Veelgestelde vragen over de General Data Protection Regulation of Algemene Verordening Gegevensbescherming

Hier behandelen we enkele vragen die vaak terugkomen met betrekking tot de aanpassingen die Citrix heeft doorgevoerd in de End User License Agreements en End User Services Agreements, en de nieuwe Online Data Processing Agreement zoals deze beschikbaar is in Citrix My Account, en algemene vragen over de GDPR oftewel AVG.

Citrix wil klanten helpen bij het treffen van voorbereidingen voor de GDPR. In het kader daarvan worden de voorwaarden aangepast om rekening te houden met de eisen van de GDPR.

We hebben de bepalingen rond security en gegevensbescherming geactualiseerd en toegevoegd aan onze End User License Agreements (EULA) en End User Services Agreements (EUSA). De bijgewerkte voorwaarden bevatten een gedetailleerde omschrijving van de beveiligingsmaatregelen die Citrix heeft getroffen, evenals bepalingen m.b.t. de verwerking van gegevens, in overeenstemming met de desbetreffende artikelen van de GDPR en door de EU goedgekeurde modelclausules (ook wel modelcontractbepalingen genoemd). Deze voorwaarden zijn van toepassing op alle toekomstige bestellingen of productupdates. U hoeft verder niets te doen om de eisen van de GDPR na te leven en ervoor te zorgen dat de persoonsgegevens van uw organisatie overeenkomstig een gegevensverwerkingsovereenkomst worden verwerkt.

  • EULA of EUSA

  • Gegevensverwerking

    Eisen van de Europese General Data Protection Regulation (‘GDPR-eisen’)

  • Bewijsstuk 1 - Europese modelclausules

    Modelclausules (modelcontract-bepalingen) van de Europese Commissie voor de overdracht van persoonsgegevens naar verwerkers in derde landen.

  • Bewijsstuk 2 - Beveiliging

    Beschrijving van genomen technische en organisatorische beveiligingsmaatregelen

Met de gewijzigde voorwaarden wil Citrix voldoen aan de eisen van artikel 28 van de GDPR, waarin staat dat de verwerking van gegevens moet gebeuren overeenkomstig een overeenkomst, en om meer specifieke informatie te geven over de manier waarop Citrix zijn Services beveiligt.

De General Data Protection Regulation (Algemene Verordening Gegevensbescherming) is de belangrijkste update van de Europese privacywetgeving sinds 1995, en bedoeld om de persoonsgegevens van natuurlijke personen beter te beschermen.

De GDPR is van toepassing als uw organisatie is gevestigd in de EU of persoonsgegevens verwerkt van natuurlijke personen uit de EU voor het aanbieden van producten of diensten. Dit betekent dat de GDPR geldt voor vrijwel alle bedrijven die zakendoen in de EU.

Alle informatie die kan worden gebruikt om een natuurlijke persoon te identificeren, zoals een telefoonnummer, e-mailadres of IP-adres.

Het verzamelen, bewaren en gebruiken van persoonsgegevens (en verder zo’n beetje alles wat je met persoonsgegevens kunt doen).

De GDPR gaat in op 25 mei 2018.

Organisaties hebben de verplichting om gepaste regels en beveiligingsmaatregelen in te voeren, om datalekken te melden aan de autoriteiten (en in bepaalde gevallen ook aan de getroffen personen), om ‘privacy impact assessments’ te houden, om een register aan te leggen over activiteiten m.b.t. gegevens en om een overeenkomst aan te gaan met bedrijven die de gegevens verwerken.

De GDPR is gebaseerd op de Databeschermingsrichtlijn en versterkt in bepaalde opzichten de bestaande wetgeving, bijvoorbeeld met betrekking tot het melden van inbreuken, er zijn hogere boetes voor non-compliance en dataverlies, en regels voor de verwerking van persoonsgegevens.

De boete kan oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet, waarbij het hoogste bedrag telt.

Een ‘quick fix’ is er niet. Als dit nog niet is gebeurd, bepaal dan eerst wat de GDPR precies inhoudt voor uw organisatie en voor uw gebruik van persoonsgegevens uit de EU. Mogelijk moet u een gegevensverwerkingsovereenkomst afsluiten met uw gegevensverwerkers. Kijk ook goed naar de security van uw computersystemen en alles wat u doet rond de verwerking van gegevens. Citrix heeft een infopakket over de GDPR samengesteld, dat u kan helpen bij uw voorbereidingen.

Als uw organisatie gegevens verzamelt en bepaalt hoe deze worden verwerkt (een ‘data controller’ oftewel ‘verwerkingsverantwoordelijke’ in de officiële vertaling), dan bepaalt de GDPR dat u een overeenkomst moet aangaan met iedereen die namens u gegevens verwerkt (‘data processors’ oftewel ‘gegevensverwerkers’). Een gegevensverwerkingsovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke en gegevensverwerker, waarin wordt bepaald hoe beide aan de eisen van de GDPR zullen voldoen.

Dat hangt af van hoe uw organisatie werkt met Citrix. Als u Services afneemt (zoals Citrix Cloud Services) en Citrix persoonsgegevens van u bewaart binnen die Services, dan is Citrix een gegevenverwerker.

Klant
‘Gegevensverantwoordelijke’

Citrix
‘Verwerker’ heeft gegevensverwerkingsovereenkomst getekend

Partners en vendoren van Citrix
‘Subverwerker’ tekent gegevensverwerkingsovereenkomst

Citrix biedt online een gegevensverwerkingsovereenkomst aan. Deze kan op een snelle, simpele en betrouwbare manier worden afgesloten. De procedure komt overeen met die voor onze online-geheimhoudingsovereenkomst.  Zo sluit u een gegevensverwerkingsovereenkomst af:

  1. Ga naar Citrix.nl en meld u aan bij uw Citrix My Account.
  2. Klik aan de linkerkant op ‘View Data Processing Agreement’.
  3. Accepteer de Online Data Processing Agreement langs elektronische weg.

Podio, RightSignature en Citrix Content Collaboration klanten zonder Citrix Content Collaboration Enterprise Edition of zonder ander Citrix Enterprise product hebben mogelijk geen Partner Central Account.  

De voorwaarden van de gegevensverwerkingsovereenkomst maken deel uit van de EUSA van uw product. Deze voorwaarden worden weergegeven op het moment dat de accounteigenaar of master administrator zich aanmeldt bij de Service. U hoeft verder niets te doen.

U kunt heel eenvoudig een My Account aanmaken op www.citrix.nl. U beschikt dan ook over de gegevensverwerkingsovereenkomst en tal van andere voordelen met betrekking tot de producten en diensten van Citrix.

Desgewenst kunt u de gegevensverwerkingsovereenkomst ook hier aanvragen.  

De Europese wet reguleert de overdracht van Europese persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) (EU-landen + IJsland, Liechtenstein en Noorwegen). De EU biedt een aantal modelclausules (dit zijn niet-onderhandelbare eisen die door de Europese Unie zijn vastgelegd), die kunnen worden toegevoegd aan overeenkomsten tussen een gegevensverantwoordelijke en een gegevensverwerker buiten de EU of EER om ervoor te zorgen dat alle persoonsgegevens die de EER verlaten, worden overdragen in overeenstemming met de Europese wetgeving, waaronder de GDPR/AVG.

Ja. De GDPR-gerelateerde bepalingen in de EULA / EUSA en de online-gegevensverwerkingsovereenkomst bevatten modelclausules die al door Citrix zijn ondertekend en niet kunnen worden gewijzigd.

Op het moment dat de GDPR ingaat, is het Verenigd Koninkrijk nog niet uit de EU en geldt de wetgeving dus ook voor het Verenigd Koninkrijk. Als bedrijven in het Verenigd Koninkrijk gegevens verwerken van Europese inwoners, vallen deze onder de GDPR, ongeacht of het Verenigd Koninkrijk lid is van de EU.

Deze veelgestelde vragen en de vermelde links geven een globaal overzicht van de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). en zijn niet bedoeld als juridisch advies. De tekst mag dus ook niet als zodanig worden opgevat. Citrix biedt geen enkel juridisch, boekhoudkundig of auditgerelateerd advies. Verder geeft Citrix geen enkele garantie dat klanten of Channel Partners met de door Citrix aangeboden diensten of producten volledig in overeenstemming zijn met wat voor wet- of regelgeving dan ook.

Klanten en Channel Partners zijn zelf verantwoordelijk voor hun naleving van wet- en regelgeving, inclusief de GDPR/AVG. Klanten en Channel Partners zijn zelf verantwoordelijk voor hun interpretatie van en/of moeten zelf deskundig juridisch advies inwinnen met betrekking tot de op hen van toepassing zijnde wet- en regelgeving die van invloed kan zijn op hun activiteiten en alles wat ze moeten doen om de desbetreffende wet- en regelgeving na te leven.