Het niet naleven van informatiebeveiligingsnormen is een risico dat geen enkel bedrijf wil nemen. Bij Dropbox Sign begrijpen we de ernstige gevolgen van niet-naleving en hebben we met toewijding processen ontwikkeld om ervoor te zorgen dat onze service voldoet aan de normen die van toepassing kunnen zijn op jouw bedrijf.
Voor toegang tot onze audits en beoordelingen, neem contact met ons op (via e-mail: compliance-reports@dropbox.com). Of bekijk onze whitepaper over informatiebeveiliging.
Dropbox Sign voldoet aan de volgende kaders, normen en regelgeving:
SOC-rapporten
Service Organization Controls-rapporten (SOC) zijn kaders die door het American Institute of Certified Public Accountants (AICPA) zijn vastgesteld voor rapportage over interne controlemiddelen binnen een organisatie. Dropbox Sign heeft zijn systemen, applicaties, mensen en processen gevalideerd via een audit door een onafhankelijke externe, Ernst & Young LLP.
SOC 3 voor beveiliging, beschikbaarheid en vertrouwelijkheid
Het SOC 3-assurancerapport behandelt de vertrouwenscriteria voor beveiliging, beschikbaarheid en vertrouwelijkheid (TSP sectie 100). Het Dropbox Sign-rapport voor algemeen gebruik is een samenvatting van het SOC 2-rapport en bevat het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen. Bekijk het Dropbox Sign SOC 3-onderzoek.
SOC 2 voor beveiliging, beschikbaarheid en vertrouwelijkheid
Het SOC 2-rapport biedt klanten een gedetailleerd niveau van op controles gebaseerde zekerheid, die de Vertrouwensservicecriteria voor beveiliging, beschikbaarheid en vertrouwelijkheid (TSP Section 100) omvat. Het SOC 2-rapport bevat een uitvoerige beschrijving van de processen bij Dropbox Sign en de meer dan 100 controlemiddelen die zijn ingezet om uw zaken te beschermen. Naast het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen, bevat het rapport de testprocedures die de auditor hanteert en de resultaten van elke controle. Het SOC 2-onderzoeksformulier is via ons team op aanvraag verkrijgbaar door een e-mail te sturen naar compliance-reports@dropbox.com.
ISO 27001 (Information Security Management)
ISO 27001 wordt wereldwijd als de belangrijkste ISMS-norm (Information Security Management System) erkend. De normen zijn ook gebaseerd op de best practices voor beveiliging die in ISO 27002 zijn beschreven. Om het vertrouwen van onze klanten waard te zijn, beheren en verbeteren we voortdurend en nauwlettend onze fysieke, technische en wettelijke controlemiddelen bij Dropbox Sign. Onze auditor, Schellman Compliance LLC, heeft een ISO 27001-accreditatie verkregen van de ANSI-ASQ National Accreditation Board (ANAB).
Bekijk het ISO 27001-certificaat van Dropbox Sign, Dropbox Fax en Dropbox Forms.
ISO 27018 (privacy- en gegevensbescherming in de cloud).
ISO 27018 is een internationale norm voor privacy- en gegevensbescherming toegespitst op leveranciers van cloudservices (zoals Dropbox Sign) die namens hun klanten persoonlijke gegevens verwerken. Deze norm biedt een basis waarop klanten veelvoorkomende regelgevende en contractuele vereisten of vragen kunnen aanspreken. Onze naleving van ISO 27018 wordt als onderdeel van onze ISO 27001-certificering gevalideerd.
Bekijk het ISO 27018-certificaat van Dropbox Sign, Dropbox Fax en Dropbox Forms.
Health Insurance Portability and Accountability Act of 1996 (HIPAA)
Dropbox Sign ondersteunt naleving van de wetten HIPAA (Health Insurance Portability and Accountability Act) en de HITECH (Health Information Technology for Economic and Clinical Health Act).
Deze wetten zijn bedoeld om de verspreiding van technologie in de gezondheidszorg aan te moedigen en tegelijkertijd de veiligheid en privacy van gezondheidsinformatie te beschermen. Organisaties als ziekenhuizen, huisarts- en tandartspraktijken evenals personen die omgaan met beschermde gezondheidsgegevens zijn mogelijk onderworpen aan HIPAA/HITECH. Dit kan zich ook uitstrekken tot organisaties die met deze bedrijven samenwerken en namens hen met persoonlijke gezondheidsgegevens in contact komen.
Dropbox Sign stelt een rapport beschikbaar met betrekking tot de HIPAA-beveiligingsregels en de HITECH-vereisten voor melding van inbreuk. Klanten die deze documenten willen aanvragen, kunnen contact opnemen met ons verkoopteam door een e-mail te sturen naar compliance-reports@dropbox.com.
De Amerikaanse ESIGN Act van 2000
De Electronic Signatures in Global and National Commerce Act is een federale wet die een algemene geldigheidsregel voor elektronische documenten en handtekeningen voor transacties biedt. De Amerikaanse ESIGN Act vereist onder andere het aantonen van de intentie om te ondertekenen, bepaalde bekendmakingen aan consumenten en het bewaren van gegevens.
De Uniform Electronic Transactions Act (UETA) van 1999
De Uniform Electronic Transaction Act, die in 1999 door de National Conference of Commissions on Uniform State Laws is aangenomen, staat het gebruik van elektronische-communicatietransacties toe door elektronische handtekeningen hetzelfde juridische gewicht te geven als handgeschreven pen-op-papier-handtekeningen. De UETA is aangenomen door alle staten behalve New York.
EU-VS kaders voor gegevensprivacy, de Britse uitbreiding van het EU-VS kader voor gegevensprivacy en het Zwitsers-Amerikaanse kader voor gegevensprivacy
Dropbox Sign voldoet aan het EU-VS kader voor gegevensprivacy, de Britse uitbreiding op het EU-VS kader voor gegevensprivacy en het Zwitsers-Amerikaanse kader voor gegevensprivacy zoals uiteengezet door het Amerikaanse ministerie van Handel met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke gegevens die vanuit de Europese Unie, de Europese Economische Ruimte en Zwitserland naar de Verenigde Staten worden overgedragen.
Lees hier meer over de kaders voor gegevensprivacy.
eIDAS-regelgeving - Dropbox Sign
Dropbox Sign is een oplossing voor elektronische handtekeningen conform eIDAS en een geschikte optie voor bedrijven om documenten online te ondertekenen met ondertekenaars in alle EU-lidstaten.
De eIDAS-verordening (910/2014) is een verordening die het gebruik van elektronische identificatiemiddelen en vertrouwensdiensten door burgers, bedrijven en openbare overheden toestaat om veilig toegang te krijgen tot online diensten en om elektronische transacties uit te voeren in de hele Europese Unie (EU). Deze verordening heeft de Richtlijn inzake elektronische handtekeningen 1999/93/EG, een richtlijn van de Europese Unie over het gebruik van elektronische handtekeningen in elektronische contracten binnen de EU vervangen en werd van kracht op 1 juli 2016.
De eIDAS-verordening zet het wettelijke kader voor elektronische handtekeningen in de EU uiteen. Deze regelgeving vormt een juridisch kader voor mensen, bedrijven (voornamelijk kleine en middelgrote bedrijven) en overheidsinstellingen om veilig toegang te krijgen tot diensten en om transacties digitaal uit te voeren in alle EU-lidstaten. Het definieert met name drie niveaus van elektronische handtekeningen: eenvoudige elektronische handtekeningen (SES), geavanceerde elektronische handtekeningen (AES) en gekwalificeerde elektronische handtekeningen (QES). Dropbox Sign support elektronische handtekeningen van het type SES en QES.
Eenvoudig elektronische handtekening
Een eenvoudige elektronische handtekening (SES) wordt gedefinieerd als "gegevens in elektronische vorm die zijn toegevoegd aan of logisch geassocieerd zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen". Veel elektronische tools, waaronder wachtwoorden, pincodes en gescande handtekeningen, kunnen daarom worden beschouwd als een SES.
Geavanceerde elektronische handtekening
Een geavanceerde elektronische handtekening (AES) is een elektronische handtekening die:
- op unieke wijze verbonden is met de ondertekenaar en in staat is deze te identificeren;
- is gemaakt met behulp van gegevens voor het maken van een elektronische handtekening die de ondertekenaar, met een hoog vertrouwensniveau, uitsluitend onder zijn of haar beheer kan gebruiken.
- zodanig met het document is verbonden dat elke latere wijziging van de gegevens detecteerbaar is.
Gekwalificeerde elektronische handtekening
Een gekwalificeerde elektronische handtekening (QES) is een striktere vorm van een geavanceerde elektronische handtekening en is het enige handtekeningtype dat dezelfde juridische waarde heeft als handgeschreven handtekeningen. Een gekwalificeerde elektronische handtekening heeft een gekwalificeerd digitaal certificaat dat is gemaakt door een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen (QSCD). Het gekwalificeerde middel moet zijn uitgegeven door een gekwalificeerde verlener van vertrouwensdiensten die op de Vertrouwenslijst van de Europese Unie staat.
Disclaimer: deze informatie is alleen bedoeld voor algemene informatieverstrekking. De informatie is bedoeld om bedrijven het juridisch kader te helpen begrijpen dat wordt gebruikt voor rechtsgeldigheid van e-handtekeningen. Het is geen juridisch advies en moet geen vervanging zijn voor professioneel juridisch advies. Vraag een gelicentieerd advocaat om juridisch advies of vertegenwoordiging.
Europese Algemene Verordening Gegevensbescherming (AVG) en Dropbox Sign
De Algemene verordening gegevensbescherming 2016/679 (of AVG) is een verordening van de EU die zorgde voor een significante wijziging aan het bestaande kader voor het verwerken van de persoonsgegevens van staatsburgers van EU-lidstaten. De AVG heeft een reeks nieuwe of strengere vereisten geïntroduceerd die van toepassing zijn op bedrijven als Dropbox Sign die persoonsgegevens verwerken. Dropbox Sign voldoet aan de vereisten van de AVG, zodat klanten Dropbox Sign kunnen gebruiken om de eigen naleving van de AVG te vergemakkelijken. Raadpleeg dit artikel over de naleving van de AVG en Dropbox Sign voor meer informatie.
Onze toewijding aan jou en de bescherming van je gegevens
Wij doen er alles aan om jouw persoonsgegevens te beschermen. Als je een Dropbox Sign-gebruiker bent, handelt je organisatie als de gegevensbeheerder voor alle persoonsgegevens die aan Dropbox worden geleverd in verband met je gebruik van Dropbox Sign-diensten. Dropbox treedt op als gegevensverwerker en verwerkt gegevens namens jouw organisatie wanneer je de Dropbox Sign-diensten gebruikt. Ons privacybeleid beschrijft onze privacy jegens gebruikers en legt uit hoe wij jouw persoonsgegevens verzamelen, gebruiken en behandelen wanneer je onze diensten gebruikt, en onze servicevoorwaarden omvatten verplichtingen met betrekking tot gegevensverwerking e–n internationale gegevensoverdracht.
Training en privacybewustzijn
Alle Dropbox-medewerkers zijn verplicht om een beveiligings- en privacytraining te volgen wanneer ze in dienst worden genomen en daarna jaarlijks. Daarnaast ontvangen medewerkers informatie over beveiligings- en privacybewustzijn via e-mails, lezingen en presentaties, en via bronnen die beschikbaar zijn op ons intranet.
Gegevens in kaart brengen en privacy-impactbeoordeling
Om te controleren of onze privacypraktijken gepast zijn, houdt Dropbox een register bij van de verwerkingsactiviteiten voor de Sign-diensten. Daarnaast hebben wij een Privacy Impact Assessment (PIA) uitgevoerd om te beoordelen hoe we persoonsgegevens verzamelen, verwerken en opslaan en om potentiële effecten op privacy te kunnen bepalen.
Informatiebeveiligingsbeleid
Dropbox heeft een informatiebeveiligings- en gegevensbeschermingsbeleid dat bepaalt hoe en wanneer medewerkers en contractanten toegang hebben tot jouw gegevens. Dit beleid is gebaseerd op internationale normen en best practices en wordt jaarlijks herzien om het up-to-date te houden met de huidige bedrijfspraktijken en om rekening te houden met veranderingen in wet- en regelgeving. Indien nodig kunnen er ook ad-hocwijzigingen in dit beleid worden aangebracht. Dit beleid wordt aan nieuwe medewerkers verstrekt en wijzigingen worden via het bedrijfsintranet aan de medewerkers gecommuniceerd.
Gegevensoverdracht
Dropbox baseert zich voor de overdracht van gegevens uit de Europese Unie, de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland op verschillende wettelijke instrumenten, zoals contracten met onze klanten en partners, standaardcontractbepalingen en adequaatheidsbesluiten van de Europese Commissie over bepaalde landen, voor zover van toepassing.
Dropbox Sign voldoet aan het EU-VS-gegevensprivacykader, de Britse uitbreiding van het EU-VS-gegevensprivacykader en het Zwitsers-Amerikaanse-gegevensprivacykader, zoals opgesteld door het Amerikaanse ministerie van Handel met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke gegevens die worden overgedragen van de Europese Unie, de Europese Economische Ruimte en Zwitserland naar de Verenigde Staten.
Incidentrespons
Onze Incidentresponsprocedures zijn bedacht en getest om ervoor te zorgen dat potentiële beveiligingsgebeurtenissen worden geïdentificeerd en gerapporteerd aan het personeel dat zich bezighoudt met de afwikkeling. Het personeel volgt gedefinieerde protocollen voor het oplossen van beveiligingsgebeurtenissen en de stappen voor oplossing worden gedocumenteerd en regelmatig beoordeeld door het Beveiligingsteam. Daarnaast bevatten ons beleid en onze procedures kennisgeving van inbreuken voor het geval dat en wanneer een beveiligingsincident het verlies of ongeoorloofd gebruik van persoonsgegevens met zich meebrengt.
Productbeoordelingen
Onze Software Development Lifecycle ("SDLC") zorgt ervoor dat systeemwijzigingen worden uitgevoerd in overeenstemming met de AVG-vereisten, inclusief overwegingen voor privacy op de volgende gebieden:
- Planning;
- Documentatie wijzigen;
- Ontwikkeling van testplannen;
- Testen van wijzigingen en documenteren van resultaten;
- Kwaliteitsborging ("QA") Beoordeling en goedkeuring;
- Beoordeling en attestering door derden; en
- Periodieke beoordeling en update.
Beoordelingen van leveranciers
Leveranciers die persoonsgegevens verwerken of opslaan, worden beoordeeld als onderdeel van het risicobeoordelingsproces van Dropbox door derden om ervoor te zorgen dat ze over de juiste beveiligings- en privacycontroles beschikken om gegevens te beschermen. Al onze huidige subverwerkers worden jaarlijks beoordeeld om er zeker van te zijn dat ze voldoen aan de beveiligings- en privacyvereisten.
Contractuele bescherming
Dropbox heeft nieuwe SCC's voor verwerkers geïmplementeerd tussen Dropbox International Unlimited Company en Dropbox, Inc. om de overdracht van persoonsgegevens van onze klanten naar de VS te dekken. We hebben onze gegevensverwerkingsovereenkomst bijgewerkt om dit weer te geven https://assets.dropbox.com/ documenten/en/legal/hs-gegevensverwerkingsovereenkomst.pdf
De Overeenkomst inzake gegevensverwerking maakt reeds deel uit van de servicevoorwaarden van Dropbox Sign.
Certificeringen
Bij Dropbox Sign begrijpen we de ernstige gevolgen van naleving en hebben we ijverig aan processen gewerkt om onze service te laten voldoen aan de normen die van toepassing zijn op jouw bedrijf.
Voor meer informatie over de normen en certificeringen waar Dropbox Sign aan voldoet en zich aan houdt, raadpleeg je onze nalevingspagina.
Productbeveiliging
Versleuteling
Communicatie met onze services maakt standaard gebruik van Transport Layer Security (TLS), dat regelmatig wordt bijgewerkt om de nieuwste coderingssuites en TLS-configuraties te gebruiken. Bovendien versleutelen we alle klantgegevens in rust met AES 256-T.
Verwijdering van en toegang tot gegevens
Als je een verzoek om toegang tot je gegevens wilt indienen of als je wilt dat je persoonsgegevens verwijderd moeten worden, kun je een e-mail sturen naarprivacy@dropbox.com. Raadpleeg het privacybeleid van Dropbox Sign voor meer informatie.
Naleving van cookies
Wanneer je de Dropbox Sign-diensten gebruikt, kun je selecteren welke cookies je wilt toestaan dat Dropbox gebruikt door op Cookies en CCPA-voorkeuren te klikken in de voettekst van deze pagina onder Support.