Beschrijving van technische en organisatorische maatregelen

Beschrijving van technische en organisatorische maatregelen

Voor alle doeleinden wordt de Engelse versie van deze Overeenkomst beschouwd als de originele en officiële versie van de Overeenkomst die de relatie tussen de partijen regelt en beheerst. Tenzij anders bepaald door de wet, is de vertaling van deze Overeenkomst alleen voor het gemak, en in het geval van een conflict tussen deze Engelse versie van de Overeenkomst en de vertaling in een andere taal, prevaleert deze Engelse versie.

Laatst gewijzigd op 10 maart 2025 / Vorige versies

Nuance zorgt voor passende technische en organisatorische maatregelen door middel van de implementatie en handhaving van het volgende beleid:

Veiligheidsorganisatie, risicoanalyse en risicomanagement
Nuance heeft een professionele informatiebeveiligingsorganisatie, geleid door een Chief Information Security Officer, die werkt aan robuuste informatiebeveiligingscontroles voor Nuance-producten en -omgevingen. Nuance beoordeelt jaarlijks of de beveiligingscontroles van Nuance voldoen aan de huidige certificeringen en aan de standaardcontroles in de branche. Voor meer en explicietere details over de beveiligingsorganisatie, risicoanalyse of risicomanagementprogramma's bij Nuance verwijzen wij u naar https://www.nuance.com/about-us/trust-center.html.

Clearing van personeel, Training en Sancties
Al het Nuance-personeel wordt onderworpen aan een antecedentenonderzoek voordat toegang wordt verleend tot vertrouwelijke gegevens. Al het personeel krijgt regelmatig beveiligingstraining. Nuance heeft beleid en procedures aangenomen om sancties op te leggen aan werknemers die het beveiligingsbeleid en de beveiligingsprocedures van Nuance niet naleven.

Fysieke controles
Nuance-datacenters - Alle faciliteiten van Nuance worden beschermd door fysieke beveiligingsmaatregelen, waaronder perimetercontroles, elektronische toegangssystemen, sloten en camera's. Nuance slaat alle productiegegevens op in fysiek beveiligde datacenters die ook extra toegangsbeperkingen hanteren, waaronder: kooien, afsluitbare racks en secundaire verificatie en toegang. De infrastructuursystemen van Nuance zijn ontworpen om single points of failure te elimineren en de impact van verwachte milieurisico's te minimaliseren.

Cloud datacenter - Microsoft Azure draait in datacenters die worden beheerd en beheerd door Microsoft. Deze geografisch verspreide datacenters voldoen aan belangrijke industrienormen, zoals ISO/IEC 27001:2013 en NIST SP 800-53, voor beveiliging en betrouwbaarheid. De datacenters worden beheerd, bewaakt en bestuurd door operationele medewerkers van Microsoft. De operationele medewerkers hebben jarenlange ervaring in het leveren van 's werelds grootste online diensten met 24 x 7 continuïteit. Raadpleeg voor meer informatie.

Voor Zwitserse Cloud: Hosting Services worden uitgevoerd in datacenters die worden beheerd door Voicepoint. Deze datacenters voldoen aan de belangrijkste industrienormen, zoals ISO/IEC 27001:2013, NIST SP 800-53. De datacenters worden beheerd, bewaakt en bestuurd door operationele medewerkers van Microsoft. Het operationele personeel heeft jarenlange ervaring in het leveren van 's werelds grootste online diensten met 24 x 7 continuïteit.

Toegang
Nuance heeft alle apparatuur waarin Persoonsgegevens worden opgeslagen ondergebracht in gebieden met gecontroleerde toegang. Nuance zal alleen werknemers en voorwaardelijke werknemers met een zakelijk doel toegang verlenen tot dergelijke gecontroleerde gebieden.

Toegangspunten
De externe webservers van Nuance en toegangspunten van derden zijn veilig geconfigureerd, met inbegrip van (maar niet beperkt tot) het implementeren van een goed geconstrueerde firewall, het vereisen van een viruscontrole voordat toegang wordt verleend tot een netwerk van een derde partij en het uitschakelen of verwijderen van routeringsprocessen om toegang te minimaliseren.

Bedrijfscontinuïteit, noodherstel
Nuance heeft passende bedrijfscontinuïteits- en noodherstelplannen geïmplementeerd en gedocumenteerd om de levering van Diensten tijdig te kunnen voortzetten of hervatten na een verstorende gebeurtenis. Nuance test en controleert regelmatig de effectiviteit van haar bedrijfscontinuïteits- en noodherstelplannen.

Netwerkbeveiliging
Nuance heeft passende aanvullende maatregelen geïmplementeerd om Persoonsgegevens te beschermen tegen de specifieke risico's die de Diensten met zich meebrengen. Alle gegevens worden beschermd door versleuteling tijdens het transport over open, openbare netwerken. Gegevens in ruste worden beschermd door versleuteling of compenserende beveiligingsmaatregelen, waaronder pseudonimisering, gesegmenteerde netwerken, gelaagde architectuur, firewalls met bescherming tegen inbraak en anti-malware, en beperking van poorttoegang. Persoonsgegevens worden alleen bewaard voor de duur die nodig is voor regelgevende doeleinden, tenzij anders aangegeven door de Diensten.

Draagbare apparaten
Nuance zal Persoonlijke gegevens niet opslaan op draagbare computerapparaten of -media (met inbegrip van, maar niet beperkt tot, laptops, verwijderbare harde schijven, USB- of flash-stations, PDA's (Personal Digital Assistants) of mobiele telefoons, dvd's, cd's of computertapes) tenzij deze zijn versleuteld met minimaal 128-bit, of een hogere bitversleuteling in overeenstemming met de op dat moment geldende best practice in de branche. Nuance-eindpunten worden geleverd met een standaardconfiguratie die op organisatieniveau wordt afgedwongen.

Bewaking
Nuance neemt passende maatregelen om de beveiliging van Persoonsgegevens te bewaken en (indien van toepassing) patronen van verdachte activiteiten te identificeren. Nuance ontwerpt toepassingen en diensten zodanig dat gevoelige gegevens die door Nuance worden opgeslagen, worden onderdrukt. Voor elke geïdentificeerde gehoste wijziging beoordelen beveiligings- en QA‑teams de vereisten voor gegevenstoewijzing om te valideren dat de bedoelde velden onderdrukt blijven. Nuance houdt ook toezicht op gebeurtenissen in beveiligingslogboeken, waaronder inlogschendingen of -pogingen. Gegevens uit logboeken omvatten, maar zijn niet beperkt tot, tijdstempel, hostnaam en gebruikersnaam voor verantwoording.

Verzoeken van betrokkenen
Nuance implementeert een gedocumenteerd proces voor het assisteren van het Bedrijf bij het reageren op verzoeken van Betrokkenen.

Verzoeken van de overheid
Nuance zal Persoonsgegevens die onder deze DPA worden verwerkt niet bekendmaken aan of toegankelijk maken voor wetshandhavers, tenzij dit wettelijk verplicht is, en alleen na ontvangst van een juridisch bindend verzoek of bevel van een overheidsinstantie.

Als Nuance wordt gedwongen om Bedrijfsgegevens bekend te maken aan of toegang te verschaffen tot rechtshandhavingsinstanties, zal Nuance het Bedrijf hiervan onmiddellijk op de hoogte stellen en een kopie van het verzoek verstrekken, tenzij dit wettelijk verboden is.

Alleen voor Nordic Cloud:

Gegevens worden gehost in een datacenter van TietoEvry waarvoor de volgende TOM's gelden:

Fysieke controles
Risico inherent aan de locatie van de organisatie. Faciliteiten die informatiesystemen hosten, moeten de juiste beveiligingsmaatregelen hebben, inclusief maar niet beperkt tot toegangscontroles, beveiligingsbeambten en camera's. Beheerde faciliteiten moeten adequate omgevingswaarborgen implementeren om de beschikbaarheid te garanderen en te beschermen tegen schade. De fysieke en omgevingswaarborgen worden regelmatig geëvalueerd, geïmplementeerd en onderhouden.

Toegang
Mogelijkheid om de toegang tot bedrijfsmiddelen te controleren op basis van bedrijfs- en beveiligingsvereisten. Voor elke werknemer wordt een unieke gebruikersidentificatie aangemaakt na validatie van de voltooiing van de employmentscreening. Wachtwoordcontroles moeten voldoen aan de industrienormen. Bevoorrechte toegang moet worden toegewezen op een "need-to-know" basis en de toegang moet in verhouding staan tot de positie en taken van de gebruiker. Voor toegang tot netwerken en netwerkdiensten en gevoelige informatie moet multifactorauthenticatie worden gebruikt. Toegang moet worden bijgehouden en gecontroleerd op ongeoorloofd gebruik of kwade opzet. Toegang moet worden gecontroleerd op toegang die past bij de rol en op beëindiging.

Netwerkbeveiliging
Leiding en ondersteuning geven aan informatiebeveiliging in overeenstemming met zakelijke vereisten en relevante wet- en regelgeving. Beleid voor informatiebeveiliging goedgekeurd, gepubliceerd en gecommuniceerd. Beleidsevaluatieproces met goedkeuring en steun van het management.

Het vermogen om te zorgen voor een correcte en veilige werking van de Bedrijfsmiddelen van een organisatie.

  • Hardware, besturingssysteem, database en applicaties moeten actief ondersteund worden door de leverancier en regelmatig beveiligingsupdates en onderhoud krijgen.
  • Informatiesystemen moeten worden beschermd tegen kwaadaardige code met anti‑virus en anti‑malware met automatische updates.
  • Standaardprocessen voor Release-, Wijzigings-, Incident- en Probleembeheer moeten worden gedocumenteerd en geïmplementeerd.
  • Informatiemiddelen moeten voorzien zijn van auditing en minimaal 1 jaar worden bewaard. Auditing logs moeten worden beschermd tegen ongeautoriseerde toegang en regelmatig worden gecontroleerd.

Naleving
Het vermogen van de organisatie om te blijven voldoen aan wettelijke, statutaire, contractuele en beveiligingsvereisten.

  • Beleid en procedures onderhouden om ervoor te zorgen dat systemen voldoen aan voorschriften en normen.
  • Voldoen aan alle vereisten op het gebied van regelgeving of beveiligingsnormen waar van toepassing (SOX, PCI-DSS, GDPR, enz.).
  • Periodieke controles en audits van informatieverwerkingssystemen uitvoeren op naleving van het beleid en de normen voor informatiebeveiliging.

Vermogensbeheer
Het vermogen van de beveiligingsinfrastructuur om Bedrijfsmiddelen van de organisatie te beschermen.

  • Er moet een inventaris van Bedrijfsmiddelen met informatie- en verwerkingsfaciliteiten worden geïdentificeerd en bijgehouden. Het eigendom moet worden geïdentificeerd met regels voor aanvaardbaar gebruik.
  • Informatie geclassificeerd met beleid en beheersmaatregelen die zijn afgestemd op de risico's.
  • Het weggooien van gegevens moet op een veilige, beschermde manier gebeuren om ervoor te zorgen dat die gegevens niet kunnen worden hersteld.

Ontwikkeling en onderhoud van informatiesystemen
Mogelijkheid om toegang tot Bedrijfsmiddelen te regelen op basis van Bedrijfs- en beveiligingsvereisten.

  • In de projectdocumentatie voor nieuwe informatiesystemen of significante uitbreidingen worden beveiligingseisen en -controle opgenomen als onderdeel van de functionele eisen.
  • Ontwikkelaar zal secure code testing als onderdeel maken van de Software Development Life Cycle (SDLC) met beoordeling van code.
  • Verwerkte invoergegevens worden gevalideerd op juistheid en beveiliging van gegevens.
  • Verzeker de authenticiteit van de berichten of transactiegegevens door middel van digitale handtekeningen en bescherm de integriteit van de gegevens door het gebruik van encryptie volgens de industrienorm.

Incidentenbeheer informatiebeveiliging
De organisatie moet in staat zijn om te herstellen van een informatiebeveiligingsincident.

  • Medewerkers melden incidenten en volgen een incidentmanagementproces.
  • Het incidentbeheerproces omvat identificatie, classificatie, impactanalyse en een escalatieproces.
  • Er moet een mogelijkheid zijn om een post-mortem uit te voeren, inclusief een follow‑up naar de hoofdoorzaak met corrigerende maatregelen.

Description of technical and organizational measures

Last Modified March 10, 2025 / Previous Versions

Nuance maintains appropriate technical and organizational measures, through the implementation and enforcement of the following policies:

Security Organization, Risk Analysis and Risk Management
Nuance has a professional information security organization, headed by a Chief Information Security Officer, that works to provide robust information security controls for Nuance products and environments. Nuance performs annual assessments of the compliance of Nuance security controls with current certifications and industry standard controls. For further, and more explicit, details on the Security Organization, Risk Analysis, or Risk Management programs at Nuance, please refer to https://www.nuance.com/about-us/trust-center.html.

Workforce Clearing, Training and Sanctions
All Nuance personnel are subject to background checks before access to restricted data is permitted. All personnel receive regular security training. Nuance has adopted policies and procedures to apply workforce sanctions to employees who fail to comply with Nuance security policies and procedures.

Physical Controls
Nuance Data Centers - All Nuance facilities are protected by physical security controls including perimeter controls, electronic access systems, locks and cameras. Nuance stores all production data in physically secure data centers that also maintain additional access restrictions, including: caged, locking racks along with secondary authentication and access. Nuance’s infrastructure systems have been designed to eliminate single points of failure and minimize the impact of anticipated environmental risks.

Cloud Data Center - Microsoft Azure runs in data centers managed and operated by Microsoft. These geographically dispersed data centers comply with key industry standards, such as ISO/IEC 27001:2013 and NIST SP 800-53, for security and reliability. The data centers are managed, monitored, and administered by Microsoft operations staff. The operations staff has years of experience in delivering the world’s largest online services with 24 x 7 continuity. For additional information, please refer to https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility.

For Swiss Cloud: Hosting Services are running in data centers managed by Voicepoint. These data centers comply with key industry standards, such as ISO/IEC 27001:2013, NIST SP 800‑53. The data centers are managed, monitored, and administered by Microsoft operations staff. The operations staff has years of experience in delivering the world’s largest online services with 24 x 7 continuity.

Access
Nuance has located all equipment that stores Personal Data in controlled access areas. Nuance will only allow employees and contingent workers with a business purpose to have access to such controlled areas.

Access Points
Nuance’s externally-facing web servers and third-party access points are configured securely, including (but not limited to) implementing a properly constructed dedicated firewall, requiring a virus check before granting access to any third-party network, and disabling or removing routing processes to minimize access.

Business Continuity, Disaster Recovery
Nuance has implemented and documented appropriate business continuity and disaster recovery plans to enable it to continue or resume providing Services in a timely manner after a disruptive event. Nuance regularly tests and monitors the effectiveness of its business continuity and disaster recovery plans.

Network Security
Nuance has implemented appropriate supplementary measures to protect Personal Data against the specific risks presented by the Services. All data is protected by encryption in transit over open, public networks. Data at rest is protected either by encryption or compensating security controls, which include pseudonymization, segmented networks, tiered architecture, firewalls with intrusion protection and anti-malware protections, and limiting of port access. Personal Data is only retained for the duration required for regulatory purposes, unless otherwise outlined by the Services.

Portable Devices
Nuance will not store Personal Data on any portable computer devices or media (including, without limitation, laptop computers, removable hard disks, USB or flash drives, personal digital assistants (PDAs) or mobile phones, DVDs, CDs or computer tapes) unless it is encrypted with a minimum of 128-bit, or such higher bit encryption in accordance with then current industry best practice. Nuance endpoints are provisioned with a default configuration, enforced at the organizational level.

Monitoring
Nuance takes appropriate steps to monitor the security of Personal Data and (if appropriate) to identify patterns of suspect activity. Nuance designs applications and services to suppress sensitive data being stored by Nuance. For every identified hosted change, security and QA teams review the data mapping requirements to validate the intended fields continue to be suppressed. Nuance also monitors security logging events which include log-on violations or attempts. Data retained from logs includes, but is not limited to, timestamp, hostname, and username for accountability.

Data Subject Requests
Nuance implements a documented process for assisting Company in responding to Data Subject Requests.

Governmental Requests
Nuance will not disclose or provide access to Personal Data being Processed under this DPA to law enforcement, unless required to by law, and only upon service of a legally‑binding request or order from a governmental authority.

If compelled to disclose or provide access to any Company Data to law enforcement, Nuance will promptly notify Company and provide a copy of the demand unless legally prohibited from doing so.

For Nordic Cloud only:

Data is hosted in a data center run by TietoEvry for which the following TOMs shall apply:

Physical Controls
Risk inherent to organizational premises. Facilities hosting information systems must have appropriate security controls including but not limited to access controls, security officers and cameras. Managed facilities must implement adequate environmental safeguards to ensure availability and protect against damage. The physical and environmental safeguards will be evaluated, implemented and maintained regularly.

Access
Ability to control access to assets based on business and security requirements. A unique user identifier shall be created for each worker upon validation of the completion of the employment screening process. Password controls should follow industry standards. Privileged access must be allocated on a “need to know” basis and the access is commensurate to the user’s position and duties. Access to networks and network services, and sensitive information must use multi‑factor authentication. Access must be logged and monitored for unauthorized usage or malicious intent. Access must be reviewed for access appropriate to role and terminations.

Network Security
Manage direction and support for information security in accordance with business requirements and relevant laws and regulations. Policies for information security approved, published and communicated. Policy review process with adoption and support of management.

Ability to ensure correct and secure operations of an organization’s assets.

  • Hardware, operating system, database and applications must be actively supported by the vendor and receive regular security updates and maintenance.
  • Information systems must have protection from malicious code with anti‑virus and anti‑malware with automatic updates.
  • Industry‑standard processes for Release, Change, Incident, and Problem management should be documented and implemented.
  • Information assets should have auditing enabled and retained for a minimum of 1 year. Auditing logs should be protected from unauthorized access and monitored on a regular basis.

Compliance
Organization’s ability to remain in compliance with regulatory, statutory, contractual, and security requirements.

  • Maintain policies and procedures to ensure compliance of systems with regulations and standards.
  • Compliance to any regulatory or security standards requirements where applicable (SOX, PCI‑DSS, GDPR, etc.).
  • Conduct periodic reviews and audits of information processing systems for compliance with information security policies and standards.

Asset Management
The ability of the security infrastructure to protect organizational assets.

  • An inventory of assets with information and processing facilities shall be identified and maintained. Ownership should be identified with rules of acceptable use.
  • Information classified with policies and controls applied appropriately to risk.
  • The disposal of data should be done in a secure, protected way to ensure the inability to recover that data.

Information Systems Development and Maintenance
Ability to control access to assets based on business and security requirements.

  • Project documentation for new information systems, or significant enhancements shall include security requirements and control as part of the functional requirements.
  • Developer will include secure code testing as part of the Software Development Life Cycle (SDLC) with review of code.
  • Input data processed shall be validated for correctness and security of data.
  • Ensure the authenticity of the messages or transactional data through digital signatures and protect the integrity of the data through the use of industry standard encryption.

Information Security Incident Management
The organization should have the ability to recover from an information security incident.

  • Employees will report incidents and follow an incident management process.
  • The incident management process shall include identification, classification, impact analysis and an escalation process.
  • The ability to perform post-mortem including follow‑up drive to root cause with corrective action must be implemented.