Privacy

Algemene Verordening Gegevensbescherming (AVG)

Overzicht AVG Nuance

De Algemene Verordening Gegevensbescherming (AVG) heeft vergaande gevolgen voor de verzameling en het gebruik van de persoonlijke gegevens van personen op wie deze gegevens betrekking hebben (personen binnen de EU). De verordening geeft betrokkenen in de EU meer rechten, leidt tot hogere verwachtingen omtrent de bescherming van hun gegevens en biedt toezichthouders de mogelijkheid om boetes op te leggen van tot wel vier procent van de wereldwijde jaaromzet van een organisatie. Noemenswaardig is ook dat de AVG van toepassing is op iedereen die de persoonlijke gegevens van EU-ingezetenen verzamelt en verwerkt, zelfs als de verwerking buiten de EU plaatsvindt. De nieuwe vereisten bouwen voort op de bestaande EU-richtlijn Gegevensbescherming en nopen tot aanpassing en uitbreiding van beleidsmaatregelen en -procedures voor de verwerking van persoonsgegevens van betrokken personen in de EU.

Nuance doet er alles aan om aan de AVG te voldoen. In dit document beschrijven we hoe Nuance omgaat met de belangrijkste vereisten van de AVG en hoe Nuance onze klanten ondersteunt om zelf aan de verordening te voldoen.

Verantwoordelijken en verwerkers:
Wanneer Nuance cloudgebaseerde producten en diensten levert waarmee persoonsgegevens gemoeid zijn, dan handelen wij, om in AVG-termen te spreken, als de verwerker van persoonsgegevens namens onze gegevensverantwoordelijke partners. De AVG legt daarbij zowel de gegevensverantwoordelijken als de -verwerkers bepaalde verplichtingen op. Als verwerker is Nuance contractueel verplicht om de persoonsgegevens uit de EU voor specifieke doeleinden te gebruiken waarvan de betrokkenen van tevoren op de hoogte zijn gesteld. Gedetailleerde informatie over de manier waarop Nuance de persoonlijke gegevens uit de EU voor een bepaald product gebruikt, vindt u in uw klantovereenkomst en de privacyverklaring van Nuance. U kunt ons ook per e-mail (privacy@nuance.com) om meer informatie vragen.

Door Nuance verwerkte persoonlijke gegevens:
Nuance verwerkt met name spraakgegevens die door partners worden aangeleverd voor spraakherkenningsdiensten. Nadat Nuance een bericht heeft verwerkt, slaan wij alleen het audiobestand zelf op – niet de hierin opgenomen specifieke persoonlijke identificatiegegevens. Er worden geen contactgegevens, namen van betrokkenen of partner-id's bewaard na afloop van de initiële verwerking van het audiobestand.

Spraakopnamen worden in fragmenten van enkele seconden verzameld en worden niet opgeslagen in een aaneengesloten of opeenvolgend geheel. Het is daarom niet mogelijk om een individuele spraakopname in zijn geheel op te halen of te isoleren. In het merendeel van onze systemen zijn de individuele fragmenten te kort om de eigenaar van het bestand hieraan te herkennen of om de bestanden voor een specifieke persoon te herstellen.

Nuance verkoopt diverse producten en diensten waarbij persoonlijke identificatiemiddelen worden opgeslagen, zoals medische software en transcriptiediensten. Ook wordt er in het kader van product- en klantondersteuning door het hele bedrijf heen persoonlijke informatie verwerkt. In gevallen waar Nuance persoonlijk identificeerbare informatie bezit, werken we samen met onze klanten en helpen we hen om aan eventuele verzoeken van betrokkenen omtrent hun rechten onder de AVG te voldoen. Nuance gebruikt geen door klanten geleverde gegevens voor andere doeleinden dan het leveren van contractuele diensten en productontwikkeling (bijvoorbeeld het bewaren van spraakopnamen van een arts om de nauwkeurigheid van toekomstige transcripties te verbeteren).

Meer informatie over de manier waarop Nuance omgaat met persoonsgegevens kunt u vinden in de privacyverklaring van Nuance.

Wat doet Nuance om aan de AVG te voldoen?

Net als vele andere bedrijven die in de EU actief zijn, voldeed Nuance al voor de invoering van de AVG aan de toen geldende EU-richtlijn Gegevensbescherming en pasten we al jarenlang privacy- en anonimiseringsconcepten toe in onze producten. In 2017 heeft Nuance een uitgebreide evaluatie van de nieuwe AVG-verordening uitgevoerd en de beveiligings- en gegevensbeschermingsmethoden van Nuance geëvalueerd om te bepalen of ze al aan de voorgeschreven eisen voldeden of aangepast moesten worden. De antwoorden van Nuance op enkele belangrijke onderdelen van de AVG worden hieronder kort beschreven:

De vereisten van de AVG

Toezicht op privacy
Organisaties die persoonsgegevens in de EU verzamelen, kunnen ervan uitgaan dat toezichthouders steeds actiever zullen worden en moeten kunnen aantonen dat ze aan de AVG voldoen. De boetes die toezichthouders kunnen opleggen, zijn onder de AVG aanzienlijk hoger geworden.

Het antwoord van Nuance
Nuance beschikt over een toegewijd team van privacydeskundigen dat het privacybeleid van onze organisatie overziet en handhaaft om persoonsgegevens van EU-burgers te beschermen in overeenstemming met de vereisten van de AVG. Nuance heeft ook een Chief Privacy Officer/Functionaris Gegevensbescherming aangesteld die toezicht houdt op naleving van de AVG.

Bovendien zullen we geregeld privacycontroles uitvoeren waarbij ook onze naleving van de AVG wordt gecontroleerd. Ten slotte krijgen alle Nuance-medewerkers die persoonsgegevens van EU-burgers verwerken een privacytraining over de AVG.

Gegevensbeveiliging
Alle gegevens moeten worden beschermd door middel van adequate technische maatregelen die een passend beveiligingsniveau waarborgen dat in verhouding staat tot het met deze gegevens betrokken risico.

Het antwoord van Nuance
Nuance heeft een robuuste reeks veiligheidsmaatregelen geïmplementeerd die voldoen aan diverse industriestandaarden. Op applicatie- en serverniveau zijn er technische, fysieke en administratieve maatregelen genomen ten behoeve van de beveiliging, vertrouwelijkheid, beschikbaarheid, verwerkingsintegriteit en privacy. Nuance heeft bijvoorbeeld technische beveiligingsmaatregelen genomen die toegang tot persoonsgegevens beperken tot alleen die personen die daar een zakelijke noodzaak toe hebben. Ook worden gegevens slechts gedurende een bepaalde periode bewaard alvorens ze verwijderd worden en worden gegevens, bij vele producten, na de verwerking geanonimiseerd.

Beveiligingslekken
De AVG vereist dat gegevenslekken worden gemeld aan de toezichthoudende autoriteit binnen 72 uur nadat de beheerder daarvan op de hoogte is gebracht, met een kennisgeving aan gegevenssubjecten indien het risico dat rechtvaardigt.

Het antwoord van Nuance
Nuance heeft procedures voor het melden van kritieke incidenten en lekken ingesteld en evalueert deze procedures regelmatig om naleving van de wettelijke vereisten te beoordelen. Nuance is bekend met de vereisten voor het melden van incidenten dankzij jarenlange ervaring als verwerker van medische gegevens onder de Health Insurance Portability and Accountability Act (HIPAA) voor Amerikaanse organisaties in de gezondheidszorg. We hebben ook procedures ingesteld om de vereiste ondersteunende informatie te leveren voor het genereren van een volledige incidentmelding en -rapportage voor partners. Deze processen kunnen worden gebruikt in combinatie met een specifiek extern incidentbeheerproces en communicatieplan ontwikkeld in samenwerking met specifieke partners.

Functionaris Gegevensbescherming
Verantwoordelijken en verwerkers zijn onder bepaalde omstandigheden verplicht een Functionaris Gegevensbescherming aan te stellen, indien zij bijvoorbeeld geregeld grote hoeveelheden gegevens verwerken.

Het antwoord van Nuance
Nuance heeft een Functionaris Gegevensbescherming (Data Protection Officer) aangesteld die verantwoordelijk is voor Nuance Communications, Inc. en de daarmee verbonden bedrijven. De contactinformatie voor onze Functionaris Gegevensbescherming kunt u vinden in onze Privacyverklaring.

Beheer van persoonsgegevens en privacy-by-design
Naleving van een aantal AVG-vereisten, waaronder privacy-by-design en de uitvoering van privacyeffectbeoordelingen, vereist een sterke gegevensbeheerstructuur.

Het antwoord van Nuance
Nuance heeft een privacyteam onder leiding van de Chief Privacy Officer aangesteld, onder andere bestaande uit een privacyprogrammamanager en privacyadvocaten die aan diverse afdelingen en functiegebieden van Nuance zijn toegewezen, waaronder Gezondheidszorg, Bedrijven en Auto-industrie, en functiegebieden zoals Marketing en Human Resources.

Nuance beschikt over een speciaal privacyteam dat ondersteuning biedt tijdens alle fases van productontwikkeling. We hebben enkele belangrijke vereisten van de AVG geïdentificeerd en vertaald in specifieke ontwerpvereisten. De resulterende ontwerpbesturingselementen zijn geïntegreerd in de betreffende productontwikkelingsfases.

Het privacyteam voert privacyeffectbeoordelingen (PEB) uit, voert overleg over contractkwesties die betrekking hebben op het gebruik en de bescherming van gegevens en adviseert over een grote verscheidenheid aan privacykwesties.

Gegevensminimalisatie en beperkte bewaring
Gegevensminimalisatie moet tijdens alle verwerkingsfases gewaarborgd zijn:

Tijdens het verzamelen: het verzamelen van persoonsgegevens moet worden beperkt tot de minimale hoeveelheid persoonsgegevens (in aard en volume) die strikt noodzakelijk is om te voldoen aan de doeleinden waarvoor toestemming is gegeven.

Bij het genereren van persoonsgegevens: indien persoonsgegevens door het systeem worden geconstateerd, afgeleid of geïmpliceerd, moeten die worden beperkt tot de minimale hoeveelheid persoonsgegevens die strikt noodzakelijk is om te voldoen aan de doeleinden waarvoor toestemming is verleend.

Bovendien mogen persoonsgegevens alleen worden verwerkt en bewaard zolang dit nodig is om te voldoen aan de doeleinden waarvoor ze zijn verzameld en niet langer.

Het antwoord van Nuance
Hoewel de verzamelde gegevens voornamelijk de verantwoordelijkheid zijn van de gegevensverantwoordelijke, heeft Nuance zelf ook een privacybeoordelingsproces ingevoerd dat de verzameling en het gebruik van gegevens beoordeelt.

Verwerkingsadministratie
Als verwerker van gegevens namens onze klanten is Nuance onder de AVG verplicht om een administratie bij te houden van onze gegevensverwerkingsactiviteiten, waaronder het doel van de verwerking, de categorieën betrokkenen en eventuele grensoverschrijdende overdrachten.

Het antwoord van Nuance
Nuance documenteert alle belangrijke gegevensverwerkingsactiviteiten betreffende de persoonlijke gegevens van EU-burgers en levert zo op zich een passende administratie van alle gegevens die door Nuance verwerkt worden.

Als partners meer informatie van Nuance nodig hebben om hun gegevenstoewijzings- en verwerkingsbibliotheken te voltooien, zullen wij ervoor zorgen dat alle van Nuance benodigde gegevens verstrekt worden.

Rechten van betrokkenen
De AVG geeft betrokkenen meer rechten en meer controle over hun gegevens, waaronder het recht op inzage van gegevens, op rechtzetting van onjuiste gegevens en in sommige gevallen het recht op verwijdering van gegevens.

Het antwoord van Nuance
Nuance streeft ernaar om zo snel mogelijk te reageren op alle verzoeken die wij ontvangen van betrokkenen die hun rechten willen uitoefenen. Klanten moeten zich daarbij realiseren dat de meeste gegevens waarover wij beschikken niet te herleiden zijn naar een bepaalde persoon.

In die gevallen waar Nuance persoonlijk identificeerbare informatie bezit, werken we samen met onze klanten en helpen we hen om aan alle verzoeken van betrokkenen onder de AVG te voldoen.

Derden
Er zullen aanvullende voorwaarden gelden voor de contracten tussen Nuance en zijn klanten, doordat artikel 28 van de AVG specifieke gegevensverwerkingsclausules vereist in contracten tussen beheerders en verwerkers.

Het antwoord van Nuance:
Indien hosting van persoonlijke gegevens wordt uitgevoerd door een externe leverancier, beoordeelt Nuance het beleid, de procedures en het toezicht van de leverancier om te waarborgen dat er een gepast beveiligingsniveau wordt gehandhaafd.

Nuance heeft zijn standaardovereenkomsten voor Europese klanten aangepast met nieuwe gegevensverwerkingsclausules overeenkomstig de vereisten van artikel 28, bijvoorbeeld over het toezicht op subverwerkers, hulp inzake de rechten van betrokkenen, en audits en inspecties.

Rechtmatigheid van de verwerking
De verwerking van persoonlijke gegevens is alleen rechtmatig als dit op een van de zes in de AVG genoemde grondslagen berust (bijvoorbeeld als er legitieme belangen voor zijn, als het noodzakelijk is voor de uitvoering van een overeenkomst, of als het vereist is voor de naleving van wet- of regelgeving of een andere juridische reden). Een van de zes grondslagen is toestemming, maar onder de AVG zijn de vereisten voor die toestemming strenger geworden. Een van de belangrijkste veranderingen is dat de AVG betrokkenen nu meer mogelijkheden biedt om hun toestemming op elk gewenst moment in te trekken.

Het antwoord van Nuance
Onze klanten zijn verantwoordelijk voor het bepalen van de rechtmatigheid van de gegevensverwerking in hun hoedanigheid als gegevensverantwoordelijke. Als gegevensverwerker is Nuance verplicht om zich aan de rechtmatigheidsvaststelling van zijn klanten te houden en de gegevens overeenkomstig de contractuele vereisten te verwerken.

Grensoverschrijdende overdrachten
Overdrachten van persoonsgegevens naar landen buiten de Europese Economische Ruimte zijn over het algemeen toegestaan (a) naar landen die door de Europese Commissie worden geacht een 'adequaat' niveau van bescherming van persoonsgegevens te bieden, (b) bij gebruik van modelcontractbepalingen, (c) via bindende bedrijfsvoorschriften (binding corporate rules, BCR's), of (d) naar de Verenigde Staten, door de naleving van het Privacy Shield-kader.

Het antwoord van Nuance
Nuance beschikt over standaard beschermingsovereenkomsten met modelcontractbepalingen waarin de overdracht van gegevens vanuit de EU naar de VS wordt toegestaan. Ook bezitten we een Privacyschild-certificering. Tot slot zijn we, indien onze klanten over bindende bedrijfsvoorschriften (BCR's) beschikken, bereid om gegevensverwerkersovereenkomsten te tekenen die Nuance ertoe verplichten om zich aan de voorwaarden van deze BCR's te houden.

Cloud-aanbod en lokale producten

Nuance biedt vele producten waarbij gegevens in de cloud worden opgeslagen. In deze gevallen heeft Nuance toegang tot deze gegevens en fungeren wij dus als gegevensverwerker. Nuance biedt ook een aantal lokale (on-premise) producten waarbij gegevens worden opgeslagen op servers die eigendom zijn van en geëxploiteerd worden door onze klanten. In dit soort gevallen heeft Nuance doorgaans geen toegang tot de gegevens, fungeren wij dus niet als gegevensverwerker en spelen wij ook geen rol in de complianceactiviteiten zoals die uit de AVG voortvloeien. Nuance biedt echter wel klantondersteuning voor onze on-premise producten en uit hoofde van deze klantondersteuningsactiviteiten hebben wij zo nu en dan alsnog toegang tot persoonlijke gegevens. Voor zover Nuance persoonlijke gegevens van EU-burgers ontvangt tijdens het verlenen van ondersteuning aan klanten, voldoen wij volledig aan de vereisten van de AVG.

Wat u verder kunt verwachten:

De vereisten van de AVG zullen in de loop der tijd duidelijker worden naarmate er meer regelgevende adviezen en handhavingsbesluiten worden uitgevaardigd. We verwachten dan ook dat ons AVG-programma voor klanten in de toekomst nog verder uitgebreid en versterkt zal worden. Deze richtsnoeren zullen daarom in de komende tijd in meer detail worden uitgewerkt.

Mocht u specifieke vragen hebben over hoe Nuance u kan helpen met uw door de AVG opgelegde verplichtingen, stuur dan gerust een e-mail naar (privacy@nuance.com.

Als u specifieke vragen hebt over hoe Nuance u kan helpen bij de verplichtingen die de AVG u oplegt, kunt u een e-mail sturen naar privacy@nuance.com