'Inhoud van klanten' (of 'uw inhoud') is alle inhoud die u, als klant, of uw gebruikers uploaden naar een cloudservice voor verwerking, opslag of hosting in verband met uw account. In de context van supportdiensten is 'inhoud van klanten' alle inhoud die u aan VMware verstrekt als onderdeel van supportdiensten. De definitie van 'inhoud van klanten' is te vinden in de Algemene voorwaarden van VMware. Inhoud van klanten omvat bijvoorbeeld gegevens die u of uw gebruikers opslaan in Workspace ONE. Belangrijk is dat uw accountgegevens, inclusief namen, gebruikersnamen, telefoonnummers en factureringsgegevens die aan uw account zijn gekoppeld, niet zijn opgenomen in de definitie van 'inhoud van klanten', noch enige informatie die VMware verzamelt in verband met uw gebruik van zijn cloudservices. In plaats daarvan zal VMware die informatie behandelen in overeenstemming met zijn Privacyverklaring.

U blijft altijd eigenaar van inhoud van klanten. U bepaalt welke VMware-cloudservices u gebruikt om inhoud van klanten te verwerken, op te slaan en te hosten, en welke informatie u uploadt naar de cloudservice als inhoud van klanten. VMware zal ook geen toegang hebben tot inhoud van klanten en deze niet gebruiken voor enig doel, behalve voor zover nodig om de cloudservice aan u te leveren of zoals uiteengezet en toegestaan in de Algemene voorwaarden van VMware die met u gedeeld zijn. Ten slotte gebruikt VMware geen inhoud van klanten voor marketing of advertenties.

VMware biedt bedrijfsoplossingen waarmee klanten apps kunnen bouwen, beheren, beveiligen en uitvoeren op meerdere systemen en omgevingen. Hoewel VMware van mening is dat de aard van het serviceaanbod dat het aan zijn klanten biedt, over het algemeen geen direct verzoek om toegang van de overheid tot inhoud van klanten rechtvaardigt, heeft VMware de volgende stappen ondernomen om te voldoen aan de Schrems II-uitspraak en om klanten te helpen bij hun eigen nalevingsinspanningen in met betrekking tot gegevens die zij als verwerkingsverantwoordelijke verwerken:

Versterkte contractuele verplichtingen met betrekking tot toegangsverzoeken van de overheid
VMware heeft het gedeelte 'Vereiste openbaarmaking' van de Algemene voorwaarden van VMware bijgewerkt om te verduidelijken hoe VMware omgaat met toegangsverzoeken van de overheid door de volgende toezeggingen toe te voegen:

Waar klantmelding niet wettelijk verboden is, zal VMware:

• De klant informeren: zijn klanten op de hoogte stellen van elke vraag om openbaarmaking van de inhoud van de klant.

• Overheidsinstantie doorverwijzen naar de klant: de relevante overheidsinstantie informeren dat VMware een serviceprovider is die namens de klant optreedt en dat alle verzoeken om toegang tot de inhoud van de klant schriftelijk moeten worden gericht aan de contactpersoon die de klant aan ons heeft opgegeven, of aan de juridische afdeling van de klant.

• Toegang beperken: alleen toegang geven tot de inhoud van de klant met toestemming van de klant. Als de klant daarom vraagt, zullen we, op kosten van de klant, redelijke stappen ondernemen om elke eis te betwisten.

In het geval dat het VMware wettelijk verboden is om de klant op de hoogte te stellen, zal VMware:

• Rechtsgeldigheid evalueren: VMware zal de eis tot openbaarmaking evalueren om te bepalen of deze rechtsgeldig en bindend is.

• Onrechtmatige verzoeken betwisten: VMware zal bezwaar maken tegen het verzoek als het redelijkerwijs van mening is dat het verzoek niet voldoet aan de toepasselijke wetgeving.

• Rijkweidte van openbaarmaking beperken: VMware zal de reikwijdte van elke openbaarmaking beperken tot alleen de informatie die we verplicht zijn openbaar te maken en zal deze informatie openbaar maken in overeenstemming met de toepasselijke wetgeving.

Transparantie met betrekking tot het proces voor het afhandelen van toegangsverzoeken van de overheid en Amerikaanse autoriteiten

Om klanten te helpen de toezeggingen en het proces van VMware voor het afhandelen van toegangsverzoeken van de overheid beter te begrijpen, inclusief toezeggingen die uiteengezet zijn in de bindende bedrijfsregels van VMware, heeft VMware principes van VMware opgesteld voor het afhandelen van overheidsverzoeken om toegang te krijgen tot inhoud van klanten.

Verder heeft VMware de VMware-verklaring opgesteld met betrekking tot de toepassing van FISA-sectie 702 en Executive Order 12333 met het oog op Schrems II om enige bezorgdheid weg te nemen over Amerikaanse inlichtingendiensten die toegang hebben tot gegevens die van de EU naar de VS worden verzonden en om klanten te helpen om de waarschijnlijke toepassing van twee Amerikaanse autoriteiten te begrijpen: Executive Order (EO) 12333 en de Foreign Intelligence Surveillance Act (FISA), sectie 702. VMware is er sterk van overtuigd dat het niet erg waarschijnlijk is dat het onderworpen zou zijn aan sectie 702 of EO 12333 met betrekking tot de levering van het serviceaanbod, gezien de aard van de diensten die het levert.

Bijgewerkte contracten met subverwerkers om te zorgen voor een wettelijke basis voor het overdragen van persoonlijke gegevens

Sinds de ongeldigverklaring van het privacyschild tussen de EU en de VS heeft VMware modelcontractbepalingen geïmplementeerd met al zijn subverwerkers die voorheen vertrouwden op het EU-VS-privacyschild als mechanisme voor gegevensoverdracht. In zijn hoedanigheid van gegevensverwerker vertrouwt VMware op bindende bedrijfsregels om persoonlijke gegevens buiten de EU over te dragen in verband met de levering van het toepasselijke VMware-serviceaanbod zoals uiteengezet in het addendum voor gegevensverwerking van VMware.

Technische en organisatorische maatregelen

VMware bevestigt zijn toezegging om passende technische en organisatorische maatregelen te implementeren en te handhaven, zoals uiteengezet in het addendum voor gegevensverwerking van VMware. Het Trust Center van VMware geeft een overzicht van de certificeringen en audits van derden die VMware onderhoudt met betrekking tot zijn serviceaanbod. Gezien de aard van het VMware-serviceaanbod hebben klanten ook controle over hoe ze het serviceaanbod configureren en kunnen ze alle nodige administratieve en technische controles uitvoeren om de gegevens te beschermen die worden verwerkt in verband met hun gebruik van het toepasselijke serviceaanbod. In veel gevallen biedt VMware zowel on-premise als gehoste oplossingen waaruit klanten kunnen kiezen bij het beheer van hun systemen en infrastructuur.

Overdrachtseffectbeoordelingen
VMware heeft een proces geïmplementeerd voor het uitvoeren van overdrachtseffectbeoordelingen, zoals verder beschreven in de Veelgestelde vragen over overdrachtseffectbeoordelingen (TIA's). Verder heeft VMware zijn bindende bedrijfsregels voor verwerkers (BCR-P's), zoals goedgekeurd door de toezichthoudende autoriteiten, bijgewerkt met een toezegging om overdrachtseffectbeoordelingen uit te voeren. Bekijk de procedure voor overdrachtseffectbeoordelingen van VMware zoals beschreven in de bindende bedrijfsregels voor verwerkers (BCR-P's).

Transparantie met betrekking tot de typen gegevens die worden verwerkt door VMware Service – gegevensbladen
Het Europees Comité voor gegevensbescherming (EDPB) heeft in zijn veelgestelde vragen over 'Schrems II' uiteengezet dat het noodzakelijk is om rekening te houden met de soorten overdracht van gegevens als een factor om te bepalen of er een passend beschermingsniveau is rond de overdracht van persoonsgegevens buiten de EU, en dat verwerkingsverantwoordelijken per geval een analyse moeten uitvoeren om de risico's van een dergelijke overdracht te bepalen. Om klanten te helpen inzicht te krijgen in de soorten gegevens die worden verwerkt in verband met hun gebruik van VMware-serviceaanbiedingen, biedt VMware servicebeschrijvingen voor elk serviceaanbod en stelt het gegevensbladen beschikbaar voor bepaalde serviceaanbiedingen in het privacygedeelte van het VMware Trust Center. Voor het Workspace One-serviceaanbod stelt VMware ook de verklaring inzake Workspace One beschikbaar.

VMware contracteert derden en gebruikt deze om namens VMware diensten uit te voeren in verband met de levering van het VMware-serviceaanbod of support- en abonnementsdiensten. In verband met de contractering van derden die persoonsgegevens verwerken als subverwerker (zoals gedefinieerd in het Addendum voor gegevensverwerking), heeft VMware de volgende processen en procedures geïmplementeerd:

1. Contractuele verplichting en internationale gegevensoverdracht: VMware gaat gegevensverwerkingsovereenkomsten aan met al zijn subverwerkers, die voorschrijven dat de subverwerkers de juiste privacy, beveiliging en vertrouwelijkheid van persoonlijke gegevens handhaven met voorwaarden die in wezen vergelijkbaar zijn met de contractuele toezeggingen die VMware doet aan zijn eigen klanten in het Addendum voor gegevensverwerking. VMware vertrouwt op de EU-modelcontractbepalingen, tenzij er een ander legitiem mechanisme voor gegevensoverdracht is en de subverwerker passende contractuele toezeggingen doet.
   
   
2. Privacybeoordelingsproces en privacy by design: VMware heeft een gecentraliseerd end-to-end beheerproces voor externe leveranciers opgezet om nieuwe leveranciers te onboarden, inclusief het initiëren, uitvoeren en volgen van privacy- en beveiligingsbeoordelingen door derden met behulp van gecentraliseerde tools om te helpen bij de nalevingsinspanningen. Het VMware-privacyteam voert gedetailleerde privacybeoordelingen uit van de diensten die door subverwerkers worden geleverd, inclusief het bepalen van de categorieën van verwerkte persoonsgegevens en de verwerkingsdoeleinden. De beoordelingen omvatten de implementatie van privacycontroles om de risico's in verband met de toegang van subverwerkers tot en de verwerking van persoonsgegevens te beperken en om naleving van de regelgeving te waarborgen.
   
   
3. Beveiligingscontroleproces: VMware hanteert een beleid en proces voor het uitvoeren van beveiligingsbeoordelingen van subverwerkers. Het VMware-beveiligingsteam voert een eerste beveiligingsbeoordeling uit van elke nieuwe subverwerker en doorlopende monitoring op basis van het geïdentificeerde beveiligingsrisiconiveau.
   
   
4. Lijst met subverwerkers en kennisgeving van nieuwe subverwerkers: VMware houdt een lijst bij van de subverwerkers die worden gebruikt door afzonderlijke aangeboden services en met betrekking tot de support- en abonnementsdiensten. VMware stelt klanten die zich hebben geabonneerd op het ontvangen van kennisgevingen voor een specifieke dienst vooraf op de hoogte van elke nieuwe contractering van een subverwerker.

VMware heeft een intern proces voor het volgen, analyseren en beoordelen van nieuwe wet- en regelgeving, bindende richtlijnen en jurisprudentie die van toepassing kunnen zijn op VMware, zowel bij de levering van zijn diensten als bij de bedrijfsvoering. Het privacyteam vertrouwt op externe adviseurs, externe tools voor privacyonderzoek en nieuwsmeldingen van advocatenkantoren om te begrijpen wanneer er nieuwe wet- en regelgeving wordt uitgevaardigd.

Zodra is vastgesteld dat een specifieke privacywet van toepassing is op VMware, zoals het geval was met wetten in bijvoorbeeld China, Japan, Californië, Colorado, Virginia en Utah, volgt VMware de wettelijke vereisten en implementeert het een projectplan om naleving te waarborgen. Als onderdeel van het implementatieproces betrekt het VMware-privacyteam de relevante interne belanghebbenden en identificeert het de processen en controles die moeten worden bijgewerkt om te voldoen aan de nieuwe wettelijke vereisten. Het VMware-privacyteam vertrouwt op zijn ecosysteem van privacyraden (aangestuurd door functionele gebieden zoals marketing, HR, verkoop) binnen het bedrijf om te helpen bij de tijdige en efficiënte implementatie van nieuwe of gewijzigde wetten.

Het VMware-privacyteam maakt ook gebruik van zijn standaard privacytraining en andere bedrijfstrainingen om ervoor te zorgen dat al zijn werknemers en contractanten goed zijn opgeleid in nieuwe wettelijke vereisten die van invloed kunnen zijn op hun zakelijke functie. Als onderdeel van de naleving door VMware van de bindende bedrijfsregels voor verwerkers heeft VMware bijvoorbeeld de nodige trainingen geïmplementeerd via zijn jaarlijkse verplichte beveiligings- en bewustzijnstraining, en zijn zakelijke gedragscode bijgewerkt om aan te sluiten op de nieuwe vereisten.

De beveiliging van zijn cloudservices is van het grootste belang voor VMware. Zie de Trust Center-beveiligingspagina voor meer informatie over hoe VMware zijn cloudservices beveiligt. VMware onderhoudt een beheerprogramma voor informatiebeveiliging dat is afgestemd op de ISO 27001-norm en dat in elk geval één keer per jaar wordt beoordeeld om ervoor te zorgen dat de juiste controles, praktijken en procedures aanwezig zijn.

Bij het gebruik van VMware-cloudservices bent u verantwoordelijk voor het configureren en implementeren van de noodzakelijke technische, organisatorische en administratieve controles om u in staat te stellen te voldoen aan alle wetten die van toepassing zijn op uw gebruik van de cloudservice, wat kan afhangen van de soorten gegevens die u wilt verwerken met behulp van de service. Uw verantwoordelijkheden met betrekking tot de beveiliging van uw inhoud van klanten zijn uiteengezet in de toepasselijke overeenkomst en omvatten (a) het controleren van de toegang die u aan uw gebruikers verleent, (b) het correct configureren van de cloudservice, (c) het waarborgen van de beveiliging van inhoud van klanten terwijl deze onderweg is van en naar de cloudservice, (d) het gebruik van versleutelingstechnologie om inhoud van klanten te beschermen zoals u dat nodig acht, en (e) het maken van back-ups van inhoud van klanten.