Toepasselijke rechtsgebieden en maatregelen die door Dropbox zijn genomen om te voorkomen dat overheden buiten de EU toegang krijgen tot of gegevens overzetten die in de Unie worden bewaard
Als je buiten de Verenigde Staten van Amerika, Canada en Mexico (‘Noord-Amerika’) bent gevestigd, worden de Diensten geleverd door Dropbox International Unlimited Company, waarvan de infrastructuur onderworpen is aan de jurisdictie van de Republiek Ierland. Als je in Noord-Amerika bent gevestigd, worden de Diensten geleverd door Dropbox, Inc., waarvan de infrastructuur onderworpen is aan de jurisdictie van de Verenigde Staten van Amerika.
Bij de overdracht van gegevens vanuit de Europese Unie, de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland heeft Dropbox een aantal technische, organisatorische en contractuele maatregelen getroffen om te voorkomen dat internationale overheden toegang krijgen tot gebruikersgegevens van Dropbox, wanneer dergelijke toegang een conflict zou veroorzaken met het Unierecht of het nationale recht van de relevante lidstaat.
Technische maatregelen
Dropbox handhaaft zorgvuldig de beveiliging van ons back-endnetwerk. Onze netwerkbeveiligings- en bewakingstechnieken zijn zodanig ontworpen dat deze verschillende beveiligings- en verdedigingslagen bevatten. We maken gebruik van algemeen in de branche aanvaarde beschermingstechnieken, waaronder firewalls, netwerkkwetsbaarhedenscans, netwerkbeveiligingsbewaking en indringingsdetectiesystemen om te garanderen dat alleen verkeer dat daarvoor in aanmerking komt en niet kwaadaardig is onze infrastructuur kan bereiken.
Ons interne privénetwerk is gesegmenteerd naar gebruik en risiconiveau. De belangrijkste netwerken zijn:
- DMZ richting het internet
- DMZ voor prioritaire infrastructuur
- Productienetwerk
- Ondernemingsnetwerk
- Diensten en toepassingen van Dropbox worden indien mogelijk geïsoleerd via containers
De productieomgeving is uitsluitend toegankelijk voor geautoriseerde IP-adressen en vereist multifactorauthenticatie op alle eindpunten. IP-adressen met toegang worden gekoppeld aan het ondernemingsnetwerk of bevoegd Dropbox-personeel. Geautoriseerde IP-adressen worden ieder kwartaal geëvalueerd om een veilige productieomgeving te kunnen garanderen. Het aanpassen van de lijst met IP-adresen is alleen toegestaan aan geautoriseerde personen.
Dataverkeer van het internet dat bestemd is voor ons productienetwerk wordt beschermd met behulp van meerdere lagen firewalls en proxy's.
Er wordt een strikte scheiding gehandhaafd tussen het interne netwerk van Dropbox en het openbare internet. Er wordt zorgvuldig toegezien op het internetverkeer van en naar het productienetwerk via een speciaal daarvoor ingerichte proxydienst, die op zijn beurt weer wordt beschermd door restrictieve set firewall-regels.
Organisatorische en contractuele maatregelen
Dropbox voldoet aan de Gegevensbeschermingskaders tussen de EU en de VS en tussen Zwitserland en de VS, evenals de VK-uitbreiding van het Gegevensbeschermingskader tussen de EU en de VS, zoals uiteengezet door het Ministerie van Handel van de VS met betrekking tot de verwerking van persoonsgegevens die worden overgedragen van de Europese Unie, de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland naar de Verenigde Staten. Dropbox heeft aan het Ministerie van Handel van de VS verklaard dat het zich houdt aan deze Gegevensbeschermingskaders met betrekking tot dergelijke gegevens, maar dit omvat niet het FormSwift-gedeelte van de Diensten. Als er een conflict bestaat tussen het Privacybeleid van Dropbox en de Principes van de Gegevensbeschermingskaders, zijn de Principes van toepassing. In overeenstemming met de Principes blijft Dropbox aansprakelijk voor verdere overdrachten als een verwerker persoonsgegevens verwerkt op een manier die niet in overeenstemming is met de Principes.
Voor meer informatie over het Gegevensbeschermingskader en om de certificatie van Dropbox te bekijken, ga je naar https://www.dataprivacyframework.gov/.
