Waarom jurisdictie telt, niet alleen serverlocatie
Veel organisaties gaan ervan uit dat hun data veilig is als de servers in Europa staan. Maar de locatie van een server is niet hetzelfde als de jurisdictie over die data.
De Amerikaanse CLOUD Act maakt het mogelijk dat Amerikaanse autoriteiten data kunnen opeisen bij een leverancier die onder Amerikaans recht valt, ongeacht waar de servers fysiek staan. Het gaat dus om de juridische controle over de leverancier, niet de postcode van het datacenter.
Voor (semi)overheidsorganisaties, zorginstellingen en onderwijsinstellingen is dit relevant. Contractdata bevat gevoelige afspraken, financiële gegevens en persoonsgebonden informatie van leveranciers. Die data wil je niet in een juridische grauwe zone.
GRIP is een Nederlands bedrijf. De verwerking van je contractdata vindt uitsluitend plaats via Europese partijen, onder Europees recht.
Uitsluitend Europese platformen voor dataverwerking
De contractdata die je in GRIP invoert, wordt uitsluitend verwerkt door partijen die onder Europese jurisdictie vallen. Dat geldt voor opslag, hosting en voor de AI-verwerking in het platform.
ISO 27001-gecertificeerd
GRIP is gecertificeerd volgens ISO 27001:2022 (informatiebeveiliging) en ISO 9001:2015 (kwaliteitsmanagement). De certificaatnummers zijn NL-2596.1.1 en NL-2597.1.1. Je kunt de actuele certificaten raadplegen via de ISO-certificeringspagina.
Bekijk de ISO-certificatenAVG-proof by design
De AVG schrijft voor dat persoonsgegevens uitsluitend worden verwerkt binnen de Europese Economische Ruimte, of met passende waarborgen. GRIP voldoet aan beide vereisten: alle verwerking vindt plaats binnen de EER, en voor elke sub-verwerker is een verwerkersovereenkomst aanwezig.
Je hoeft als contractmanager of IT-manager niet te gissen over de verwerkingsketen. Die is Europees en aantoonbaar.
NIS-2 en de Cyberbeveiligingswet
De NIS-2-richtlijn en de Nederlandse Cyberbeveiligingswet stellen eisen aan de informatiebeveiliging van organisaties in kritieke sectoren, en aan hun leveranciers. GRIP werkt actief mee aan de beveiligingseisen die bij NIS-2-plichtige organisaties horen. De ISO 27001-certificering, de AVG-conforme verwerkingsketen en de Europese jurisdictie zijn daarvoor een basis.
Veelgestelde vragen over data en veiligheid
De CLOUD Act is een Amerikaanse wet die het Amerikaanse autoriteiten mogelijk maakt om data op te vragen bij bedrijven die onder Amerikaans recht vallen, ook als die data fysiek in Europa is opgeslagen. Het gaat daarbij niet om de locatie van de servers, maar om de juridische controle over de leverancier. GRIP is een Nederlands bedrijf en verwerkt contractdata uitsluitend via partijen die onder Europees recht vallen. Op de verwerking van je contractdata in GRIP is de CLOUD Act niet van toepassing.
De contractdata die je in GRIP invoert, wordt uitsluitend opgeslagen en verwerkt via Europese platformen binnen de Europese Economische Ruimte. Voor de AI-verwerking van contractdata werkt GRIP samen met Mistral AI SAS, gevestigd in Frankrijk. Er zijn verwerkersovereenkomsten aanwezig conform de AVG.
GRIP is gecertificeerd volgens ISO 27001:2022 (informatiebeveiliging) en ISO 9001:2015 (kwaliteitsmanagement). De certificaatnummers zijn NL-2596.1.1 en NL-2597.1.1. De volledige certificaten en aanvullende documentatie zijn beschikbaar via de ISO-certificeringspagina.
Een verwerkersovereenkomst (VOK) is een contract dat op grond van de AVG verplicht is wanneer een organisatie persoonsgegevens laat verwerken door een derde partij. GRIP heeft verwerkersovereenkomsten met al haar sub-verwerkers. Als klant ontvang je van GRIP een verwerkersovereenkomst voor de verwerking van je contractdata.
GRIP werkt actief mee aan de beveiligingseisen die NIS-2-plichtige organisaties stellen aan hun leveranciers. De ISO 27001-certificering, de AVG-conforme verwerkingsketen en de Europese jurisdictie vormen daarvoor een aantoonbare basis. Meer details vind je op de NIS-2-pagina.
GRIP verwerkt persoonsgegevens uitsluitend binnen de EER. Voor elke sub-verwerker is een verwerkersovereenkomst aanwezig. De gehele verwerkingsketen valt onder Europees recht. Er is geen Amerikaanse jurisdictie in het spel bij de verwerking van je contractdata.
Europese jurisdictie betekent dat alle partijen die jouw contractdata verwerken onder Europees recht vallen, inclusief de AVG. Buitenlandse overheden (zoals de VS via de CLOUD Act) kunnen deze partijen niet verplichten data te verstrekken buiten de Europese rechtskaders om. Voor jouw organisatie betekent dit aantoonbare controle over waar je data terechtkomt en wie er juridisch toegang toe heeft.
Vragen over jouw datacompliance?
Veel organisaties in overheid, zorg en onderwijs stellen steeds concretere eisen aan hun SaaS-leveranciers. Als je vragen hebt over hoe GRIP omgaat met jouw contractdata, welke sub-verwerkers er betrokken zijn of welke documentatie beschikbaar is, beantwoorden we die graag.