De normen en regelgeving waaraan Dropbox Business en Education voldoen

ISO

CSA STAR

SOC

FERPA en COPPA

UK Digital Marketplace G-Cloud

HIPAA/HITECH

PCI DSS

Het Amerikaans-Europese Privacy Shield en het Amerikaans-Zwitserse Privacy Shield

Europese Algemene Verordening Gegevensbescherming

De Internationale Organisatie voor Standaardisatie (ISO) heeft een reeks normen ontwikkeld voor optimale kwaliteit van informatiebeveiliging en maatschappelijke veiligheid om organisaties te helpen betrouwbare en innovatieve producten en services te ontwikkelen. De datacenters, systemen, toepassingen, medewerkers en processen van Dropbox zijn gecertificeerd door EY CertifyPoint in Nederland, een onafhankelijke derde partij.

Opmerking: Dropbox Paper valt niet binnen het toepassingsgebied van de ISO-certificeringen.

ISO 27001 (informatiebeveiligingsbeheer)

ISO 27001 wordt wereldwijd erkend als de belangrijkste ISMS-norm (Information Security Management System). De norm is ook gebaseerd op de best practices voor beveiliging die worden beschreven in ISO 27002. We willen het vertrouwen van onze klanten waard zijn en daarom houden we voortdurend en nauwlettend toezicht op onze fysieke, technische en wettelijke controlemiddelen. Onze auditor, EY CertifyPoint, heeft een ISO 27001-accreditatie verkregen van de Raad voor Accreditatie (Dutch Accreditation Council).

Het ISO 27001-certificaat voor Dropbox Business en Education weergeven

ISO 27017 (cloudbeveiliging)

ISO 27017 is een nieuwe internationale norm voor cloudbeveiliging die richtlijnen bevat voor beveiligingsmaatregelen die van toepassing zijn op de levering en het gebruik van cloudservices. In onze Handleiding voor gedeelde verantwoordelijkheid vind je enkele beveiligings-, privacy- en nalevingsvereisten waaraan Dropbox en zijn klanten gezamenlijk moeten voldoen.

Het ISO 27017-certificaat voor Dropbox Business en Education weergeven

ISO 27018 (privacy- en gegevensbescherming in de cloud)

ISO 27018 is een nieuwe internationale norm voor privacy- en gegevensbescherming toegespitst op leveranciers van cloudservices (zoals Dropbox) die persoonlijke gegevens namens hun klanten verwerken. Deze norm vormt een kader voor situaties waarin klanten meer informatie willen of vragen hebben over veelvoorkomende wettelijke en contractuele kwesties.

Het ISO 27018-certificaat voor Dropbox Business en Education weergeven

ISO 22301 (bedrijfscontinuïteitsbeheer)

ISO 22301 is een internationale norm voor bedrijfscontinuïteit die organisaties richtlijnen biedt over hoe ze de kans op ontwrichtende incidenten kunnen verlagen en welke maatregelen ze kunnen treffen om mogelijke schade tot een minimum te beperken. Het Dropbox Business Continuity Management System (BCMS) maakt deel uit van onze algemene strategie voor risicobeheersing om mensen en werkzaamheden in tijden van crisis te beschermen.

Het ISO 22301-certificaat voor Dropbox Business en Education weergeven

CSA STAR (Cloud Security Alliance: Security, Trust, and Assurance Registry)

De CSA Security, Trust & Assurance Registry (STAR) is een gratis, openbaar toegankelijk register dat een garantieprogramma biedt voor de beveiliging van cloudservices. Hiermee kunnen klanten de veiligheid beoordelen van cloudproviders die ze momenteel gebruiken of overwegen te gebruiken.

Dropbox Business en Education hebben de CSA STAR Level 2-certificering, een onafhankelijke, externe beoordeling van onze beveiligingsmaatregelen door EY CertifyPoint op basis van de vereisten van ISO 27001 en de CSA Cloud Controls Matrix (CCM) v.3.0.1, een reeks criteria die de capaciteiten van cloudservices meet. Dropbox Business heeft ook de CSA STAR Level 1-zelfbeoordeling doorlopen. Dit is een zeer gedegen onderzoek op basis van de Consensus Assessments Initiative Questionnaire (CAIQ) van CSA (die aansluit op de CMM) en antwoord geeft op bijna 300 vragen die een klant van cloudservices of een auditor van cloudbeveiliging zou kunnen stellen.

Onze CSA STAR Level 1-zelfbeoordeling en Level 2-certificering op de website van CSA weergeven

Opmerking: Dropbox Paper valt niet binnen het toepassingsgebied van de vermelding in het CSA STAR-register.

SOC-rapporten

SOC-rapporten (Service Organization Controls), ook wel SOC 1, SOC 2 of SOC 3 genoemd, zijn raamwerken die zijn vastgelegd door de AICPA (American Institute of Certified Public Accounts) voor rapportage over interne controlemiddelen die in een organisatie zijn geïmplementeerd. Dropbox heeft zijn activiteiten, processen en technologie laten certificeren door een onafhankelijke externe auditor: Ernst & Young LLP.

Opmerking: Dropbox Paper valt niet binnen het toepassingsgebied van de SOC-rapporten.

SOC 3 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy

Het SOC 3-controlerapport is gebaseerd op de vijf principes voor vertrouwensdiensten, namelijk beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy (sectie 100 van Trust Service Principles). Het Dropbox-rapport voor algemeen gebruik is een samenvatting van het SOC 2-rapport en bevat het oordeel van onze onafhankelijke externe auditor omtrent het effectieve ontwerp en het functioneren van onze controlemiddelen.

De SOC 3-toetsing voor Dropbox Business en Education weergeven

SOC 2 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy

Het SOC 2-rapport biedt klanten gedetailleerde garanties op basis van controlemiddelen en heeft betrekking op de vijf principes van vertrouwensdiensten, namelijk beveiliging, vertrouwelijkheid, verwerkingsintegriteit, beschikbaarheid en privacy (sectie 100 van Trust Service Principles). Het SOC 2-rapport bevat een uitvoerige beschrijving van de processen bij Dropbox en de meer dan 100 controlemiddelen die we inzetten om jouw spullen te beschermen. Naast het oordeel van onze onafhankelijke externe auditor omtrent het ontwerp en het functioneren van onze controlemiddelen, bevat het rapport tevens de testprocedures en resultaten voor elk controlemiddel van de auditor. Het SOC 2-onderzoek voor Dropbox Business en Education is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.

SOC 1/SSAE 16/ISAE 3402 (voorheen SAS 70)

Het SOC 1-rapport biedt specifieke garanties voor klanten voor wie Dropbox Business of Education een essentieel onderdeel is van hun programma voor interne controle van financiële verslaggeving (ICFR). Deze specifieke garanties worden hoofdzakelijk gebruikt voor de naleving van Sarbanes-Oxley (SOX) door onze klanten. De onafhankelijke externe audit wordt uitgevoerd in overeenstemming met SSAE 16 (Statement on Standards for Attestation Engagements nr. 16) en ISAE 3402 (International Standard on Assurance Engagements nr. 3402). Deze standaarden vervangen het verouderde SAS 70 (Statement on Auditing Standards nr. 70). Het SOC 1-onderzoek voor Dropbox Business en Education is op aanvraag verkrijgbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.

Scholieren en kinderen (FERPA en COPPA)

Dropbox Business en Education bieden klanten de mogelijkheid om de services te gebruiken volgens de eisen die aan providers worden gesteld door de wet FERPA (Family Education Rights and Privacy Act) in de VS. Onderwijsinstellingen met leerlingen jonger dan 13 jaar mogen Dropbox Business of Education ook gebruiken overeenkomstig de wet COPPA (Children's Online Privacy Protection Act), mits ze akkoord gaan met bepaalde contractuele bepalingen waarin de instelling wordt verplicht ouders toestemming te vragen voor het gebruik van onze services.

UK Digital Marketplace G-Cloud

Dropbox Business en Enterprise zijn nu opgenomen in de digitale marktplaats van het Verenigd Koninkrijk voor de inkoop van cloudservices door de overheid.

Bekijk onze vermeldingen op de website voor de digitale marktplaats van het Verenigd Koninkrijk voor het Dropbox Business Standard-abonnement, Dropbox Business Advanced-abonnement en Dropbox Enterprise.

Opmerking: Dropbox Paper is niet opgenomen in de richtlijnen van de UK Digitale Marketplace G-Cloud-vermelding.

HIPAA/HITECH

Dropbox is bereid een Business Associate Agreement (BAA) te ondertekenen met klanten van Dropbox Business, Enterprise en Education, die een dergelijke overeenkomst nodig hebben om te voldoen aan de wetten HIPAA (Health Insurance Portability and Accountability Act) en HITECH (Health Information Technology for Economic and Clinical Health Act).

Je vindt meer informatie in onze handleiding Aan de slag met HIPAA en het artikel over dit onderwerp in ons Helpcentrum.

Dropbox stelt een extern rapport beschikbaar met een beoordeling van onze methoden voor de uitvoering van de regels van HIPAA/HITECH voor beveiliging, privacy en kennisgeving van schendingen. In dit rapport worden ook onze interne praktijken en aanbevelingen in kaart gebracht voor klanten die voor Dropbox Business, Enterprise en Education willen voldoen aan de beveiligings- en privacyvereisten van HIPAA/HITECH.

Klanten die deze documenten willen aanvragen, kunnen contact opnemen met het salesteam of het accountbeheerteam. Als je een teambeheerder bent van een Dropbox Business-, Enterprise- of Education-team, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.

Voor klanten die onderworpen zijn aan HIPAA/HITECH: houd er rekening mee dat een BAA moet zijn afgesloten voordat je PHI verplaatst naar je Dropbox-account. Neem contact op met ons salesteam voor meer informatie over een abonnement op Dropbox Business. Als je een teambeheerder bent van een Dropbox Business-, Enterprise- of Education-team, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.

Opmerking: De mogelijkheid om een digitale BAA te ondertekenen via de Beheerconsole is alleen beschikbaar voor klanten in de Verenigde Staten die Dropbox Paper niet gebruiken. Dropbox biedt geen HIPAA/HITECH-ondersteuning voor Dropbox Paper.

PCI DSS

Dropbox voldoet als leverancier aan de PCI DSS-norm (Payment Card Industry Data Security Standard). Dropbox Business, Dropbox Education en Dropbox Paper zijn echter niet bedoeld om creditcardtransacties te verwerken of op te slaan. De Attestation of Compliance (AoC) van PCI over onze status als handelaar is op aanvraag verkrijgbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.

Het Amerikaans-Europese Privacy Shield en het Amerikaans-Zwitserse Privacy Shield

Dropbox voldoet aan de Amerikaans-Europese en Amerikaans-Zwitserse Privacy Shield Frameworks zoals omschreven door het Amerikaanse Department of Commerce, inzake het verzamelen, gebruiken en bewaren van persoonsgegevens die van de Europese Unie, de Europese Economische Ruimte en Zwitserland worden overgedragen naar de Verenigde Staten. Een organisatie die de grondbeginselen van de Privacy Shields naleeft, biedt voldoende privacybescherming onder de EU-richtlijn voor gegevensbescherming.

Bekijk het Privacy Shield-certificaat van Dropbox en ga voor meer informatie naar de Privacy Shield-website.

Europese Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming 2016/679 (ook wel de General Data Protection Regulation, of afgekort de GDPR genoemd) is een richtlijn van de Europese Unie die een belangrijke wijziging vormt in het bestaande raamwerk voor het verwerken van persoonsgegevens van natuurlijke personen in de EU. De AVG introduceert een reeks nieuwe of strengere vereisten die van toepassing zijn op bedrijven als Dropbox die persoonsgegevens verwerken. De verordening wordt van kracht op 25 mei 2018 en vervangt de huidige Europese richtlijn 95/46 EG, beter bekend als de Databeschermingsrichtlijn. Zoals alle bonafide bedrijven werkt Dropbox aan de uitbreiding en uitvoering van zijn gedetailleerde plannen voor de naleving van de AVG. We verwachten de AVG vóór 25 mei 2018 volledig na te leven. Meer informatie over Dropbox en de Europese Algemene Verordening Gegevensbescherming

Is je vraag beantwoord in dit artikel?

Het spijt ons dat te horen. Laat ons weten hoe wij het volgende kunnen verbeteren:

Bedankt voor je feedback.

Antwoorden uit de community
    Antwoorden uit de community

      Other ways to get help

      Community

      Ondersteuning via Twitter

      Hulp via vragen