Audithouse logo
Offerte aanvragen
Audithouse logo

EER Data Compliance

Audit House ondersteunt organisaties die eisen stellen aan gegevensverwerking binnen de Europese Economische Ruimte (EER). We werken transparant, toetsbaar en conform AVG/UAVG en contractuele afspraken.

Vlag van Europese Unie

Wat bedoelen we met EER Data Compliance?

Met EER Data Compliance bedoelen we dat gegevens van de opdrachtgever:

  • uitsluitend binnen de EER worden verwerkt en opgeslagen (tenzij anders schriftelijk overeengekomen);
  • niet zonder toestemming worden gebruikt voor andere doeleinden;
  • beheersbaar zijn qua toegang, bewaartermijnen, export en auditbaarheid;
  • en dat verwerking plaatsvindt conform AVG/UAVG en contractuele afspraken (zoals een verwerkersovereenkomst).

Leveranciers en tooling

Met EER Data Compliance bedoelen we dat gegevens van de opdrachtgever:

  • uitsluitend binnen de EER worden verwerkt en opgeslagen (tenzij anders schriftelijk overeengekomen);
  • niet zonder toestemming worden gebruikt voor andere doeleinden;
  • beheersbaar zijn qua toegang, bewaartermijnen, export en auditbaarheid;
  • en dat verwerking plaatsvindt conform AVG/UAVG en contractuele afspraken (zoals een verwerkersovereenkomst).

Certificeringen van kernleveranciers

Voor hosting, e-mail en bestandsopslag maken we gebruik van zorgvuldig geselecteerde leveranciers en tooling:

  • TransIP (Nederland) (hosting en e-mail)
  • Hetzner (Duitsland) (hosting)
  • Proton Drive (Zwitserland) (versleutelde opslag en bestandsdeling)

Daarnaast gebruiken we bij WCAG-audits Chrome-extensies die lokaal worden uitgevoerd (op werkstations van Audit House). Waar relevant borgen we dat gegevens niet onnodig worden gedeeld met derden en dat de inzet past binnen de afspraken met de opdrachtgever.

Onze uitgangspunten

  1. Verwerking conform AVG en UAVG

    We verwerken persoonsgegevens volgens de geldende wet- en regelgeving (AVG en UAVG). Dat betekent duidelijke rolverdeling (verwerkingsverantwoordelijke / verwerker), doelbinding en dataminimalisatie, met passende technische en organisatorische maatregelen (TOM’s).

  2. Data blijft binnen de EER

    Voor gegevens van opdrachtgevers geldt als uitgangspunt verwerking en opslag binnen de EER. We zijn transparant over betrokken partijen (zoals hosting-, e-mail- en opslagleveranciers) en doen geen internationale doorgifte zonder expliciete afspraken met de opdrachtgever.

  3. Toegangsbeheer op need-to-know basis

    Toegang tot persoonsgegevens is beperkt tot medewerkers met duidelijk afgebakende taken en is gebaseerd op het doel van de verwerking. Waar passend maken we toegang toetsbaar (bijvoorbeeld via rolbeschrijvingen, autorisaties en logging).

  4. Geen hergebruik van data zonder toestemming

    Data, informatie en inzichten die voortkomen uit opdrachten gebruiken we niet voor andere doeleinden (zoals training, analyses of productverbetering), tenzij de opdrachtgever hiervoor uitdrukkelijk schriftelijk toestemming geeft.

  5. Tooling: lokaal waar mogelijk, gecontroleerd waar nodig

    Waar we tooling inzetten (zoals lokaal uitgevoerde Chrome-extensies), doen we dat volgens de principes dataminimalisatie en lokale verwerking waar mogelijk. Als tooling toch gegevens naar een externe dienst zou verzenden, stemmen we dit vooraf af met de opdrachtgever en borgen we dat de inzet past binnen de gemaakte afspraken.

DPIA en audit

Op verzoek werken we mee aan een DPIA en ondersteunen we toetsing/audit door relevante documentatie aan te leveren.

AI-gebruik

Als een dienst of werkwijze gebruikmaakt van een AI, hanteren we een eigen protocol voor verantwoord AI-gebruik. We vragen vooraf toestemming van de opdrachtgever, zowel bij de start als bij elke latere toevoeging, wijziging of activering van een AI-component.

Contact

Wil je afstemmen of dit aansluit op jullie compliance-eisen? Neem contact met ons op.

Contact opnemen