PhotoRobot Technische en Organisatorische Maatregelen (TOMs)
Dit document definieert de technische en organisatorische maatregelen (TOM's) van PhotoRobot overeenkomstig Artikel 32 van de AVG: Versie 1.0 – PhotoRobot Edition, uni-Robot Ltd., Tsjechië. Het document is voor het laatst bijgewerkt op 31 december 2025 en ondersteunt naleving van de contractuele verplichtingen van PhotoRobot onder de DPA en SLA.
1. Inleiding - PhotoRobot TOMs
Dit document beschrijft de technische en organisatorische maatregelen (TOM's) die door uni-Robot Ltd. (PhotoRobot) zijn ingevoerd om een passend beveiligingsniveau te waarborgen voor de verwerking van persoonsgegevens in overeenstemming met artikel 32 van de Algemene Verordening Gegevensbescherming (AVG).
Deze maatregelen zijn van toepassing op de werking van PhotoRobot-diensten, waaronder maar niet beperkt tot:
- PhotoRobot Controls Cloud
- PhotoRobot Cloud 2.0
- PhotoRobot regelt lokaal (wanneer verbonden met clouddiensten)
- API's en gerelateerde online diensten
- Ondersteunende infrastructuur en interne systemen
Dit document dient als de gezaghebbende beschrijving van de TOM's van PhotoRobot en kan worden verwezen in Data Processing Agreements (DPA's), audits en beveiligingsbeoordelingen van ondernemingen.
2. Reikwijdte en toepasbaarheid
De hier beschreven TOMs zijn van toepassing op:
- Persoonlijke gegevens die namens klanten worden verwerkt als onderdeel van PhotoRobot-diensten
- Interne operationele data die nodig is om de diensten te leveren, onderhouden en beveiligen
De maatregelen zijn ontworpen met het oog op:
- De stand van zaken
- Implementatiekosten
- de aard, reikwijdte, context en doeleinden van verwerking
- De risico's voor de rechten en vrijheden van natuurlijke personen
3. Organisatorische beveiligingsmaatregelen
3.1. Informatiebeveiligingsbestuur
PhotoRobot onderhoudt interne beleidsregels en procedures voor informatiebeveiliging, gegevensbescherming en acceptabel gebruik van systemen.
Verantwoordelijkheden voor beveiliging en gegevensbescherming zijn duidelijk gedefinieerd binnen de organisatie, inclusief aangewezen contactpersonen voor privacy- en juridische zaken.
3.2. Vertrouwelijkheid en bewustwording van werknemers
- Werknemers en aannemers zijn gebonden aan vertrouwelijkheidsverplichtingen
- Toegang tot systemen wordt verleend op basis van need-to-know
- Bewustzijn over beveiliging en gegevensbescherming wordt gepromoot als onderdeel van onboarding en lopende operaties
4. Toegangscontrole en autorisatie
4.1. Rolgebaseerde toegangscontrole (RBAC)
Toegang tot systemen en klantgegevens wordt gecontroleerd met behulp van rolgebaseerde toegangscontrole (RBAC) principes.
- Gebruikers krijgen de minimale rechten die nodig zijn om hun taken uit te voeren
- Administratieve toegang is beperkt tot geautoriseerd personeel
4.2. Authenticatie
- Sterke authenticatiemechanismen worden gebruikt voor interne en externe systemen
- Wachtwoordbeleid en toegangsgegevens worden veilig beheerd
- Toegangsgegevens mogen niet worden gedeeld
5. Infrastructuur- en netwerkbeveiliging
5.1. Hosting en cloudinfrastructuur
PhotoRobot-diensten worden gehost op professionele cloudinfrastructuuraanbieders (bijv. Google Cloud Platform), die industriestandaard fysieke en milieubeveiligingsmaatregelen implementeren.
5.2. Netwerkbescherming
- Netwerkverkeer wordt beschermd met firewalls en toegangscontroles
- Publieksgerichte diensten zijn geïsoleerd van interne systemen
- Infrastructuurcomponenten worden gemonitord op beschikbaarheid en beveiligingsgebeurtenissen
6. Versleuteling en gegevensbescherming
6.1. Data in transit
- Data die tussen clients en PhotoRobot-diensten wordt verzonden, wordt versleuteld met TLS/HTTPS
- Veilige communicatiekanalen worden gehandhaafd voor API's en cloudinterfaces
6.2. Gegevens in rust
- Gegevens opgeslagen binnen de cloudinfrastructuur worden beschermd met encryptiemechanismen die door de hostingprovider worden aangeboden
- Toegang tot opgeslagen gegevens is beperkt tot geautoriseerde systemen en personeel
7. Loggen, Monitoring en Incidentdetectie
7.1. Houtkap
- Systeemlogs worden gegenereerd voor operationele en beveiligingsrelevante gebeurtenissen
- Logs worden gebruikt voor probleemoplossing, monitoring en incidentanalyse
7.2. Monitoring
- Diensten worden gemonitord op beschikbaarheid, prestaties en afwijkingen
- Waarschuwingen worden geactiveerd bij abnormaal gedrag of dienstonderbreking
8. Incidentrespons en inbreukbeheer
PhotoRobot onderhoudt procedures voor het afhandelen van beveiligingsincidenten, waaronder datalekken.
Deze procedures omvatten:
- Identificatie en beoordeling van incidenten
- Mitigatie- en beheersmaatregelen
- Interne escalatie
- Communicatie met klanten waar nodig
- Naleving van de verplichtingen inzake melding van overtredingen door de AVG (artikelen 33 en 34 van de AVG)
9. Backup, beschikbaarheid en bedrijfscontinuïteit
9.1. Back-ups
- Data-back-ups worden uitgevoerd als onderdeel van standaard cloudoperaties
- Back-ups worden gebruikt voor rampenherstel en servicecontinuïteitsdoeleinden
9.2. Beschikbaarheid
- Er worden redelijke inspanningen geleverd om een hoge beschikbaarheid van diensten te behouden
- Geplande onderhoudsactiviteiten kunnen tijdelijke dienstonderbrekingen veroorzaken
Details over beschikbaarheid, doelstellingen en responstijden worden afzonderlijk beschreven in de toepasselijke Service Level Agreements (SLA's).
10. Veilige ontwikkeling en verandermanagement
10.1. Veilige Ontwikkelingspraktijken
PhotoRobot volgt gestructureerde ontwikkelings- en implementatieprocessen, waaronder:
- Scheiding van ontwikkel-, test- en productieomgevingen waar passend
- Gecontroleerde inzetprocedures
- Versiebeheer en wijzigingstracking
10.2. Updates en patches
- Softwarecomponenten worden bijgewerkt om beveiligingslekken aan te pakken
- Kritieke updates worden geprioriteerd op basis van risicobeoordeling
11. Subverwerkers en Derden
PhotoRobot kan subprocessors inschakelen om de dienstlevering te ondersteunen (bijv. hosting, e-mailservices).
- Subverwerkers worden geselecteerd op basis van hun beveiligings- en gegevensbeschermingspraktijken
- Een actuele lijst van subprocessors wordt apart bijgehouden en openbaar beschikbaar gesteld
12. Fysieke beveiliging
Fysieke toegang tot servers en datacenters wordt beheerd door de cloudinfrastructuurprovider en omvat:
- Toegangscontroles
- Toezicht en monitoring
- Milieubescherming
PhotoRobot exploiteert geen eigen datacenters.
13. Gegevensminimalisatie en -behoud
- Alleen gegevens die nodig zijn voor dienstverlening worden verwerkt
- Persoonsgegevens worden alleen bewaard zolang dat vereist is voor contractuele, juridische of operationele doeleinden
- Verwijderings- en bewaartermijnen voor gegevens zijn vastgelegd in relevante beleidsregels en overeenkomsten
14. Beoordeling en Updates
Deze technische en organisatorische maatregelen worden periodiek herzien en indien nodig bijgewerkt om het volgende te weerspiegelen:
- Technologische veranderingen
- Wijzigingen in de diensten
- Veranderende beveiligings- en regelgevingsvereisten
Materiële wijzigingen kunnen indien nodig aan klanten worden meegedeeld.
15. Contactgegevens
Voor vragen over deze technische en organisatorische maatregelen:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praag 1
Tsjechische Republiek
E-mail: legal@photorobot.com
Slotnoot
Deze TOM's beschrijven de huidige technische en organisatorische maatregelen van PhotoRobot en zijn bedoeld om transparantie en zekerheid te bieden aan klanten. Ze vormen geen garantie op ononderbroken dienst of absolute veiligheid, maar weerspiegelen een risicogedreven en proportionele benadering van gegevensbescherming en informatiebeveiliging.