External security policy (in Dutch)

ART. 1 - Begrippen

In deze security policy zullen de hiernavolgende begrippen, in enkelvoud of meervoud, de betekenis hebben zoals deze hierna uiteengezet worden:

AVG
Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);

Application Programming Interface (‘API’)
Toepassing op basis waarvan het Platform gegevens kan uitwisselen met software, een programma of onderdeel aangeboden door een derde-dienstverlener;

Eindgebruiker
De gebruiker binnen de organisatie van de Klant, die op basis van een gebruiksrecht een eigen account heeft op het Platform;

Gegevensbeschermingseffectbeoordeling (GEB)
Het proces dat conform artikel 35.7 AVG uitgevoerd wordt door de Verwerkingsverantwoordelijke telkens wanneer een gegevensverwerking waarschijnlijk gepaard gaat met hoge risico's in verband met de rechten en vrijheden van natuurlijke personen, waarin de Verwerking van Persoonsgegevens wordt beschreven, de noodzaak en evenredigheid van de Verwerking wordt beoordeeld en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen te helpen beheren;

Data
Klantgegevens en Persoonsgegevens die noodzakelijk zijn voor de werking van het Platform;

Datalek
Elk veiligheidsincident dat de vertrouwelijkheid, integriteit of beschikbaarheid van Persoonsgegevens aantast en daardoor kan leiden tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Hash, Hashing, Gehasht
Cryptografische techniek waarin via een algoritme elke vorm van een willekeurige hoeveelheid gegevens wordt omgezet in een unieke tekenreeks;

Klant
Het kantoor, de rechtspersoon of de eenmanszaak, genoemd in de bijzondere voorwaarden, met wie LawCloud een overeenkomst sluit;

Klantgegevens
Alle inhoud, materialen en gegevens die de Klant en haar geautoriseerde Eindgebruikers invoeren, beheren en opslaan in het Platform alsook alle inhoud, materialen en gegevens die door de Klant en de geautoriseerde Eindgebruikers daaruit worden afgeleid (secundaire data);

Persoonsgegeven(s)
Alle informatie over een geïdentificeerde of een identificeerbare natuurlijke persoon (“Betrokkene”) zoals gedefinieerd in artikel 4(1) van de AVG;

Profilering
Elke vorm van geautomatiseerde Verwerking van Persoonsgegevens waarbij aan de hand van Persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, onder meer met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

Pseudonimisering
Elke verwerking van Persoonsgegevens op zodanige wijze dat de Persoonsgegevens niet meer aan een Betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de Persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

Salt, Salting, Gesalt
Cryptografische techniek waarin willekeurige gegevens worden gebruikt als extra invoer voor een eenrichtingsfunctie die gegevens, een wachtwoord of wachtwoordzin Hasht met de bedoeling om opgeslagen wachtwoorden te beschermen;

Subverwerker
Mogelijke onderaannemers van LawCloud die in opdracht van LawCloud bepaalde Persoonsgegevens Verwerkt;

Verwerker
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens Verwerkt; 

Verwerking
Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Verwerkingsverantwoordelijke
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens bepaalt; wanneer de doelstellingen van en de middelen voor deze Verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de Verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

ART. 2 - Doelstellingen en rollen

2.1. In deze security policy (hierna de “Policy”) leggen wij, LawCloud BV met maatschappelijke zetel te Amerikalei 122, 2000 Antwerpen en ingeschreven in de Kruispuntbank van Ondernemingen onder het nummer 0680.741.644 (hierna “wij” of “LawCloud”), aan de Klant uit welke passende technische en organisatorische maatregelen wij nemen met oog op de beveiliging van het SaaS LawCloud beheerspakket (hierna het “Platform”) dat wij aan de Klant ter beschikking stellen in overeenstemming met de ondertekende algemene en bijzondere voorwaarden. 

2.2.  De Klant erkent en aanvaardt dat informatiebeveiliging een gedeelde verantwoordelijkheid is tussen ons, als aanbieder van het Platform, en de Klant samen met haar geautoriseerde Eindgebruikers. LawCloud treedt hierbij louter op als de Verwerker van de Persoonsgegevens die de Klant en haar geautoriseerde Eindgebruikers ingeven, beheren en opslaan in het Platform. De Klant zal zelf en op eigen verantwoordelijkheid de vereiste beveiligingsmaatregelen nemen met oog op het vermijden van cyberincidenten, van welke aard ook, en met oog op het voorkomen van o.a. enig verlies van Data, de vernietiging dan wel de onbeschikbaarheid daarvan.    

2.3. LawCloud verleent hierbij aan de Klant een uitdrukkelijke toelating om deze Policy aan te wenden, indien er daartoe de noodzaak zou bestaan om een Gegevensbeschermingseffectbeoordeling (hierna “GEB”) uit te voeren voor de verwerkingsactiviteiten die via het Platform worden uitgevoerd. LawCloud zal de Klant desgevallend bijstaan als Verwerker bij de uitvoering van de GEB door de Klant en de daartoe noodzakelijke informatie ter beschikking stellen aan de Klant.

ART. 3 - Verwerkingsactiviteiten

3.1. Algemene omschrijving
Het Platform is een “web based”-applicatie die “in the cloud” wordt gehost. Aan de Klant wordt de mogelijkheid geboden om via de ter beschikking gestelde accounts toegang te verkrijgen tot het Platform, vanaf eender welke locatie waar een degelijke internetverbinding voorhanden is. Door ingebruikname van het Platform wordt beoogd om de dagelijkse activiteiten van de Klant als advocaat/advocatenkantoor te faciliteren en digitaliseren. Verwerkingsactiviteiten zoals het ingeven, beheren, opslaan en bewaren van Data vormen een essentieel onderdeel hiervan. Met behulp van het Platform kunnen de Klant en haar Eindgebruikers dossiers volledig online aanmaken, uitvoeren en opvolgen.  

De Persoonsgegevens die Verwerkt kunnen worden via het Platform worden uiteengezet in artikel 4 van huidige Policy. De opsomming die in dit artikel 4 gegeven wordt is louter indicatief, met dien verstande dat Persoonsgegevens die door de Klant en/of diens geautoriseerde Eindgebruikers verkregen worden via afgeleide data, hierin niet opgenomen zijn. Elke Verwerking van Data gebeurt op initiatief en onder de verantwoordelijkheid van de Klant met inachtneming van de bepalingen uit de verwerkersovereenkomst die tussen de Klant en LawCloud werd aangegaan.

3.2 Diensten van derden
LawCloud maakt gebruik van diensten van betrouwbare derden die zij samen met het Platform aanbiedt, waaronder:

Naam derde partij dienstverlener — Soort dienst die verleend wordt 

• Amazon Web Services (AWS) — Hosting applicatieomgeving
• OVH — Hosting migratieomgeving
• Microsoft Azure Hosting — PDF-conversie
• MariaDB skySQL Hosting — Databasecluster
• skySQL Hosting
• Team.blue (Transip) — Domainhosting

De algemene voorwaarden van deze dienstverleners zijn hier raadpleegbaar: 

• https://aws.amazon.com/
• https://www.ovhcloud.com/nl/terms-and-conditions/
• https://azure.microsoft.com/en-us/support/legal/
• https://mariadb.com/legal/
• https://skysql.com/tos/
• https://www.transip.nl/legal-and-security/algemene-voorwaarden/

3.3 API’s
LawCloud verleent hierbij haar uitdrukkelijk akkoord aan de Klant om software en diensten van derden te integreren in het Platform via koppelingen (al dan niet via API’s) voorzien door LawCloud. LawCloud verleent evenwel geen enkele garantie, noch  kan zij noch met haar verbonden vennootschappen en/of haar aangestelden aansprakelijk gesteld worden en/of instaan voor enige nadelige gevolgen van welke aard ook onder meer in navolging van Verwerkingen en/of cyberincidenten die zich voordoen door het gebruik van dergelijke software en/of API’s. Het is tevens de uitsluitende verantwoordelijkheid van de Klant als Verwerkingsverantwoordelijke om ervoor te zorgen enige Verwerkingen (indien van toepassing) in overeenstemming zijn met de toepasselijke wetgeving.

ART. 4 - Categorieën van persoonsgegevens kunnen worden verwerkt in het platform

4.1. De Klant zal als Verwerkingsverantwoordelijke bepalen welke categorieën van Persoonsgegevens op welke wijze verwerkt zullen worden door het Platform, hoe lang de Persoonsgegevens bewaard worden en wanneer ze gewist worden.

4.2. In het Platform kunnen onder meer de volgende Persoonsgegevens worden Verwerkt door de Klant:

Functionele gegevenscategorie — Soorten Persoonsgegevens

• Persoonlijke identificatiegegevens — Naam, titel
• Contactgegevens — Adres, telefoon-/gsm-nummer
• Financiële transacties — Bedragen die in een bestand zijn opgenomen, moet betalen en heeft betaald, overzicht van betalingen, rekeningnummers
• Beroepsactiviteiten — Beroepsactiviteiten van een persoon die in een bestand is opgenomen
• Overeenkomsten en schikkingen — Juridische overeenkomsten en schikkingen
• Persoonlijke bijzonderheden — Leeftijd, geslacht, geboortedatum, geboorteplaats, burgerlijke staat, nationaliteit
• Samenstelling van het gezin — Burgerlijke staat, identificatiegegevens gezinsleden
• Gerechtelijke gegevens — Gerechtelijke gegevens betreffende verdenkingen, veroordelingen en straffen, gerechtelijke maatregelen, administratieve sancties, gerechtelijke procedures
• Nationaal identificatienummer — Nationaal identificatienummer 
• Resultaten van wettelijk verplichte onderzoeken — Resultaten van customer de diligence-onderzoek, resultaten van UBO-check
• Beeldopnamen — Cameraopname, fotografische opname, video-opname, digitale foto’s
• Geluidsopnamen — Bandopname, telefoonopname 
• Bijzondere categorieën van persoonsgegevens — Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid
• Overig — Klantgegevens ingevoerd door de Klant of een Eindgebruiker

ART. 5 - Beveiligingsmaatregelen op het platform

5.1. Genomen beveiligingsmaatregelen door LawCloud
LawCloud heeft als Verwerker van Persoonsgegevens in het Platform de passende technische en organisatorische beveiligingsmaatregelen genomen in de zin van artikel 32 AVG.

LawCloud heeft de volgende organisatorische beveiligingsmaatregelen genomen:

• Iedere persoon die voor LawCloud Persoonsgegevens Verwerkt in het Platform is onderworpen aan een contractuele geheimhoudingsverplichting en personen die niet onderworpen zijn aan dergelijke geheimhoudingsverplichting worden niet toegelaten om Persoonsgegevens te Verwerken;
• Toekenning van specifieke toegangsrechten voor medewerkers van LawCloud in het Platform op een “need to know” basis;
• Beheer van gebruikte software en hardware voor het Platform in een register;
• Beheer van wijzigingen in de gebruikte software en hardware voor het PlatformAfsluiten van de nodige overeenkomsten met Subverwerkers van het Platform;
• Regelmatige training en opleiding van medewerkers van LawCloud in gegevensbescherming en beveiligingsprocedures voor het Platform;
• Jaarlijkse security-audit door een gecertificeerde LawCloud-partner;
• De aanstelling van een Chief Technology die verantwoordelijk is voor de implementatie van de genomen beveiligingsmaatregelen.
  LawCloud heeft de volgende technische beveiligingsmaatregelen genomen:
• Gebruik van basisinfrastructuur en softwarecomponenten voor de bescherming van de gebruikte informatiesystemen in het Platform, zoals firewalls, anti-malwarebescherming en virusscans;
• Toegangscontrole en authenticatie met complexe wachtwoorden;
• Regelmatige uitvoering van volledige back-ups van de gebruikte software voor het Platform;
• Encryptie van data die over het internet wordt verzonden; 
• Paswoorden worden altijd Gesalt en Gehashed opgeslagen;
• Het voorkomen van ongeautoriseerde toegang tot Data door het LawCloud rechtensysteem;
• Het aanbieden van multi-factor authenticatie aan de Eindgebruikers en de mogelijkheid om dit door de Klant op kantoorniveau af te dwingen.

5.2. Beveiliging van de gebruikte servers
Beveiliging van Data is prioritair voor LawCloud. Alle medewerkers van LawCloud zijn op de hoogte van de meest gebruikte technieken om webapplicaties te kraken zodat ze het Platform hier ook optimaal tegen kunnen beveiligen. Naast de voorziene beveiligingsmaatregelen door de dienstverleners van de gebruikte servers voor het Platform, neemt LawCloud bijkomend de volgende beveiligingsmaatregelen voor de servers: 

• De medewerkers van LawCloud volgen de “best security practices” van OWASP (https://www.owasp.org) en AWS;
• Alle servers worden continu gecontroleerd op anomalieën door een automatisch monitoring systeem. Gedetecteerde afwijkingen worden gemeld per sms zodat ons team onmiddellijk kan ingrijpen;
• Alle servers worden regelmatig geüpdatet met bevoorrechte behandeling van beveiligingsupdates; 
• Nieuws over ontdekkingen van kwetsbaarheden in software die wij gebruiken voor het Platform wordt systematisch opgevolgd zodat er meteen op gepaste wijze ingegrepen kan worden;
• Alle servers zijn afgeschermd van het internet en enkel bereikbaar via een VPN-verbinding en daarbovenop nog private key authentication;
• Het Platform is enkel toegankelijk via de loadbalancer van AWS;
• HTTP traffic is steeds geëncrypteerd met SSL (HTTPS);
• SSL terminatie gebeurt op de AWS loadbalancers;
• Alle applicatie-filestorage is geëncrypteerd en enkel toegankelijk via het afgeschermd interne LawCloud-netwerk;
• Er kan enkel met de database servers gecommuniceerd worden over het intern netwerk;
• Gegevensstroom van en naar de gebruikte databases is geëncrypteerd met SSL; 
• Alleen applicatie servers hebben rechtstreekse maar beperkte toegang tot de database servers; 
• At rest database-storage is geëncrypteerd.

5.3. Best practices door de Klant
De Klant kan, naast de beveiligingsmaatregelen genomen door LawCloud in 5.1 en 5.2, bijkomende organisatorische en technische beveiligingsmaatregelen nemen bij wijze van best practice bij het gebruik van het Platform, waaronder:

• Het aannemen van een toegangsbeleid op basis van een “need to know”-principe;
• Het implementeren van een wachtwoordbeleid met gebruik van sterke wachtwoorden door de Eindgebruikers;
• Het invoeren van multi-factor authenticatie aangeboden door LawCloud voor de Eindgebruikers;
• Training van Eindgebruikers in de fundamentele principes van cybersecurity;
• Implementeren van anti-malware software, firewalls en virusscanners;
• Gebruik van een cloud access security broker.

ART. 6 - Locatie van de persoonsgegevens verwerkt op het platform

Alle Persoonsgegevens die opgeslagen worden op het Platform worden bewaard op servers gelokaliseerd binnen de Europese Unie.

ART. 7 - Responsible disclosure

LawCloud hecht veel belang aan de veiligheid van haar Platform. Ondanks de beveiligingsmaatregelen die LawCloud genomen heeft in haar Platform kan het voorkomen dat er toch een kwetsbaarheid is. Indien de Klant een kwetsbaarheid in het Platform heeft gevonden vraagt LawCloud om dit te melden zodat de genomen beveiligingsmaatregelen kunnen worden aangepast of bijkomende maatregelen kunnen worden getroffen.

7.1. Melding van de kwetsbaarheid
Als de Klant een kwetsbaarheid ontdekt, vraagt LawCloud aan de Klant om de kwetsbaarheid zo snel mogelijk na de ontdekking te melden.
De Klant kan de bevindingen melden door een ticket aan te maken in het helpcentrum en het onderwerp ‘Bug of probleem’ aan te duiden. LawCloud vraagt om voldoende informatie te geven om de kwetsbaarheid te reproduceren en zo snel mogelijk op te lossen. De Klant kan bij de melding desgevallend bijlagen en/of afbeeldingen toevoegen die de omschrijving van de kwetsbaarheid onderbouwen.

7.2. Verplichtingen van de Klant
Bij ontdekking van een kwetsbaarheid, zal de Klant zich onthouden van de volgende handelingen:

• Het openbaar maken van de kwetsbaarheid totdat LawCloud de kwetsbaarheid heeft kunnen corrigeren;
• Het misbruiken van de kwetsbaarheid om onnodig gegevens te kopiëren, te verwijderen, aan te passen of in te kijken of meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen;
• Het plaatsen van malware in het Platform;
• Het aanbrengen van veranderingen in het Platform;
• Het herhaaldelijk toegang verkrijgen tot het Platform of de toegang delen met derden;
• Het gebruik maken van geautomatiseerde scantools;
• Het gebruik maken van “bruteforcen” van toegang tot het Platform;
• Het gebruik maken van aanvallen op fysieke beveiliging, denial-of-service, social engineering, spam of applicaties van derden;
• Enige handeling uit te voeren die een mogelijke impact heeft op de goede werking van het Platform, waaronder maar niet beperkt tot de beschikbaarheid en performantie van het Platform en de confidentialiteit en integriteit van gegevens in het Platform.
  De Klant zal alle gegevens die zijn verkregen via de kwetsbaarheid onverwijld wissen na de melding aan LawCloud.
   

7.3. Verplichtingen van LawCloud
LawCloud zal de Klant, behoudens een wettelijke uitzondering en onder dezelfde voorwaarden als bepaald voor haar aansprakelijkheid in artikel 15 van de Algemene Voorwaarden van de Overeenkomst, vrijwaren tegen enige vorm van aansprakelijkheid door ontdekking van de kwetsbaarheid in het Platform.
LawCloud zal de melding van de kwetsbaarheid door de Klant vertrouwelijk behandelen en zal geen Persoonsgegevens van de Klant en/of Eindgebruiker zonder diens toestemming doorgeven, tenzij om te voldoen aan een wettelijke verplichting die op LawCloud rust.

ART. 8 - Versiebeheer en wijzigingen

LawCloud kan deze Policy op elk moment wijzigen en zal de nieuwe versie op eigen initiatief communiceren aan de Klant, voor zover er die te allen tijde het vertrouwelijke karakter ervan zal garanderen.  LawCloud mag de opgenomen beveiligingsmaatregelen wijzigen, verwijderen en nieuwe beveiligingsmaatregelen toevoegen in de Policy.