AVG & GDPR Compliance

Laatst bijgewerkt: 1 januari 2025

Casemeister is volledig AVG-compliant

Als aanbieder van software voor advocaten begrijpen wij het belang van gegevensbescherming. Wij hebben uitgebreide maatregelen getroffen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG/GDPR).

1. Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG), in het Engels de General Data Protection Regulation (GDPR), is de Europese privacywetgeving die sinds 25 mei 2018 van kracht is. De AVG geeft burgers meer controle over hun persoonsgegevens en stelt strenge eisen aan organisaties die persoonsgegevens verwerken.

2. Onze rol onder de AVG

Onder de AVG kan Casemeister twee rollen vervullen:

2.1 Verwerkingsverantwoordelijke

Voor de gegevens van onze klanten (accounthouders) treden wij op als verwerkingsverantwoordelijke. Dit betreft:

  • Accountgegevens en inloggegevens
  • Facturatiegegevens
  • Communicatie met onze support

2.2 Verwerker

Voor de gegevens die onze klanten invoeren in dossiers (gegevens van hun cliënten) treden wij op als verwerker. De klant (het advocatenkantoor) blijft verwerkingsverantwoordelijke voor deze gegevens.

3. Technische beveiligingsmaatregelen

Wij hebben de volgende technische maatregelen geïmplementeerd:

Encryptie

256-bit SSL/TLS voor dataverkeer en AES-256 encryptie voor opgeslagen gegevens

2FA

Tweefactorauthenticatie beschikbaar voor extra accountbeveiliging

Audit logging

Uitgebreide logging van alle toegang en wijzigingen

Toegangscontrole

Role-based access control (RBAC) voor gebruikersbeheer

4. Datalocatie

Alle gegevens worden opgeslagen in datacenters binnen de Europese Unie:

Primaire locatie: Frankfurt, Duitsland

Certificering: ISO 27001, SOC 2 Type II

Back-up locatie: Amsterdam, Nederland

Door te kiezen voor Europese datacenters zijn uw gegevens niet onderworpen aan wetgeving zoals de Amerikaanse CLOUD Act. Dit is essentieel voor advocatenkantoren die werken met vertrouwelijke cliëntgegevens.

5. Verwerkersovereenkomst

Conform artikel 28 AVG sluiten wij een verwerkersovereenkomst met onze klanten. Deze overeenkomst regelt:

  • Het onderwerp en de duur van de verwerking
  • De aard en het doel van de verwerking
  • Het soort persoonsgegevens en categorieën betrokkenen
  • De verplichtingen en rechten van de verwerkingsverantwoordelijke
  • Beveiligingsmaatregelen
  • Inschakeling van subverwerkers
  • Bijstand bij rechten van betrokkenen
  • Meldplicht bij datalekken

Een verwerkersovereenkomst is op aanvraag beschikbaar. Neem contact op via privacy@casemeister.nl.

6. Subverwerkers

Wij maken gebruik van de volgende subverwerkers, allen binnen de EU of met adequate waarborgen:

Subverwerker Dienst Locatie
Hetzner Online GmbH Hosting & infrastructuur Duitsland
Postmark (ActiveCampaign) Transactionele e-mail EU (SCCs)
Mollie B.V. Betalingsverwerking Nederland
Voys VoIP telefonie Nederland

Wijzigingen in subverwerkers worden vooraf gecommuniceerd aan klanten.

7. Rechten van betrokkenen

De AVG geeft betrokkenen (personen wiens gegevens worden verwerkt) verschillende rechten. Wij ondersteunen u bij het faciliteren van deze rechten:

7.1 Functionaliteit in de applicatie

  • Recht op inzage: Exportfunctie voor dossiergegevens
  • Recht op rectificatie: Gegevens kunnen direct worden aangepast
  • Recht op verwijdering: Verwijderfunctie voor dossiers en contacten
  • Recht op dataportabiliteit: Export in gangbare formaten (JSON, CSV)

7.2 Ondersteuning bij verzoeken

Ontvangt u een AVG-verzoek van een betrokkene? Wij helpen u binnen 48 uur met:

  • Identificatie van relevante gegevens
  • Export van gegevens
  • Verwijdering van gegevens

8. Datalekken

Wij hebben een procedure voor het omgaan met datalekken:

  1. Detectie: Monitoring en alerting voor verdachte activiteiten
  2. Melding: Bij een datalek melden wij dit binnen 24 uur aan getroffen klanten
  3. Documentatie: Alle incidenten worden gedocumenteerd
  4. Ondersteuning: Wij ondersteunen bij eventuele melding aan de Autoriteit Persoonsgegevens

De meldplicht aan de Autoriteit Persoonsgegevens (binnen 72 uur) rust op de verwerkingsverantwoordelijke (uw kantoor). Wij voorzien u van alle benodigde informatie.

9. Data Protection Impact Assessment (DPIA)

Voor verwerkingen met een hoog risico kan een DPIA vereist zijn. Wij kunnen ondersteuning bieden bij:

  • Identificatie van verwerkingen die een DPIA vereisen
  • Technische informatie over onze beveiligingsmaatregelen
  • Risicobeoordeling van de verwerking via Casemeister

10. Bewaartermijnen

Wij hanteren de volgende standaard bewaartermijnen:

Gegevenstype Bewaartermijn Toelichting
Dossiergegevens Tot verwijdering door klant Klant bepaalt bewaartermijn
Accountgegevens 2 jaar na beëindiging Voor eventuele vragen/claims
Facturatiegegevens 7 jaar Wettelijke bewaarplicht
Logbestanden 12 maanden Security & troubleshooting
Back-ups 30 dagen rollend Disaster recovery

11. Functionaris Gegevensbescherming

Voor vragen over gegevensbescherming kunt u contact opnemen met onze privacy officer:

E-mail: privacy@casemeister.nl

Reactietijd: Binnen 5 werkdagen

12. Compliance documentatie

De volgende documentatie is op aanvraag beschikbaar voor klanten:

  • Verwerkersovereenkomst (DPA)
  • Technische beveiligingsmaatregelen (TOM)
  • Lijst van subverwerkers
  • Certificaten van datacenters
  • Penetratietest rapportage (samenvatting)

Neem contact op via privacy@casemeister.nl om deze documenten aan te vragen.

13. Veelgestelde vragen

Moet ik als advocatenkantoor een verwerkersovereenkomst sluiten met Casemeister?

Ja, als u persoonsgegevens van cliënten verwerkt via Casemeister, bent u verplicht een verwerkersovereenkomst te sluiten. Wij stellen deze kosteloos beschikbaar.

Waar worden mijn gegevens opgeslagen?

Alle gegevens worden opgeslagen in ISO 27001 gecertificeerde datacenters in Frankfurt (Duitsland) met back-ups in Amsterdam (Nederland). Er vindt geen doorgifte plaats naar landen buiten de EU.

Hoe ga ik om met een inzageverzoek van een cliënt?

U kunt via de exportfunctie in Casemeister alle gegevens van een specifieke cliënt exporteren. Bij vragen helpen wij u graag.

Wat gebeurt er met mijn gegevens als ik mijn account opzeg?

Na opzegging heeft u 30 dagen om uw gegevens te exporteren. Daarna worden alle gegevens definitief verwijderd, met uitzondering van facturatiegegevens (7 jaar bewaarplicht).

14. Updates

Deze pagina wordt bijgewerkt wanneer er wijzigingen zijn in onze AVG-compliance of beveiligingsmaatregelen. Belangrijke wijzigingen worden gecommuniceerd via e-mail aan alle klanten.

Vragen over AVG-compliance?

Ons team staat klaar om uw vragen te beantwoorden en u te voorzien van de benodigde documentatie.

Neem contact op