Subverwerkers

We selecteren externe partijen zorgvuldig en begrijpen dat samenwerking met derden potentiële risico's met zich meebrengt. Daarom hanteren we een rigoureus vendor management programma dat ervoor zorgt dat elke derde partij aan dezelfde hoge security en compliance standaarden voldoet als wijzelf.

Selectie

Evaluatie Criteria

Bij het selecteren van nieuwe leveranciers beoordelen we:

Security & Compliance

• Information security programma (ISMS)

• Relevante certificeringen (ISO 27001, SOC 2)

• Data handling en encryptie praktijken

• Incident response capabilities

• Business continuity planning

Legal & Contractual

• AVG-compliant Data Processing Agreement (DPA)

• Adequate liability en insurance coverage

• Clear SLA terms en support commitments

• Data return/deletion procedures

Operational

• Financial stability

• Technical capabilities

• References en track record

• Data processing locatie (EU vereist)

Ons Beleid

Alle subverwerkers die toegang hebben tot persoonsgegevens moeten voldoen aan strikte criteria:

• AVG-compliant Data Processing Agreement (DPA)

• Adequate security certificeringen (ISO 27001, SOC 2)

• EU data residency

• Encryption at rest en in transit

• Incident response procedures

• Business continuity planning

Overzicht Subverwerkers

Voor een volledig overzicht van alle subverwerkers die Onesurance gebruikt, zie onze subverwerkerslijst.

Nieuwe subverwerkers:
Wij notificeren klanten 30 dagen voorafgaand aan het inschakelen van nieuwe subverwerkers, met objectierecht volgens contract.

Uw Rechten als Klant

Notificatie bij Nieuwe Subverwerkers

Advance Notice: 30 dagen

• Via email naar uw contract contactpersoon

• Voor elke nieuwe subverwerker

• Voor material changes aan bestaande subverwerkers

Objectie Recht

Timeframe: 14 dagen na notificatie

• Schriftelijk bezwaar met reden

• Good-faith discussie over alternatieven

• Contract termination optie indien geen oplossing

Audit Recht

Proces via dpo@onesurance.ai

• Reasonable intervals (bijv. jaarlijks)

• Subprocessor security en data handling

• Summary reports worden gedeeld

• Issues worden prompt addressed

Security Requirements

Alle subverwerkers moeten voldoen aan strikte security en AVG requirements

Data Processing Locaties

Alle data processing binnen EU - zie Infrastructuur & Architectuur

Ongoing Management

Continuous Oversight

Annual Reviews

• Security posture updates

• Compliance status verification (certificaten)

• Performance en SLA compliance

• Risk reassessment

Monitoring

• Performance metrics tracking

• Security incident monitoring

• Compliance changes

• Financial health

Incident Management

• Vendor breach notification requirements

• Impact assessment op Onesurance

• Customer communication indien affected

• Post-incident improvements

Vendor Incidents

Notification Requirements

Vendors moeten Onesurance notificeren:

• Immediately: Security incidents affecting our data

• Within 24h: Service disruptions

• Within 72h: Compliance changes

Onze Response

Bij vendor incidents:

1. Impact assessment (binnen 4 uur)

2. Immediate containment actions

3. Customer notification (indien data affected)

4. Regulatory notification (indien vereist)

5. Remediation met vendor

6. Post-incident review

Risk Management

Onesurance heeft verschillende procedure's om risk management te coördineren.

Transparantie

Regular Reporting

Naar Klanten:

• Subprocessor updates (30 dagen advance)

• Vendor incident communications (indien relevant)

• Annual compliance updates

Documentation Beschikbaar:

• Vendor security assessments (summary)

• Certifications verification

• DPA documentation

• Op verzoek via dpo@onesurance.ai