Contract
Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Urios B.V., ingeschreven bij de Kamer van Koophandel onder nummer 71393307, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke) die plaatsvinden in het kader van de dienstverlening van Verwerker aan de Verwerkingsverantwoordelijke, zoals nader geregeld in de tussen partijen gesloten overeenkomst van dienstverlening en/of de Algemene Voorwaarden van Urios.
Artikel 1. Definities
In deze Verwerkersovereenkomst wordt verstaan onder:
a. Verwerker: Urios B.V.
b. Verwerkersverantwoordelijke: De Klant, ook wel de Gebruiker genoemd. Het advocatenkantoor
c.q. de advocaten of andere beroepsuitoefenaars die gebruik maken van het softwarepakket Urios.
c. Partijen: Urios B.V. als Verwerker en de Klant/Gebruiker in de rol van Verwerkings- verantwoordelijke.
d. Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
e. Bijzondere persoonsgegevens: Persoonsgegevens die gevoelig zijn van aard. Deze zijn door de wetgever extra beschermd.
f. Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
g. AP: De Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op de verwerking van persoonsgegevens.
h. AVG: De Algemene Verordening Persoonsgegevens.
i. Verwerken of Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval opslag in de cloud, raadplegen, gebruiken, migreren, verstrekking door middel van doorzending en het kunnen inzien van gegevens door support op afstand.
j. Verwerkersovereenkomst: Deze verwerkersovereenkomst.
k. Hoofdovereenkomst: Het getekende contract c.q. Urios Bestelformulier met Algemene Voorwaarden aangegaan voor het gebruik van de software Urios met additioneel de door Urios B.V. aangeboden clouddienst Urios Cloud Database.
l. Datalek: Een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens.
2.1.b. Voor de gebruikers van de Urios Cloud Database is lid 2.1.a. van toepassing met als aanvulling dat verwerking van de gegevens door de Verwerker uitsluitend plaatsvinden in het kader van het in de ‘cloud’ opslaan van gegevens van de Verwerkingsverantwoordelijke met bijbehorende onlinediensten (Urios Web App).
2.1.c. Verwerker en Verwerkersverantwoordelijke bevestigen dat Verwerkingsverantwoordelijke volledig verantwoordelijk is voor het vaststellen van het doel en de middelen voor de verwerking van Persoonsgegevens. Het zal Verwerker veelal onbekend zijn welke (bijzondere) Persoonsgegevens bij haar in de cloud worden opgeslagen door Verwerkingsverantwoordelijke en voor welke doeleinden dit gebeurt, en zij kan hier haar dienstverlening niet op afstemmen.
2.2. De (bijzondere) Persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1.
2.3. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld en zoals is overeengekomen in de Algemene Voorwaarden van Urios.
2.4. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens door de Verwerker blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.
2.5. Verwerkingsverantwoordelijke staat ervoor in dat de verwerking van persoonsgegevens onder een van de grondslagen van de AVG valt, en dat er aldus geen melding bij de AP is vereist.
2.6. Verwerker en Verwerkingsverantwoordelijk erkennen dat Verwerker ook Persoonsgegevens verwerkt in het kader van de dienstverlening waarvoor zij zelf het doel en de middelen bepaalt. Dit geldt bijvoorbeeld voor Persoonsgegevens over de contactpersoon bij de Verwerkingsverantwoordelijke. Op deze verwerking van Persoonsgegevens, die aan de AVG moet voldoen, is deze Verwerkersovereenkomst niet van toepassing.
dan zoals door de Verwerkingsverantwoordelijke is vastgesteld.
3.2. Ten aanzien van de in artikel 2 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens.
3.3. De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
3.4. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke in het nakomen van haar verplichtingen:
• om verzoeken te beantwoorden van Xxxxxxxxxxx die hun rechten uitoefenen onder de AVG;
• met betrekking tot de beveiliging van de verwerking van (bijzondere) Persoonsgegevens, de melding Datalekken aan de AP en de Betrokkenen;
• een mogelijke vereiste gegevensbeschermingseffectbeoordeling (Privacy Impact Assessment).
Eventuele kosten verbonden aan deze bijstand zijn niet in de overeengekomen prijzen van Xxxxxxxxx inbegrepen. Verwerker is gerechtigd redelijke kosten voor het verlenen van deze bijstand aan Verwerkingsverantwoordelijke door te belasten. Indien sprake is van (verwachte) dergelijke kosten zal Verwerker dit zo mogelijk van tevoren aangeven.
3.5. In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan de Verwerker, zal zij het verzoek doorsturen aan de Verwerkingsverantwoordelijke die het verzoek verder zal afhandelen. Verwerker mag Betrokkene hiervan op de hoogte stellen.
5.1. Verwerker stelt ten behoeve van de verwerkingen ICT-middelen ter beschikking die door Verwerkingsverantwoordelijke te gebruiken zijn voor de hierboven genoemde doelen. Verwerker verricht zelf alleen op basis van aparte afspraken verwerkingen.
5.2. Verwerker is louter verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig volgens de Hoofdovereenkomst met de Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de Persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
5.3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
Artikel 6. Inschakelen van subverwerkers
Artikel 6 is alleen van toepassing op gebruikers van de Urios Cloud Database.
6.1. Verwerker mag in het kader van deze verwerkersovereenkomst gebruik maken van subverwerkers. Een actuele lijst van subverwerkers die door Verwerker worden ingeschakeld bij de verwerking van Persoonsgegevens zoals bedoeld onder deze overeenkomst is beschikbaar via de website van de Verwerker. Verwerkingsverantwoordelijke verklaart kennis te hebben genomen van de huidige subverwerkers en daarmee akkoord te zijn.
6.2. Bij het inschakelen van een nieuwe subverwerker zal Verwerker dit minimaal twee weken van tevoren melden aan de Verwerkingsverantwoordelijke per e-mail. Verwerkingsverantwoordelijke mag bezwaar maken indien het gebruik van een specifiek gemelde subverwerker onaanvaardbaar voor haar is. Indien mogelijk en redelijk zal Verwerker met Verwerkingsverantwoordelijke zoeken naar alternatieven.
Verwerker zal bij de keuze voor een nieuwe subverwerker altijd kiezen voor een Nederlandse subverwerker die garandeert dat de opslag van Persoonsgegevens binnen de Europese Economische Ruimte plaats vindt.
overeengekomen. Verwerkingsverantwoordelijke heeft het recht de mogelijk hierbij betrokken overeenkomsten in te zien.
Artikel 7. Meldplicht
Artikel 7 is alleen van toepassing op gebruikers van de Urios Cloud Database.
7.1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek aan de toezichthouder en/of Betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke onverwijld en indien mogelijk binnen 24 uur op de hoogte nadat is vastgesteld dat er sprake is van een beveiligingslek en/of datalek. Melding wordt gedaan aan de bij ons bekende contactgegevens middels de gangbare communicatiekanalen.
Artikel 8. Beveiliging
8.1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de Persoonsgegevens).
8.2. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek en de aan beveiliging verbonden kosten, niet onredelijk is.
Artikel 9. Geheimhouding en vertrouwelijkheid
9.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verwerkt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
9.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
9.3. Indien Verwerker op grond van een wettelijke verplichting gehouden is om Persoonsgegevens aan een derde te verstrekken zal zij Verwerkingsverantwoordelijke
hiervan indien mogelijk van tevoren op de hoogte brengen, tenzij dit verboden is onder de betreffende wetgeving.
Artikel 10. Audit
10.1. Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door of namens een wettelijke toezichthouder op grond van een wettelijke bevoegdheid tot controle van naleving van de AVG of andere op Verwerkersverantwoordelijke toepasselijke wet- en regelgeving. Op verzoek van Verwerker toont Verwerkingsverantwoordelijke aan dat sprake is van een dergelijke wettelijke bevoegdheid.
10.2. Een audit mag eens per jaar plaatsvinden en de kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.
10.3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie en, indien mogelijk, medewerkers zo tijdig mogelijk ter beschikking stellen. Verwerker is gerechtigd redelijke kosten voor het verlenen van deze medewerking aan Verwerkingsverantwoordelijke door te belasten. Indien sprake is van (verwachte) dergelijke kosten zal Verwerker dit zo mogelijk van tevoren aangeven.
10.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen aan de Verwerker beschikbaar worden gesteld. Bevindingen worden door partijen in onderling overleg beoordeeld en naar aanleiding daarvan wordt bepaald welke bevindingen al dan niet worden doorgevoerd door een van de partijen of door beide partijen gezamenlijk.
Artikel 11. Aansprakelijkheid
11.1. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is beperkt in de zin van Artikel 13 van de Urios Algemene Voorwaarden. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis.
11.2. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
• schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
• redelijke en aantoonbare kosten om de Verwerker ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
• redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is;
• en redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
11.3. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet behalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
11.4. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
11.5. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
11.6. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
11.7. Verwerkingsverantwoordelijke vrijwaart Verwerker voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en alle daarmee verband houdende kosten), indien deze aanspraak een toerekenbare tekortkoming betreft van Verwerkingsverantwoordelijke van zijn verplichtingen onder de Verwerkersovereenkomst of de AVG.
Artikel 12. Duur en beëindiging
12.1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Verwerker en Verwerkingsverantwoordelijke en op de datum van de laatste ondertekening.
12.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Hoofdovereenkomst tussen beide partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking dat wil zeggen: zo lang als Verwerkingsverantwoordelijke gebruikmaakt van de dienstverlening en/of het product van de Verwerker waarbij Verwerker ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
12.3.a. Zodra de Hoofdovereenkomst is beëindigd, heeft Verwerkingsverantwoordelijke drie maanden de tijd om een elektronische kopie van de bestanden en/of de database, c.q. de in de software ingevoerde gegevens, te maken. Verwerkingsverantwoordelijke kan deze kopie zelf maken middels de software.
12.3.b. Na de in 12.3.a. genoemde termijn zal Verwerker alle door Verwerkingsverantwoordelijke bij Verwerker opgeslagen gegevens of eventuele kopieën daarvan verwijderen.
Artikel 13. Toepasselijk recht en geschillenbeslechting
13.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
13.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.
Artikel 14. Overige bepalingen
14.1. Deze Verwerkersovereenkomst verwoordt de enige geldende afspraken tussen Verwerkeringsverantwoordelijke en Verwerker betreffende de verwerking van persoonsgegevens door Xxxxxxxxx en vervangt alle andere schriftelijke dan wel mondelinge afspraken en correspondentie over dit onderwerp.
14.2. In geval van strijdigheid van de bepalingen van deze Verwerkersovereenkomst met de Xxxxx Xxxxxxxx Voorwaarden, prevaleert deze Verwerkersovereenkomst.
14.3. Het doel van deze Verwerkersovereenkomst is om te voldoen aan de vereisten gesteld door de AVG aan de verwerking van Persoonsgegevens voor Verwerker ten behoeve van de Verwerkingsverantwoordelijke. Indien de wettelijke vereisten vragen dat deze Verwerkersovereenkomst wordt gewijzigd, mogen beide partijen een wijzigingsvoorstel doen waarna Verwerker zorg zal dragen voor een aangepaste Verwerkersovereenkomst.
Zij zal minimaal twee maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze twee maanden indien zij niet akkoord kan gaan met de wijzigingen in de Verwerkersovereenkomst. Restitutie van het vooruitbetaalde abonnementsgeld is niet mogelijk.
14.5. Indien Verwerkingsverantwoordelijke twee maanden na de aankondiging van de gewijzigde voorwaarden (nog) gebruikmaakt van de dienstverlening van de Verwerker, geldt dit ook als een akkoord met de gewijzigde voorwaarden in de Verwerkersovereenkomst.
Voor akkoord
Voor Verwerkingsverantwoordelijke: Bedrijfsnaam: Naam tekenbevoegde: Datum: Handtekening: | Voor Verwerker: Bedrijfsnaam: Urios B.V. Naam tekenbevoegde: Datum: Handtekening: |
Versie 2023.9
Persoonsgegevens
Verwerker zal in het kader van artikel 2.2 van de Verwerkersovereenkomst, de volgende (bijzondere) persoonsgegevens mogelijk verwerken bij het verlenen van support en/of in de uitvoering van de overeenkomst in opdracht van Verwerkingsverantwoordelijke:
• NAW-gegevens
• Telefoonnummer
• E-mailadres
• BSN of Vreemdelingennummer
• Geboortedata
• Burgerlijke staat
• Financiële gegevens
• Medische gegevens
• Overige Algemene en/of bijzondere persoonsgegevens
Van de categorieën betrokkenen:
Cliënten en/of alle andere partijen betrokken bij de dossiers van het advocatenkantoor.
Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.
Rol: | Urios als Verwerker | Verlenen van support |
Categorie: | Cliënten en/of alle andere partijen die betrokken zijn bij de dossiers van het betreffende advocatenkantoor en waarvan data is ingevoerd in het pakket. |
Soort persoonsgegevens: | • NAW-gegevens • Contactgegevens waaronder e-mail en/of telefoonnummers • BSN of Vreemdelingennummer • Geboortedata • Burgerlijke staat • Financiële gegevens • Medische gegevens • Overige algemene en/of bijzondere persoonsgegevens |
Doel: | Verlenen van support aan de gebruiker. |
Type verwerking: | In het geval van support betreft de verwerking enkel het “inzien” van de data in de vorm van ‘meekijken op het scherm’ met als doel de gebruiker te helpen en/of vragen te beantwoorden. |
Locatie: | De door de gebruiker ingevoerde data wordt door Urios niet opgeslagen, aangepast, verwijderd, vernietigd etc. wanneer er meegekeken wordt op het scherm van de gebruiker. |
Termijn: | De verwerking “inzien” eindigt wanneer de verbinding met de meekijksoftware wordt afgesloten. |
Overig: | De gebruiker verleent ad-hoc toestemming voor deze verwerking door de code, verstrekt door een van de Urios medewerkers, in te voeren op het scherm. |
Bijlage 3: Privacy protocol voor klanten van Xxxxx
Xxx: | Urios als Verwerkingsverantwoordelijke |
Categorie: | Klanten van Urios ook wel Urios-gebruikers genoemd |
Soort persoonsgegevens: | • Kantoornaam • Vestigingsadres • Algemeen e-mailadres en telefoonnummer • Naam en contactgegevens van de algemene contactpersoon • Naam en contactgegevens van u en/of uw medewerkers • Rekeningnummer en debiteurnummer |
Doel: | Uitvoering van de overeenkomst tussen Urios en de klant c.q. Urios-gebruiker en informatievoorziening aangaande nieuwe functionaliteiten. |
Type verwerking: | • Deze gegevens worden gebruikt ten behoeve van de facturatie en voor het verlenen van support. Facturen worden gedeeld met onze boekhouder en accountant voor het voeren van de boekhouding. • Deze gegevens worden incidenteel gebruikt voor het toesturen van postkaarten en het Urios jubileum stripboek. |
Locatie: | • Deze gegevens worden ingevoerd in ons CRM- systeem en zijn opgeslagen in de cloud bij TransIP, een Nederlandse B.V. die primair haar data opslaat in Nederland en nooit buiten de EER. • Het Urios Bestelformulier wordt alleen digitaal bewaard in een klantmap. Deze digitale klantmap is beveiligd met encryptie en een wachtwoord en staat opgeslagen op onze eigen server op kantoor. • De back-up van deze server staat opgeslagen bij TransIP. |
Termijn: | Alle verzamelde gegevens blijven bewaard zolang u Urios gebruikt. Stopt u met het gebruik van Urios, dan bewaren wij alle gegevens nog twee jaar. Lopende het derde jaar na |
beëindiging van uw abonnement worden uw gegevens geminimaliseerd, de overtollige data zal worden verwijderd, eventuele hard copy aanwezige documenten worden vernietigd. De geminimaliseerde data blijft bewaard zolang de wettelijke termijn voorschrijft. Ook de verzonden facturen voor uw abonnementsperiode blijven bewaard zolang de wettelijke bewaartermijn voorschrijft. | |
Overig: | • Alle ontvangen data wordt vertrouwelijk behandeld en alle medewerkers van Xxxxx zijn contractueel gebonden aan een geheimhoudingsplicht. • Uw gegevens worden niet verstrekt aan derden tenzij Urios hier door de wet toe verplicht wordt of nadat er expliciet toestemming door u is gegeven om uw contactgegevens te mogen verstrekken aan een andere partij. |
Bijlage 4: Beveiligingsprotocol & Adviezen
In dit beveiligingsprotocol beschrijven wij hoe wij onze diensten hebben beveiligd, zowel technisch als organisatorisch. Tevens leggen wij uit hoe bepaalde beveiligingen werken, hoe u deze het beste kunt inzetten en hoe u kunt handelen in geval van diefstal van laptops/computers.
Organisatorische maatregelen
• Al onze medewerkers hebben een geheimhoudingsverklaring getekend.
• Wachtwoorden die wij beheren voor onszelf of ten behoeve van onze klanten zijn versleuteld opgeslagen. Van onze klanten slaan we alleen die initieel uitgegeven wachtwoorden op.
Urios, het programma
Controleer certificaat bij installatie en update
Onze programmatuur is ondertekend met een digitaal certificaat door Urios B.V. U dient zelf bij een download te controleren of het certificaat nog aanwezig is. Windows wijst u hierop bij het uitvoeren van een update of installatie. Windows toont u een scherm “Wilt u toestaan dat deze app wijzigingen aan uw apparaat aanbrengt?” met daarbij een “Geverifieerde uitgever”. Hier hoort “Urios B.V.” te staan. Als dat niet het geval is, komt de update niet van ons. Een digitaal certificaat garandeert dat het programma / de update niet is gewijzigd tussen het moment dat wij het maakte en het u bereikte.
Instellen van wachtwoorden voor gebruikers
U kunt zelf een wachtwoord instellen en rechtenniveaus bepalen per gebruiker. Dit is onderdeel van onze module Gebruikersrechten. Hiermee beperkt u de toegang tot Urios tot personen die het/hun wachtwoord weten. En kunt u de toegang tot bepaalde financiële gegevens afschermen voor uw medegebruikers.
Meekijksoftware
Voor meekijken op uw scherm
Onze helpdesk maakt gebruik van meekijksoftware om u te kunnen ondersteunen. Met deze software kunnen wij, of een andere partij, op uw computer meekijken en de bediening overnemen. Dit kan alleen als u de meekijksoftware heeft gestart en de inlogcode is ingevoerd.
Tijdens de sessie is de verbinding van onze computer naar uw computer versleuteld. Dit betekent dat derden niet kunnen meekijken.
Wij raden u aan de meekijksoftware (zoals RealVNC, AnyDesk en TeamViewer) altijd af te sluiten nadat wij, uw IT-partij of iemand anders ingelogd is geweest.
De clouddatabase is een database die is opgeslagen bij onze subverwerker TransIP. Ook de back-up van de clouddatabase staat opgeslagen bij deze subverwerker. TransIP voldoet aan de standaard voor informatiebeveiliging ISO 27001.
De veiligheidscertificaten en auditrapporten voor TransIP kunt u inzien op hun website: xxxxx://xxx.xxxxxxx.xx/xxxxx-xxx-xxxxxxxx/xxxxxxxxxxxxxxx/
De initieel door onze uitgegeven wachtwoorden zijn sterke wachtwoorden bestaande uit minimaal 12 karakters, hoofdletters, kleine letters en cijfers. Bij diefstal van een laptop/computer raden wij u aan zo snel mogelijk het wachtwoord te (laten) wijzigen.
Datamigraties
Voor klanten die overstappen vanuit een ander pakket kunnen wij datamigraties uitvoeren. Hierbij beschikken wij tijdelijk over alle data die in het vorige pakket stond. Na het uitvoeren van de migratie versleutelen wij uw oude data. Deze data verwijderen wij drie maanden nadat wij de migratie hebben uitgevoerd. Wij bewaren deze data tijdelijk omdat in de praktijk is gebleken dat na de initiële migratie het soms nodig is extra data te migreren.