaken op www.citrix.nl. U beschikt dan ook over het addendum betreffende gegevensverwerking en tal van andere voordelen met betrekking tot de producten en diensten van Citrix.

Op het moment dat de GDPR ingaat, is het Verenigd Koninkrijk nog niet uit de EU en geldt de wetgeving dus ook voor het Verenigd Koninkrijk. Als bedrijven in het Verenigd Koninkrijk gegevens verwerken van Europese inwoners, vallen deze onder de GDPR, ongeacht of het Verenigd Koninkrijk lid is van de EU.

Deze veelgestelde vragen en de vermelde links geven een globaal overzicht van de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). en zijn niet bedoeld als juridisch advies. De tekst mag dus ook niet als zodanig worden opgevat. oCitrix biedt geen enkel juridisch, boekhoudkundig of auditgerelateerd advies. Verder geeft Citrix geen enkele garantie dat klanten of Channel Partners met de door Citrix aangeboden diensten of producten volledig in overeenstemming zijn met wat voor wet- of regelgeving dan ook.

Klanten en Channel Partners zijn zelf verantwoordelijk voor hun naleving van wet- en regelgeving, inclusief de GDPR/AVG. Klanten en Channel Partners zijn zelf verantwoordelijk voor hun interpretatie van en/of moeten zelf deskundig juridisch advies inwinnen met betrekking tot de op hen van toepassing zijnde wet- en regelgeving die van invloed kan zijn op hun activiteiten en alles wat ze moeten doen om de desbetreffende wet- en regelgeving na te leven.