Nonobstant toute mesure supplémentaire convenue dans le contrat, Safecall veille à ce qu'au moins les mesures techniques et organisationnelles suivantes soient prises :
1. La confidentialité
1.1 Contrôle d'accès physique : Aucun accès non autorisé aux installations de traitement des données, par exemple : cartes magnétiques ou à puce, clés, ouvre-portes électroniques, services de sécurité des installations et/ou personnel de sécurité à l'entrée, systèmes d'alarme, systèmes vidéo/CCTV.
1.2 Contrôle d'accès électronique : Pas d'utilisation non autorisée des systèmes de traitement et de stockage des données, par exemple : mots de passe (sécurisés), mécanismes de blocage/verrouillage automatiques, authentification à deux facteurs, cryptage des supports de données/moyens de stockage.
1.3 Contrôle d'accès interne (autorisations pour les droits d'accès des utilisateurs aux données et leur modification) : Aucune lecture, copie, modification ou suppression non autorisée de données au sein du système, par exemple concept d'autorisation des droits, droits d'accès fondés sur les besoins, enregistrement des événements d'accès au système.
1.4 Pseudonymisation (article 32, paragraphe 1, point a), du RGPD ; article 25, paragraphe 1, du RGPD) : Le traitement de données à caractère personnel d'une manière telle que les données ne peuvent pas être associées à une personne concernée spécifique sans l'aide d'informations supplémentaires, à condition que ces informations supplémentaires soient stockées séparément et fassent l'objet de mesures techniques et organisationnelles appropriées.
2. L'intégrité
2.1 Contrôle du transfert des données : Pas de lecture, de copie, de modification ou de suppression non autorisées des données par transfert ou transport électronique, par exemple : cryptage, réseaux privés virtuels (VPN), signature électronique.
2.2 Contrôle de la saisie des données : Il s'agit de vérifier si et par qui les données à caractère personnel sont introduites dans un système de traitement des données, si elles sont modifiées ou si elles sont supprimées, par exemple dans le cadre de la journalisation ou de la gestion des documents.
3. Disponibilité et résilience
3.1 Contrôle de la disponibilité : Prévention de la destruction ou de la perte accidentelle ou volontaire, par exemple : stratégie de sauvegarde (en ligne/hors ligne ; sur site/hors site), alimentation électrique sans interruption (ASI), protection contre les virus, pare-feu, procédures d'établissement de rapports et planification des mesures d'urgence.
3.2 Récupération rapide (article 32, paragraphe 1, point c, du RGPD) et (article 32, paragraphe 1, point c, du RGPD).
4. Traitement par des tiers
4.1 Pas de traitement de données par des tiers sans instructions correspondantes de Safecall, par exemple : dispositions contractuelles claires et non ambiguës, gestion formalisée des commandes, contrôles stricts de la sélection du prestataire de services, obligation de pré-évaluation, contrôles de suivi par les autorités de surveillance.