Privacyverklaring voor service

Versie 1.0. Ingangsdatum 1 oktober 2005


1 Reikwijdte

1.1 In deze privacyverklaring wordt beschreven hoe MessageLabs en haar klanten voldoen aan de privacyvoorschriften met betrekking tot de services voor e-mailbeveiliging die door MessageLabs worden aangeboden.

2 Achtergrond en definities

2.1 Klanten sluiten een contract met MessageLabs voor de levering van services voor e-mailbeveiliging. MessageLabs is een gegevensverwerker die e-mailberichten verwerkt namens haar klant, die als data controller fungeert.

2.2 De term 'data controller' wordt in de Amerikaanse Safe Harbour-regeling en in de EU-privacywetgeving gedefinieerd als de natuurlijke of rechtspersoon, publieke autoriteit, instantie of ander lichaam dat alleen of samen met anderen de doelen van en methoden voor het verwerken van persoonlijke gegevens vaststelt. De data controller blijft volledig verantwoordelijk voor de gegevens ten aanzien van de betrokken individu(en).

2.3 De term 'data processor' heeft betrekking op een natuurlijke of rechtspersoon, publieke autoriteit, instantie of ander lichaam dat persoonlijke gegevens verwerkt namens de controller.

2.4 In de Amerikaanse Health Insurance Portability and Accountability Act uit 1996 worden vergelijkbare principes gehanteerd en worden de termen 'covered entities' en 'business associate' gebruikt in plaats van data controller en data processor. In de Amerikaanse Financial Modernization Act van 1999, die ook wel bekend staat als de 'Gramm-Leach-Bliley Act' worden hiervoor de termen 'financial institution' en 'service provider' gehanteerd.

2.5. Alle wetgeving waarnaar hier wordt verwezen vereist dat de relatie tussen een data controller en een data processor contractueel wordt vastgelegd voordat outsourcing met betrekking tot de verwerking van persoonlijke gegevens plaatsvindt. Het doel van het contract is het beschermen van de belangen van de data controller, namelijk de persoon of instantie die de doelen en verwerkingsmethoden vaststelt en die volledig verantwoordelijk blijft voor de gegevens ten aanzien van de betrokken individuen. In het contract wordt derhalve vastgelegd welke verwerking er plaatsvindt en welke maatregelen nodig zijn om te waarborgen dat de gegevens veilig worden bewaard.

2.6 MessageLabs biedt haar services voor e-mailbeveiliging alleen aan klanten aan op basis van een contract waarin de privacyverplichtingen van de klanten en van MessageLabs zijn vastgelegd.

3 Verplichtingen van MessageLabs

3.1 De exacte verplichtingen van MessageLabs jegens haar klanten zijn vastgelegd in een contract tussen de klant en MessageLabs en kunnen variëren afhankelijk van het rechtsgebied van onze klant en hun bedrijfstak. In dit hoofdstuk worden gebruikelijke verplichtingen vermeld die zijn vastgelegd in het contract om conformiteit met de meest algemene privacywetgeving te waarborgen.

3.2 De gebruikelijke verplichtingen zijn:
  • Er moet als data processor worden voldaan aan de Amerikaanse Safe Harbour-principes, de EU-privacywetgeving of andere vergelijkbare nationale wetten en voorschriften.
  • Er moet worden gewaarborgd dat de gegevens alleen worden gebruikt voor het leveren van onze service voor e-mailbeveiliging en voor de doelen die zijn goedgekeurd en aangevraagd door de klant.
  • Er moet worden gewaarborgd dat de verwerking en de resulterende rapporten nauwkeurig en actueel zijn.
  • Er moet worden gewaarborgd dat de juiste technische en organisatorisceh maatregelen zijn genomen tegen onbevoegde verwerking van persoonlijke gegevens en tegen onopzettelijk verlies of onverzettelijke vernietiging van of schade aan persoonlijke gegevens. (Beveiliging)
  • De gegevens moeten vertrouwelijk blijven.
  • Er moet worden gewaarborgd dat persoonlijke gegevens niet worden overgebracht naar een land of regio buiten de Europese Economische Zone tenzij dat land of die regio een afdoende mate van bescherming biedt van de rechten en vrijheden van personen waarop de gegevens betrekking hebben in relatie tot de verwerking van persoonlijke gegevens.
  • Er moet worden samengewerkt met relevante autoriteiten op het gebied van gegevensbescherming en relevante uitvoerende instanties moeten in staat worden gesteld audits uit te voeren.
4 Verplichtingen van de klant

4.1 Teneinde te waarborgen dat wij persoonlijke gegevens verwerken overeenkomstig de relevante privacyvoorschriften zullen wij onze service alleen aanbieden als onderdeel van een contract waarin de verplichtingen van MessageLabs en onze klant met betrekking tot de geldende privacywetgeving zijn gedefinieerd. Wij zullen altijd van onze klanten eisen dat zij als data controller voldoen aan de relevante privacywetgeving.

4.2 De gebruikelijke verplichtingen van een data controller zijn:

  • Er moet als data controller worden voldaan aan de Amerikaanse Safe Harbour-principes, de EU-privacywetgeving of andere vergelijkbare nationale wetten en voorschriften.
  • Er moet worden gewaarborgd dat persoonlijke gegevens op eerlijke en wettige wijze worden verwerkt. Hierbij kan zijn inbegrepen het verkrijgen van goedkeuring van of, ten minste, het melden van de uitgevoerde verwerking en doelen van de verwerking aan de personen waarop de gegevens betrekking hebben. Ook kan hierbij de registratie zijn inbegrepen in het kader van de Amerikaanse Safe Harbour-regeling of bij de relevante nationale en EU-instanties voor gegevensbescherming.
  • Er moet worden gewaarborgd dat persoonlijke gegevens worden verzameld voor de opgegeven, expliciete en rechtmatige doelen en niet voor verdere verwerking op een wijze die niet in overeenstemming is met deze doelen.
  • Er moet worden gewaarborgd dat de verwerking adequaat, relevant en niet excessief is in relatie tot de doelen waarvoor de gegevens worden verzameld en/of verder verwerkt.
  • Er moet worden gewaarborgd dat de gegevens nauwkeurig zijn en indien noodzakelijk actueel worden gehouden.
  • Er moet worden gewaarborgd dat de gegevens worden bewaard in een vorm die slechts zo lang identificatie van personen waarop de gegevens betrekking heeft mogelijk maakt als nodig is voor de doelen waarvoor de gegevens zijn verzameld of waarvoor zij verder zijn verwerkt.
  • Er moet worden gewaarborgd dat het recht op toegang tot de eigen gegevens van de persoon waarop de gegevens betrekking hebben wordt gerespecteerd. Dit houdt tevens in dat de persoon waarop de gegevens betrekking hebben een kopie kunnen ontvangen van de opgeslagen informatie en eventuele fouten kunnen corrigeren.
5 Uitwisseling van informatie

5.1 MessageLabs oefent geen controle uit over de uitwisseling van persoonlijke informatie met betrekking tot haar service. Dit wordt geregeld door de klant, als data controller, in overeenstemming met het privacybeleid van de klant en de geldende privacywetgeving.

5.2 Als de klant hiervoor toestemming geeft, kan MessageLabs de aan de service gerelateerde verwerking verder uitbesteden aan gegevensverwerkers, agenten en serviceproviders. Wij zullen dit alleen doen met een specifiek doel en op basis van een contract waarin van de andere partij wordt vereist dat deze alleen handelt volgens onze instructies, zich aan de relevante privacywetgeving houdt en de veiligheid en vertrouwelijkheid van de gegevens waarborgt.

5.3 MessageLabs zal geen persoonlijke gegevens overdragen aan andere entiteiten zonder goedkeuring of verzoek van onze klant, tenzij MessageLabs hiertoe wettelijk verplicht is, bijvoorbeeld door middel van een gerechtelijk bevel of dagvaarding.

6 Persoonlijke informatie van eindgebruikers

6.1 Als u een eindgebruiker van onze service bent, kunt u contact opnemen met onze klant voor eventuele informatie met betrekking tot gegevens die over u worden bewaard en het privacybeleid dat de basis vormt voor de relatie tussen u en onze klant.

6.2 In veel gevallen zal onze klant uw werkgever zijn. Als u onze klant niet kunt identificeren, adviseren wij u 'whois' te gebruiken voor het identificeren van de eigenaar van een domein. Als dit mislukt, kunt u contact met ons opnemen op het onderstaande adres, zodat wij u kunnen helpen in contact te treden met de klant die de data controller is voor uw persoonlijke informatie.

7 Verklaring met betrekking tot Safe Harbour-regeling en EU-privacywetgeving

7.1 Zoals beschreven in dit document, zal MessageLabs aan haar verplichtingen als data processor voldoen conform de Amerikaanse Safe Harbour-regeling en de EU-privacywetgeving als wij hiertoe verplicht zijn op basis van het contract met onze klant.

7.2 MessageLabs zal samenwerken met het Amerikaanse ministerie van handel (Department of Commerce) en de instanties voor privacybescherming in de EU.

8 Wijzigingen

8.1 MessageLabs behoudt zich het recht voor om wijzigingen aan te brengen in deze verklaring. Als wij dit doen, wordt de nieuwe verklaring op deze site gepubliceerd.

9 Contactgegevens

9.1 Eventuele vragen met betrekking tot deze verklaring kunnen worden ingediend bij de juridische afdeling van MessageLabs Inc. (Legal Department MessageLabs Inc., 512 Seventh Avenue, 6th Floor, New York, NY 10018 USA, telefoon +1 646 519 8100) of bij de juridische afdeling van MessageLabs Limited (Legal Department MessageLabs Limited, 1240 Lansdowne Court, Gloucester Business Park, Gloucester , GL3 4AB , United Kingdom, telefoon +44 1452 627600).