Inrichting conform DORA
Achtergrond
Financiële entiteiten in de Europese Unie (EU) en hun aanbieders van informatie- en communicatietechnologie (ICT) moeten uiterlijk op 17 januari 2025 voldoen aan de Digital Operational Resilience Act (DORA). GoTo heeft dit document ontwikkeld om onze klanten in de financiële dienstverlening te ondersteunen bij het voldoen aan hun DORA-verplichtingen.
Inrichting conform artikel 30 (Belangrijke contractuele bepalingen):
GoTo heeft dit document opgesteld om onze klanten in de financiële dienstverlening te helpen evalueren hoe onze diensten voldoen aan de vereisten van artikel 30 van DORA. In dit document:
- Wordt een overzicht gegeven van de verplichte contractuele elementen in artikel 30;
- Wordt uitgelegd hoe onze diensten en documentatie aan elke vereiste voldoen;
- Wordt uitgelegd hoe u aan de vereisten kunt voldoen door gebruik te maken van de GoTo-diensten en/of de GoTo-documenten waarnaar hieronder verwezen wordt.
De volgende GoTo-documenten zijn in dit kader relevant:
- De Servicevoorwaarden en Orderdocumentatie van GoTo (vormen samen de Serviceovereenkomst of het Servicecontract van GoTo)
- Servicebeschrijvingen
- Regionaal supplement
- Technische en organisatorische maatregelen (TOM's)
- Informatie over Subverwerkers
- Bijlage Gegevensverwerking van GoTo ('DPA'; Data Processing Addendum)
- Zakelijke gedragscode
De volgende GoTo-bronnen zijn in dit kader relevant:
- GoTo's Trust & Privacy Center, waarin de volgende informatie te vinden is: Productspecifieke TOM's, informatie over Subverwerkers en uitvoerbare DPA's
- VIP-support*: neem contact op met onze verkoopvertegenwoordigers voor meer informatie https://www.goto.com/company/contact-us
*Let op: VIP-support is mogelijk niet voor alle producten en services beschikbaar - Statuspagina: https://www.goto.com/company/trust/status
| Nr. | Standard | Referentiekader | Beschrijving | Commentaar van GoTo | Referenties en bronnen voor GoTo-contracten |
|---|---|---|---|---|---|
| 1 | Servicecontract | Artikel 30 (1) | De rechten en verplichtingen van de financiële entiteit en van de externe ICT-dienstverlener moeten duidelijk worden toegewezen en schriftelijk worden vastgelegd. Bij het volledige contract zijn de service level agreements inbegrepen , die zullen worden gedocumenteerd in één schriftelijk document dat wordt verstrekt aan de partijen op papier, of in een document met een downloadbaar, duurzaam en toegankelijk formaat. | De respectievelijke rechten en plichten van de
partijen zijn schriftelijk vastgelegd in het Servicevoorwaardencontract van GoTo,
inclusief de daarin opgenomen
Servicebeschrijvingen en
Orderocumentatie, die beschikbaar zijn voor
de Klant op het moment van aankoop of wanneer
aangevraagd. Om hun ICT-risico te beheren hebben klanten van financiële entiteiten de mogelijkheid om onze VIP-support aan te schaffen, waarmee de ondersteuning en documentatie wordt geboden om te voldoen aan de vereisten rondom de respons- en oplostijd. Neem voor meer informatie contact op met onze verkoopvertegenwoordigers via https://www.goto.com/company/contact-us. Klanten kunnen ook de beschikbaarheid van de service controleren via https://www.goto.com/company/trust/status. |
Servicevoorwaarden
Orderdocumentatie
Servicebeschrijvingen
VIP-support* Statuspagina |
| 2 | Onderaanneming | Artikel 30, lid 2, sublid a | De contractuele regelingen ten aanzien van het gebruik van ICT-diensten moeten een duidelijke en volledige beschrijving bevatten van alle functies en ICT-diensten die door de ICT-dienstverlener aan derden moeten worden geleverd. Hierbij moet worden aangegeven of uitbesteding van een ICT-dienst die een belangrijke functie of wezenlijke onderdelen daarvan ondersteunt is toegestaan, en welke voorwaarden in dat geval op een dergelijke uitbesteding van toepassing zijn. | Op de Order staan de aangeschafte Services vermeld
en zijn de GoTo-servicevoorwaarden
opgenomen, die een verwijzing bevatten naar onze
Servicebeschrijving, waarin alle
producten en services die wij aanbieden worden beschreven. In paragraaf 4.2 van de GoTo-servicevoorwaarden is geregeld dat informatie over gegevensverwerking gedetailleerder wordt beschreven in ons Trust & Privacy Center (https://www.goto.com/company/trust) Hier vindt u informatie over onze Subverwerkers en de locaties waar gegevensverwerking plaatsvindt, evenals specifieke informatie per Service ten aanzien van onze technische en organisatorische beveiligingsmaatregelen (te weten in de documentatie over 'TOM's'; Technische en Organisatorische Maatregelen). |
Orderdocumentatie Servicevoorwaarden Servicebeschrijvingen Informatie over Subverwerkers TOM's |
| 3 | Locatie | Artikel 30 (2) (b) | De contractuele afspraken over het gebruik van ICT-diensten moeten de locaties bevatten, te weten de regio's of landen, waar de gecontracteerde of uitbestede functies en ICT-diensten moeten worden verstrekt en waar gegevens moeten worden verwerkt, met inbegrip van de opslaglocatie, en rekening houdend met de eis voor de externe ICT-dienstverlener om de financiële entiteit vooraf in kennis te stellen als deze van plan is dergelijke locaties te wijzigen. | De locaties van de subverwerkers van GoTo kunnen worden geraadpleegd in het Trust & Privacy Center (https://www.goto.com/company/trust). GoTo's DPA beschrijft GoTo's toezeggingen en verplichtingen met betrekking tot zijn Subverwerkers inclusief een beschrijving van het aanstellingsproces, de procedures rondom kennisgeving van wijzigingen, en de rechten van bezwaar. De infrastructuur van GoTo is ontworpen om de betrouwbaarheid van de service te verhogen en het risico op downtime te verminderen. Zoals beschreven in GoTo's DPA, kan de Klant zich hier abonneren op kennisgevingen van wijzigingen in de informatie over onze Subverwerkers of TOM's in GoTo's Trust & Privacy Center: https://www.goto.com/company/trust. |
Informatie over Subverwerkers DPA |
| 4 | Gegevens en beveiliging | Artikel 30, lid 2, sublid c | De contractuele afspraken over het gebruik van ICT-diensten moeten bepalingen bevatten over beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid met betrekking tot de bescherming van gegevens, waaronder persoonsgegevens. | De TOM's van GoTo bepalen dat GoTo
robuuste, wereldwijde privacy- en beveiligingsprogramma's
en organisatorische, administratieve en
technische beveiligingsmechanismen onderhoudt, die ontworpen zijn om: (i) de vertrouwelijkheid, integriteit en beschikbaarheid van
Klantcontent te verzekeren
; (ii)
Klantcontent te beschermen tegen externe dreigingen en risico's
; (iii) Klantcontent te beschermen tegen
verlies, misbruik, onbevoegde toegang, openbaarmaking,
wijziging en vernietiging van Klantcontent
; en (iv) te voldoen aan
toepasselijke wet- en regelgeving, waaronder gegevensbescherming
en privacywetgeving. |
TOM's |
| 5 | Gegevens en beveiliging | Artikel 30, lid 2, sublid d | De contractuele regelingen over het gebruik van ICT-diensten moeten bepalingen bevatten over het garanderen van toegang, herstel en teruggave in een gemakkelijk toegankelijk formaat van persoonlijke en niet-persoonlijke gegevens die door de financiële entiteit worden verwerkt in geval van insolventie, afwikkeling of beëindiging van de bedrijfsactiviteiten van de ICT-dienstverlener van derden, of in geval van beëindiging van de contractuele regelingen. | GoTo's DPA bepaalt dat op schriftelijk verzoek van de Klant en indien wettelijk toegestaan, GoTo alle Klantcontent aan de Klant zal retourneren of de Klant zal uitleggen hoe hij zelf een gegevensexport kan genereren. In GoTo's toepasselijke TOM's is deze informatie ook opgenomen (Verwijdering en retournering van Content). Paragraaf 3.3 van GoTo's Servicevoorwaarden voorziet ook in een termijn voor de Klant om zijn Content op te halen bij beëindiging van het contract. | DPA TOM's Servicevoorwaarden |
| 6 | Services en Serviceniveau | Artikel 30, lid 2, sublid e | De contractuele afspraken over het gebruik van ICT-services bevatten beschrijvingen van het Serviceniveau , inclusief updates en herzieningen daarvan. | Om hun ICT-risico te beheren
hebben klanten van financiële entiteiten de mogelijkheid om onze VIP-support aan te schaffen, waarmee de ondersteuning en documentatie wordt geboden om te voldoen aan de vereisten rondom de respons- en oplostijd. Neem voor meer informatie contact op met onze verkoopvertegenwoordigers via https://www.goto.com/company/contact-us. Klanten kunnen ook de beschikbaarheid van de service controleren via https://www.goto.com/company/trust/status. |
VIP-support Statuspagina |
| 7 | Bedrijfscontinuïteit en operationele weerbaarheid | Artikel 30, lid 2, sublid f | De contractuele afspraken over het gebruik van ICT-diensten moeten de verplichting van de externe ICT-dienstverlener bevatten om de financiële entiteit bij te staan, ofwel zonder extra kosten, ofwel tegen kosten die vooraf zijn vastgesteld , wanneer zich een ICT-incident voordoet dat verband houdt met de ICT-dienst die aan de financiële entiteit is verleend. | GoTo's DPA beschrijft de ondersteuning die GoTo
zal bieden aan de klant in het geval van een
ICT-incident zonder extra kosten. Hierin is ook de verplichting van
GoTo vastgelegd om de klant op de hoogte te stellen wanneer
zich een dergelijk incident voordoet. Klanten kunnen ook de beschikbaarheid van de service controleren via https://www.goto.com/company/trust/status. |
Statuspagina DPA |
| 8 | Toezichthoudende autoriteiten | Artikel 30, lid 2, sublid g | De contractuele afspraken over het gebruik van ICT-diensten moeten de verplichting van de externe ICT-dienstverlener bevatten om volledig samen te werken met de bevoegde instanties en resolutieautoriteiten van de financiële entiteit, en met de door hen aangewezen personen. | In paragraaf 5 van de GoTo-servicevoorwaarden
is geregeld dat GoTo, waar nodig en in overeenstemming met de
geldende wetgeving, met betrekking tot de Services medewerking zal verlenen aan opsporings- en
overheidsinstanties op lokaal,
nationaal en internationaal niveau. Daarnaast bepaalt de DPA van GoTo dat: GoTo zal volledig samenwerken met toezichthoudende en andere bevoegde instanties en resolutieautoriteiten en de personen die zijn aangesteld om hun informatie- en auditrechten in verband met de Services uit te oefenen. |
Servicevoorwaarden DPA |
| 9 | Beëindiging | Artikel 30, lid 2, sublid h | De contractuele regelingen ten aanzien van het gebruik van ICT-diensten moeten beëindigingsrechten en gerelateerde minimale opzegtermijnen voor de beëindiging van de contractuele regelingen bevatten, in overeenstemming met de verwachtingen van bevoegde instanties en resolutieautoriteiten. | De opzegtermijnen die van toepassing zijn op de
beëindiging van de Services staan beschreven in
artikel 3.1 van onze GoTo-servicevoorwaarden en
het daarin opgenomen Regionaal Supplement, dat de specifieke vereisten per land bevat. |
Servicevoorwaarden Regionaal Supplement |
| 10 | Bedrijfscontinuïteit en operationele weerbaarheid | Artikel 30, lid 2, sublid i | De contractuele regelingen ten aanzien van het gebruik van ICT-diensten bevatten de voorwaarden voor de deelname van externe ICT-dienstverleners aan de bewustzijnstraining voor ICT-beveiliging en de training in digitale operationele weerbaarheid, die worden aangeboden door de financiële entiteiten, overeenkomstig artikel 13, lid 6. | De DPA van GoTo specificeert de interne verplichtingen, verantwoordelijkheden en toezeggingen ten aanzien van de door ons aangeboden training in beveiliging en privacy. De TOM's van GoTo bieden informatie over GoTo's bewustzijnsprogramma's op het gebied van privacy en beveiliging. Deze zijn specifiek ingericht voor het informeren van nieuw aangenomen werknemers, contractanten en stagiaires, die tijdens hun inwerktraject op de hoogte worden gesteld van het beveiligingsbeleid en de Zakelijke gedragscode van GoTo . Daarnaast moeten alle werknemers, contractanten en dochterondernemingen van GoTo de Zakelijke gedragscode van GoTo doorlezen en naleven. | DPA TOM's Zakelijke gedragscode |
| 11 | Services en Serviceniveau | Artikel 30, lid 3, sublid a | De contractuele regelingen ten aanzien van het gebruik van ICT-diensten moeten een duidelijke en volledige beschrijving bevatten van alle functies en ICT-diensten die door de ICT -dienstverlener aan derden moeten worden geleverd. Hierbij moet worden aangegeven of uitbesteding van een ICT-dienst die een belangrijke functie of wezenlijke onderdelen daarvan ondersteunt is toegestaan, en welke voorwaarden in dat geval op een dergelijke uitbesteding van toepassing zijn. | Om hun ICT-risico te beheren hebben klanten
van financiële entiteiten de mogelijkheid om onze VIP-support aan te schaffen,
waarmee de ondersteuning en documentatie wordt geboden om te voldoen aan de vereisten
rondom de respons- en oplostijd.
Neem voor meer
informatie contact op met onze verkoopvertegenwoordigers via
https://www.goto.com/company/contact-us. Klanten kunnen de beschikbaarheid van GoTo-services ook controleren op https://www.goto.com/company/trust/status. |
VIP-support Statuspagina |
| 12 | Bewaking en kennisgeving | Artikel 30, lid 3, sublid b | De contractuele afspraken over het gebruik van ICT-diensten die belangrijke functies ondersteunen, moeten kennisgevingstermijnen en rapportageverplichtingen van de ICT-dienstverlener aan de financiële entiteit bevatten, met inbegrip van kennisgeving van elke ontwikkeling die een wezenlijke invloed zou kunnen hebben op het vermogen van de ICT-dienstverlener om effectief de ICT- diensten te leveren die deze belangrijke functies ondersteunen, in overeenstemming met de overeengekomen serviceniveaus. | Servicemeldingen en waarschuwingen worden gepubliceerd op
https://www.goto.com/company/trust/status. Andere meldingsverplichtingen worden uiteengezet in de DPA van GoTo, (Kennisgevingen ten aanzien van Subverwerkers en Meldingen van beveiligingsincidenten met betrekking tot Klantcontent). |
Statuspagina DPA |
| 13 | Bedrijfscontinuïteit en operationele weerbaarheid | Artikel 30 (3) (c) | De contractuele regelingen
ten aanzien van het gebruik van
ICT-diensten die belangrijke
functies ondersteunen moeten vereisten bevatten voor externe ICT-dienstverleners om bedrijfsnoodplannen te implementeren en te testen, en om te beschikken over ICT-beveiligingsmaatregelen, -hulpmiddelen en -beleidsregels die een passend beveiligingsniveau bieden voor de levering van services door de financiële entiteit, in overeenstemming met de toepasselijke interne regelgeving. |
In de DPA van GoTo is geregeld dat GoTo gepaste technische en
organisatorische maatregelen zal implementeren
en onderhouden voor de bescherming van de
beveiliging (inclusief bescherming tegen een
Beveiligingsincident), vertrouwelijkheid en integriteit
van Klantcontent, zoals uiteengezet in de
toepasselijke Technische en Organisatorische
Maatregelen (Schema 4). GoTo's TOM's bepalen dat GoTo's implementatie van beveiligingsmechanismen, functies en best practices het volgende inhoudt: I. Producten onwtikkelen die specifiek zijn ontworpen en standaard zijn ingericht voor de waarborging van beveiliging en privacy, en waaraan extra beveiligingslagen kunnen worden toegevoegd om Klantcontent te beschermen; II. Organisatorische controlemechanismen onderhouden waarmee interne beleidsregels en procedures in de praktijk worden geïmplementeerd, te weten met betrekking tot naleving van standaarden, incidentbeheer, applicatiebeveiliging , personeelsbeveiliging en regelmatige trainingsprogramma's; en III. Ervoor zorgen dat best practices ten aanzien van privacy worden geïmplementeerd om gegevensverwerking en -beheer te regelen in overeenstemming met de toepasselijke wetgeving, inclusief de AVG, de CCPA, de LGPD, en onze eigen Bijlage Gegevensverwerking (DPA) , evenals de toepasselijke beleidsstukken en verplichtingen van GoTo. Door beveiligingsmaatregelen in te bouwen in het product, streven we ernaar Klantcontent van GoTo te optimaal te beschermen tegen bedreigingen en ervoor te zorgen dat de beveiliging passend is voor de aard en reikwijdte van de Services. |
DPA TOM's |
| 14 | Gegevens en beveiliging | Artikel 30, lid 3, sublid d | De contractuele afspraken over het gebruik van ICT-diensten die belangrijke functies ondersteunen, moeten de externe ICT-dienstverleners verplichten om deel te nemen en volledig mee te werken aan de dreigingsgestuurde penetratietesten ('TLPT'; Threat Led Penetration Testing) van de financiële entiteit, zoals bedoeld in artikelen 26 en 27. | In de TOM's van GoTo staat dat GoTo naast interne tests ook contracten afsluit met externe bedrijven om regelmatig beveiligingsbeoordelingen en/of penetratietests uit te voeren. | TOM's |
| 15 | Controle, toegang, en informatie | Artikel 30, lid 3, sublid e | De contractuele afspraken over
het gebruik van ICT-diensten
die belangrijke
functies ondersteunen, moeten het recht bieden
om doorlopend
de prestaties van de ICT-dienstverlener
te controleren, wat
het volgende inhoudt: •
onbeperkte rechten op toegang,
inspectie en audit door de financiële entiteit of een door haar aangestelde externe auditor,
en door de bevoegde autoriteit, waarbij deze rechten worden niet beperkt door andere contractuele regelingen
of
beleid ten aanzien van de implementatie. • het recht om alternatieve beveligingsniveaus overeen te komen als de rechten van andere klanten worden aangetast; • de verplichting van de externe ICT-dienstverlener om volledig mee te werken tijdens de inspecties ter plaatse die worden uitgevoerd door de bevoegde instanties, de hoofdinspecteur , de financiële entiteit of een aangewezen derde; • de verplichting om details te verstrekken over de omvang en de te volgen procedures en de frequentie van dergelijke inspecties en audits. |
In GoTo's DPA en Certificering en audits door derden is geregeld dat GoTo zijn certificeringen van derden beschikbaar zal stellen aan de Klant en/of dat de Klant, of de door hem aangewezen derde, redelijkerwijs om een audit kan verzoeken. GoTo verbindt zich ertoe ten minste jaarlijks een competente en onafhankelijke beoordeling door een derde partij (zoals een AICPA- of ISO-geaccrediteerde auditor) uit te voeren van zijn relevante beveiligingsmechanismen, zoals nader gespecificeerd in de bepaling ten aanzien van naleving van standaarden van de toepasselijke TOM's, en zal op schriftelijk verzoek van de Klant één keer per kalenderjaar een kopie van de resultaten van die beoordeling (of een bewijs daarvan) aan de Klant verstrekken (zolang de Klant geen directe concurrent van GoTo is , en met inachtneming van de toepasselijke geheimhoudingsverplichtingen ) | DPA TOM's |
| 16 | Beëindiging | Artikel 30, lid 3, sublid f | De contractuele regelingen ten aanzien van het gebruik van ICT-diensten die belangrijke functies ondersteunen moeten exitstrategieën bevatten , met name de vaststelling van een verplichte en adequate overgangsperiode, waarin de externe ICT-dienstverlener de respectievelijke functies of ICT-diensten zal blijven leveren met het oog op de beperking van het risico van verstoring bij de financiële entiteit , of om haar effectieve afwikkeling en herstructurering te kunnen waarborgen. • Zo kan de financiële entiteit veilig overstappen op een andere externe ICT-dienstverlener, of op interne oplossingen die in overeenstemming zijn met de complexiteit van de verleende dienst . | In artikel 3.3. van de servicevoorwaarden staat
dat GoTo op verzoek beperkte
toegang tot de services zal geven voor een periode van maximaal
30 dagen, zodat u uw
Content van de Services kunt ophalen.
GoTo's DPA bepaalt ook dat op schriftelijk verzoek van de Klant en indien wettelijk toegestaan, GoTo alle Klantcontent aan de Klant zal retourneren of de Klant zal uitleggen hoe hij zelf een gegevensexport kan genereren. Verder wordt in de toepasselijke TOM's beschreven hoe een Klant ondersteuning kan aanvragen bij het retourneren en/of verwijderen van zijn Klantcontent. Als een gereguleerde entiteit echter ondersteuning wenst, zal GoTo op verzoek advies- en implementatiediensten leveren ter ondersteuning bij het overzetten van workloads, of het gebruik van de Services op een andere manier overdragen. |
Servicevoorwaarden
DPA TOM's Transitieondersteuning |
| 17 | Audits | Artikel 30, lid 3 | Als uitzondering op sublid e, kunnen de ICT-dienstverlener en de financiële entiteit die een micro-onderneming is, overeenkomen dat de rechten van de financiële entiteit op toegang, inspectie en controle kunnen worden gedelegeerd aan een onafhankelijke derde partij, aangewezen door de ICT-dienstverlener , en dat de financiële entiteit te allen tijde informatie en zekerheid over de prestaties van de ICT-dienstverlener kan opvragen bij de derde partij. | In GoTo's DPA en Certificering en audits door derden is geregeld dat GoTo zijn certificeringen van derden beschikbaar zal stellen aan de Klant en/of dat de Klant, of de door hem aangewezen derde, redelijkerwijs om een audit kan verzoeken. GoTo verbindt zich ertoe ten minste jaarlijks een competente en onafhankelijke beoordeling door een derde partij (zoals een AICPA- of ISO-geaccrediteerde auditor) uit te voeren van zijn relevante veiligheidscontroles, zoals nader gespecificeerd in de bepaling die de naleving van standaarden van de toepasselijke TOM's beschrijft, en zal op schriftelijk verzoek van de Klant één keer per kalenderjaar een kopie van de resultaten van die beoordeling (of een bewijs daarvan) aan de Klant verstrekken (zolang de Klant geen directe concurrent van GoTo is en met inachtneming van de toepasselijke geheimhoudingsverplichtingen ). | DPA TOM's |
Meer ondersteuning
Dit document is gemaakt om te illustreren hoe onze diensten aan uw DORA-verplichtingen voldoen. Als u meer ondersteuning nodig hebt met betrekking tot uw DORA-verplichtingen, en ook als u in dit kader een ondertekend DORA-addendum bij uw servicecontract wil laten voegen, kunt u contact opnemen met uw GoTo Support-vertegenwoordiger voor meer informatie https://www.goto.com/company/contact-us.