Het niet naleven van informatiebeveiligingsnormen is een risico dat geen enkel bedrijf wil nemen. Bij Dropbox Sign begrijpen we de ernstige gevolgen van niet-naleving en hebben we met toewijding processen ontwikkeld om onze service te laten voldoen aan de normen die van toepassing kunnen zijn op jouw bedrijf.
Neem contact met ons op (via e-mail: compliance-reports@hellosign.com) voor toegang tot onze audits en beoordelingen. Of bekijk onze whitepaper over informatiebeveiliging.
Dropbox Sign voldoet aan de volgende kaders, normen en regelgeving:
SOC 2 Type II
SOC-rapporten (Service Organization Controls) zijn kaders die door de AICPA (American Institute of Certified Public Accounts) voor rapportage over interne controlemiddelen binnen een organisatie zijn vastgelegd. Dropbox Sign heeft zijn systemen, toepassingen, medewerkers en processen gevalideerd door middel van een reeks audits die door de onafhankelijke derde partij, Schellman Compliance LLC zijn uitgevoerd.
Het SOC 2-rapport biedt klanten gedetailleerde garanties op basis van controlemiddelen en heeft betrekking op de vijf criteria van vertrouwensdiensten, namelijk beveiliging, beschikbaarheid, procesintegriteit, vertrouwelijkheid en privacy (sectie 100 van Trust Service Principles -TSP-). Het SOC 2-rapport bevat een uitvoerige beschrijving van de processen bij Dropbox Sign en de meer dan 100 controlemiddelen die zijn ingezet om jouw zaken te beschermen. Naast het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen, bevat het rapport de testprocedures die de auditor hanteert en de resultaten van elke controle. Het SOC 2-onderzoeksformulier is via ons team op aanvraag verkrijgbaar door een e-mail naar compliance-reports@hellosign.com te sturen.
ISO 27001 (Information Security Management)
ISO 27001 wordt wereldwijd als de belangrijkste ISMS-norm (Information Security Management System) erkend. De normen zijn ook gebaseerd op de best practices voor beveiliging die in ISO 27002 zijn beschreven. Om het vertrouwen van onze klanten waard te zijn, beheren en verbeteren we voortdurend en nauwlettend onze fysieke, technische en wettelijke controlemiddelen bij Dropbox Sign. Onze auditor, Schellman Compliance LLC, heeft een ISO 27001-accreditatie verkregen van de ANSI-ASQ National Accreditation Board (ANAB).
Bekijk het ISO 27001-certificaat van Dropbox Sign, Dropbox Fax en Dropbox Forms.
ISO 27018 (privacy- en gegevensbescherming in de cloud)
ISO 27018 is een internationale norm voor privacy- en gegevensbescherming toegespitst op leveranciers van cloudservices (zoals Dropbox Sign) die namens hun klanten persoonlijke gegevens verwerken. Deze norm biedt een basis waarop klanten veelvoorkomende regelgevende en contractuele vereisten of vragen kunnen adresseren. Onze naleving van ISO 27018 wordt gevalideerd als onderdeel van onze ISO 27001-certificering.
Bekijk het ISO 27018-certificaat van Dropbox Sign, Dropbox Fax en Dropbox Forms.
Health Insurance Portability and Accountability Act of 1996 (HIPAA)
Dropbox Sign ondersteunt de naleving van de wetten HIPAA (Health Insurance Portability and Accountability Act) en de HITECH (Health Information Technology for Economic and Clinical Health Act).
Deze wetten zijn bedoeld om de profileratie van technologie in de gezondheidszorg aan te moedigen en tegelijkertijd bescherming voor de veiligheid en privacy van gezondheidsinformatie te bieden. Organisaties als ziekenhuizen, huisarts- en tandartspraktijken evenals personen die omgaan met beschermde gezondheidsgegevens kunnen onderworpen zijn aan HIPAA/HITECH. Dit kan zich ook uitstrekken tot organisaties die met deze bedrijven samenwerken en namens hen met persoonlijke gezondheidsgegevens in contact komen.
Dropbox Sign stelt een rapport beschikbaar met betrekking tot de HIPAA-beveiligingsregels en de HITECH-vereisten voor melding van inbreuk. Klanten die deze documenten willen aanvragen, kunnen contact opnemen met ons verkoopteam door een e-mail te sturen naar compliance-reports@hellosign.com.
De Amerikaanse ESIGN Act van 2000
De Electronic Signatures in Global and National Commerce Act is een federale wet die een algemene geldigheidsregel voor elektronische documenten en handtekeningen voor transacties biedt. De Amerikaanse ESIGN Act vereist onder andere het aantonen van de intentie om te ondertekenen, bepaalde bekendmakingen aan consumenten en het bewaren van gegevens.
De Uniform Electronic Transactions Act (UETA) van 1999
De Uniform Electronic Transaction Act, die in 1999 door de National Conference of Commissions on Uniform State Laws is aangenomen, staat het gebruik van elektronische-communicatietransacties toe door elektronische handtekeningen hetzelfde juridische gewicht te geven als handgeschreven pen-op-papier-handtekeningen. De UETA is door elke staat behalve New York aangenomen.
EU-VS kaders voor gegevensprivacy, de Britse uitbreiding van het EU-VS kader voor gegevensprivacy en het Zwitsers-Amerikaanse kader voor gegevensprivacy
Dropbox Sign voldoet aan het EU-VS kader voor gegevensprivacy, de Britse uitbreiding op het EU-VS kader voor gegevensprivacy en het Zwitsers-Amerikaanse kader voor gegevensprivacy zoals uiteengezet door het Amerikaanse ministerie van Handel met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke gegevens die vanuit de Europese Unie, de Europese Economische Ruimte en Zwitserland naar de Verenigde Staten worden overgedragen.
Lees hier meer over de kaders voor gegevensprivacy.
eIDAS-regelgeving - Dropbox Sign
Dropbox Sign is een oplossing voor elektronische handtekeningen conform eIDAS en een geschikte optie voor bedrijven om documenten online te ondertekenen met ondertekenaars in alle EU-lidstaten.
De eIDAS-verordening (910/2014) is een verordening die het gebruik van elektronische identificatiemiddelen en vertrouwensdiensten door burgers, bedrijven en openbare overheden toestaat om veilig toegang te krijgen tot online diensten en om elektronische transacties uit te voeren in de hele Europese Unie (EU). Deze verordening heeft de Richtlijn inzake elektronische handtekeningen 1999/93/EG, een richtlijn van de Europese Unie over het gebruik van elektronische handtekeningen in elektronische contracten binnen de EU vervangen en werd van kracht op 1 juli 2016.
De eIDAS-verordening zet het wettelijke kader voor elektronische handtekeningen in de EU uiteen. Deze regelgeving vormt een juridisch kader voor mensen, bedrijven (voornamelijk kleine en middelgrote bedrijven) en overheidsinstellingen om veilig toegang te krijgen tot diensten en om transacties digitaal uit te voeren in alle EU-lidstaten. Het definieert met name drie niveaus van elektronische handtekeningen: eenvoudige elektronische handtekeningen (SES), geavanceerde elektronische handtekeningen (AES) en gekwalificeerde elektronische handtekeningen (QES). Dropbox Sign support elektronische handtekeningen van het type SES en QES.
Eenvoudig elektronische handtekening
Een eenvoudige elektronische handtekening (SES) wordt gedefinieerd als "gegevens in elektronische vorm die zijn toegevoegd aan of logisch geassocieerd zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen". Veel elektronische tools, waaronder wachtwoorden, pincodes en gescande handtekeningen, kunnen daarom worden beschouwd als een SES.
Geavanceerde elektronische handtekening
Een geavanceerde elektronische handtekening (AES) is een elektronische handtekening die:
- op unieke wijze verbonden is met de ondertekenaar en in staat is deze te identificeren;
- is gemaakt met behulp van gegevens voor het maken van een elektronische handtekening die de ondertekenaar, met een hoog vertrouwensniveau, uitsluitend onder zijn of haar beheer kan gebruiken.
- zodanig met het document is verbonden dat elke latere wijziging van de gegevens detecteerbaar is.
Gekwalificeerde elektronische handtekening
Een gekwalificeerde elektronische handtekening (QES) is een striktere vorm van een geavanceerde elektronische handtekening en is het enige handtekeningtype dat dezelfde juridische waarde heeft als handgeschreven handtekeningen. Een gekwalificeerde elektronische handtekening heeft een gekwalificeerd digitaal certificaat dat is gemaakt door een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen (QSCD). Het gekwalificeerde middel moet zijn uitgegeven door een gekwalificeerde verlener van vertrouwensdiensten die op de Vertrouwenslijst van de Europese Unie staat.
Disclaimer: deze informatie is alleen bedoeld voor algemene informatieverstrekking. De informatie is bedoeld om bedrijven het juridisch kader te helpen begrijpen dat wordt gebruikt voor rechtsgeldigheid van e-handtekeningen. Het is geen juridisch advies en moet geen vervanging zijn voor professioneel juridisch advies. Vraag een gelicentieerd advocaat om juridisch advies of vertegenwoordiging.
Europese Algemene Verordening Gegevensbescherming (AVG) en Dropbox Sign
De Algemene verordening gegevensbescherming 2016/679 (of AVG) is een verordening van de EU die zorgde voor een significante wijziging aan het bestaande kader voor het verwerken van de persoonsgegevens van staatsburgers van EU-lidstaten. De AVG heeft een reeks nieuwe of strengere vereisten geïntroduceerd die van toepassing zijn op bedrijven als Dropbox Sign die persoonsgegevens verwerken. Dropbox Sign voldoet aan de vereisten van de AVG, zodat klanten Dropbox Sign kunnen gebruiken om de eigen naleving van de AVG te vergemakkelijken. Raadpleeg dit artikel over de naleving van de AVG en Dropbox Sign voor meer informatie.
Onze toewijding aan jou en de bescherming van je gegevens
Wij doen er alles aan om jouw persoonsgegevens te beschermen. Als je een Dropbox Sign-gebruiker bent, handelt je organisatie als de gegevensbeheerder voor alle persoonsgegevens die aan Dropbox worden geleverd in verband met je gebruik van Dropbox Sign-diensten. Dropbox treedt op als gegevensverwerker en verwerkt gegevens namens jouw organisatie wanneer je de Dropbox Sign-diensten gebruikt. Ons privacybeleid beschrijft onze privacy jegens gebruikers en legt uit hoe wij jouw persoonsgegevens verzamelen, gebruiken en behandelen wanneer je onze diensten gebruikt, en onze servicevoorwaarden omvatten verplichtingen met betrekking tot gegevensverwerking e–n internationale gegevensoverdracht.
Training en privacybewustzijn
Alle Dropbox-medewerkers zijn verplicht om een beveiligings- en privacytraining te volgen wanneer ze in dienst worden genomen en daarna jaarlijks. Daarnaast ontvangen medewerkers informatie over beveiligings- en privacybewustzijn via e-mails, lezingen en presentaties, en via bronnen die beschikbaar zijn op ons intranet.
Gegevens in kaart brengen en privacy-impactbeoordeling
Om te controleren of onze privacypraktijken gepast zijn, houdt Dropbox een register bij van de verwerkingsactiviteiten voor de Sign-diensten. Daarnaast hebben wij een Privacy Impact Assessment (PIA) uitgevoerd om te beoordelen hoe we persoonsgegevens verzamelen, verwerken en opslaan en om potentiële effecten op privacy te kunnen bepalen.
Informatiebeveiligingsbeleid
Dropbox heeft een informatiebeveiligings- en gegevensbeschermingsbeleid dat bepaalt hoe en wanneer medewerkers en contractanten toegang hebben tot jouw gegevens. Dit beleid is gebaseerd op internationale normen en best practices en wordt jaarlijks herzien om het up-to-date te houden met de huidige bedrijfspraktijken en om rekening te houden met veranderingen in wet- en regelgeving. Indien nodig kunnen er ook ad-hocwijzigingen in dit beleid worden aangebracht. Dit beleid wordt aan nieuwe medewerkers verstrekt en wijzigingen worden via het bedrijfsintranet aan de medewerkers gecommuniceerd.
Gegevensoverdracht
Dropbox baseert zich voor de overdracht van gegevens uit de Europese Unie, de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland op verschillende wettelijke instrumenten, zoals contracten met onze klanten en partners, standaardcontractbepalingen en adequaatheidsbesluiten van de Europese Commissie over bepaalde landen, voor zover van toepassing.
Dropbox voldoet aan de Amerikaans-Europese en Amerikaans-Zwitserse Privacy Shield Frameworks zoals omschreven door het Amerikaanse Department of Commerce, inzake het verzamelen, gebruiken en bewaren van persoonsgegevens die van de Europese Unie, de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland worden overgebracht naar de Verenigde Staten. Dropbox gebruikt de Amerikaans-Europese en Zwitsers-Amerikaanse Privacy Shields echter niet als juridische grondslag voor de overdracht van persoonsgegevens. Dropbox heeft aan de Department of Commerce verklaard dat het zich houdt aan de Privacy Shield Principles met betrekking tot dergelijke gegevens. Ga voor meer informatie over het Privacy Shield naar www.privacyshield.gov.
Incidentrespons
Onze Incidentresponsprocedures zijn bedacht en getest om ervoor te zorgen dat potentiële beveiligingsgebeurtenissen worden geïdentificeerd en gerapporteerd aan het personeel dat zich bezighoudt met de afwikkeling. Het personeel volgt gedefinieerde protocollen voor het oplossen van beveiligingsgebeurtenissen en de stappen voor oplossing worden gedocumenteerd en regelmatig beoordeeld door het Beveiligingsteam. Daarnaast bevatten ons beleid en onze procedures kennisgeving van inbreuken voor het geval dat en wanneer een beveiligingsincident het verlies of ongeoorloofd gebruik van persoonsgegevens met zich meebrengt.
Productbeoordelingen
Onze Software Development Lifecycle ("SDLC") zorgt ervoor dat systeemwijzigingen worden uitgevoerd in overeenstemming met de AVG-vereisten, inclusief overwegingen voor privacy op de volgende gebieden:
- Planning;
- Documentatie wijzigen;
- Ontwikkeling van testplannen;
- Testen van wijzigingen en documenteren van resultaten;
- Kwaliteitsborging ("QA") Beoordeling en goedkeuring;
- Beoordeling en attestering door derden; en
- Periodieke beoordeling en update.
Beoordelingen van leveranciers
Leveranciers die persoonsgegevens verwerken of opslaan, worden beoordeeld als onderdeel van het risicobeoordelingsproces van Dropbox door derden om ervoor te zorgen dat ze over de juiste beveiligings- en privacycontroles beschikken om gegevens te beschermen. Al onze huidige subverwerkers worden jaarlijks beoordeeld om er zeker van te zijn dat ze voldoen aan de beveiligings- en privacyvereisten.
Contractuele bescherming
Dropbox heeft nieuwe SCC's voor verwerkers geïmplementeerd tussen Dropbox International Unlimited Company en Dropbox, Inc. om de overdracht van persoonsgegevens van onze klanten naar de VS te dekken. We hebben onze gegevensverwerkingsovereenkomst bijgewerkt om dit weer te geven https://assets.dropbox.com/ documenten/en/legal/hs-gegevensverwerkingsovereenkomst.pdf
De Overeenkomst inzake gegevensverwerking maakt reeds deel uit van de servicevoorwaarden van Dropbox Sign.
Certificeringen
Bij Dropbox Sign begrijpen we de ernstige gevolgen van naleving en hebben we ijverig aan processen gewerkt om onze service te laten voldoen aan de normen die van toepassing zijn op jouw bedrijf.
Voor meer informatie over de normen en certificeringen waar Dropbox Sign aan voldoet en zich aan houdt, raadpleeg je onze nalevingspagina.
Productbeveiliging
Versleuteling
Communicatie met onze services maakt standaard gebruik van Transport Layer Security (TLS), dat regelmatig wordt bijgewerkt om de nieuwste coderingssuites en TLS-configuraties te gebruiken. Bovendien versleutelen we alle klantgegevens in rust met AES 256-T.
Verwijdering van en toegang tot gegevens
Als je een verzoek om toegang tot je gegevens wilt indienen of als je wilt dat je persoonsgegevens verwijderd moeten worden, kun je een e-mail sturen naarprivacy@dropbox.com. Raadpleeg het privacybeleid van Dropbox Sign voor meer informatie.
Naleving van cookies
Wanneer je de Dropbox Sign-diensten gebruikt, kun je selecteren welke cookies je wilt toestaan dat Dropbox gebruikt door op Cookies en CCPA-voorkeuren te klikken in de voettekst van deze pagina onder Support.