Verwerkersovereenkomst
Verwerkersovereenkomst
overeengekomen tussen
Verwerkingsverantwoordelijke: | |
KvK registratienummer: | |
Land van vestiging: | |
Contactpersoon van Verwerkingsverantwoordelijke voor algemene verzoeken over de overeenkomst (naam, functie, contactgegevens): | |
Contactpersoon van Verwerkingsverantwoordelijke voor het melden van onrechtmatige verwerking(en) van persoonsgegevens (naam, functie, contactgegevens): | |
Verwerker: | Visma Raet B.V. |
KvK registratienummer: | 32097068 |
Land van vestiging: | Nederland |
Contactpersoon van Verwerker voor algemene verzoeken over de overeenkomst (naam, functie, contactgegevens): | |
Contactpersoon van Verwerker voor het melden van onrechtmatige verwerking(en) van persoonsgegevens (naam, functie, contactgegevens): | Meldingen kunnen gericht worden aan de desbetreffende servicedesk en/of via xxxxxxx.xxxx@xxxxx.xxx. |
Hierna respectievelijk te noemen “Verwerkingsverantwoordelijke”, “Verwerker”, of “Partij” en gezamenlijk als de “Partijen”.
Artikel 1 Inleiding
1.1 Beide Partijen bevestigen dat de ondergetekenden gevolmachtigd zijn om deze overeenkomst (“Overeenkomst”) namens Partijen aan te gaan. Deze Overeenkomst is van toepassing op Verwerkingen (zoals hieronder gedefinieerd) van Persoonsgegevens (zoals hieronder gedefinieerd) door Verwerker (zoals hieronder gedefinieerd) onder de volgende dienstenovereenkomsten (“Dienstenovereenkomsten”) tussen de Partijen:
▪ Overeenkomst voor het verrichten van e-HRM diensten door Verwerker aan Verwerkingsverantwoordelijke
1.2 Indien de Verwerkingsverantwoordelijke de in bovenstaande tabel genoemde contactpersoon (-personen) wijzigt, moet de Verwerker daarvan schriftelijk in kennis worden gesteld.
Artikel 2 Definities
2.1 De definities Verwerkingsverantwoordelijke, Betrokkene, Persoonsgegevens, Inbreuk in verband met Persoonsgegevens, Verwerking, Verwerker en Gevoelige Gegevens (Bijzondere categorieën van Persoonsgegevens) in deze Overeenkomst hebben dezelfde betekenis zoals gebruikt in EU 2016/679 Algemene Verordening Gegevensbescherming (de ‘AVG’).
Artikel 3 Toepasselijkheid
3.1. De Overeenkomst regelt de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke, en schetst hoe de Verwerker zal bijdragen aan het waarborgen van de privacy namens de Verwerkingsverantwoordelijke en Betrokkenen, door middel van technische en organisatorische maatregelen in overeenstemming met de toepasselijke privacywetgeving, waaronder de AVG.
3.2. Het doel van de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke is de uitvoering van de Dienstenovereenkomst(en) en deze Overeenkomst.
3.3. Deze Overeenkomst heeft voorrang op tegenstrijdige bepalingen met betrekking tot de Verwerking van Persoonsgegevens in de Dienstenovereenkomst of in andere eerdere overeenkomsten of schriftelijke communicatie tussen de Partijen. Deze Overeenkomst is geldig voor de duur zoals overeengekomen in Bijlage A.
Artikel 4 Rechten en plichten van de Verwerker
4.1. De Verwerker zal Persoonsgegevens slechts Verwerken namens en in overeenstemming met de schriftelijke instructies van de Verwerkingsverantwoordelijke. Door het aangaan van deze Overeenkomst draagt de Verwerkingsverantwoordelijke de Verwerker op om Persoonsgegevens op de volgende wijze te verwerken;
i) uitsluitend in overeenstemming met de toepasselijke wetgeving,
ii) om te voldoen aan alle verplichtingen volgens de Dienstenovereenkomst,
iii) zoals nader gespecificeerd via het gewone gebruik door de Verwerkingsverantwoordelijke van de diensten van de Verwerker en
iv) zoals gespecificeerd in deze Overeenkomst.
4.2. De Verwerker heeft geen reden om aan te nemen dat wetgeving die op hem van toepassing is, de Verwerker verhindert om de hierboven genoemde instructies uit te voeren. De Verwerker zal, zodra hij daarvan op de hoogte is, de Verwerkingsverantwoordelijke in kennis stellen van instructies of andere Verwerkingsactiviteiten door de Verwerkingsverantwoordelijke die naar het oordeel van de Verwerker in strijd zijn met de toepasselijke privacywetgeving.
4.3. De categorieën van Betrokkenen en Persoonsgegevens die op grond van deze Overeenkomst aan Verwerking worden onderworpen, zijn vastgelegd in Bijlage A.
4.4. De Verwerker zal de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens waarborgen overeenkomstig de op de Verwerker van toepassing zijnde privacywetgeving. De Verwerker zal systematische, organisatorische en technische maatregelen treffen om een passend beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging in verhouding tot het risico dat de Verwerking vertegenwoordigt, en de aard van de te beschermen Persoonsgegevens.
4.5. De Verwerker zal de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bijstaan, voor zover mogelijk en rekening houdend met de aard van de Verwerking en de informatie waarover de Verwerker beschikt, bij het nakomen van de verplichtingen van de Verwerkingsverantwoordelijke op grond van de toepasselijke privacywetgeving met betrekking tot het verzoek van Xxxxxxxxxxx, en de algemene naleving van de privacywetgeving op grond van de AVG artikel 32 t/m 36.
4.6. Indien de Verwerkingsverantwoordelijke informatie of bijstand nodig heeft met betrekking tot beveiligingsmaatregelen, documentatie of andere vormen van informatie over de wijze waarop de Verwerker Persoonsgegevens verwerkt, en dergelijke verzoeken verder gaan dan de standaardinformatie die de Verwerker verstrekt om als Verwerker te voldoen aan de toepasselijke privacywetgeving, kan de Verwerker de Verwerkingsverantwoordelijke voor dit verzoek om aanvullende diensten redelijke kosten in rekening brengen.
4.7. De Verwerker en zijn personeel dragen zorg voor geheimhouding met betrekking tot de Persoonsgegevens die onderwerp zijn van Verwerking in overeenstemming met de Overeenkomst. Deze bepaling is ook van toepassing na beëindiging van de Overeenkomst.
4.8. De Verwerker zal, door de Verwerkingsverantwoordelijke zonder onnodige vertraging in kennis te stellen, de Verwerkingsverantwoordelijke in staat stellen te voldoen aan de wettelijke vereisten inzake kennisgeving aan Autoriteit Persoonsgegevens of Betrokkenen over privacy-incidenten.
Voorts zal de Verwerker, voor zover dit passend en rechtmatig is, de Verwerkingsverantwoordelijke in kennis stellen van;
i) van een Betrokkene ontvangen verzoeken om verstrekking van Persoonsgegevens,
ii) verzoeken tot openbaarmaking van Persoonsgegevens door overheidsinstanties, zoals maar niet beperkt tot, de politie.
4.9. De Verwerker zal niet rechtstreeks reageren op verzoeken van Xxxxxxxxxxx, tenzij hij daartoe schriftelijk is gemachtigd door de Verwerkingsverantwoordelijke. De Verwerker zal geen aan deze Overeenkomst verbonden informatie verstrekken aan overheidsinstanties, zoals de politie, waaronder Persoonsgegevens, tenzij daartoe verplicht door de wet, zoals via een gerechtelijk bevel of een soortgelijk bevel.
4.10. De Verwerker heeft geen zeggenschap of en hoe de Verwerkingsverantwoordelijke gebruik maakt van integraties van derden via de API (of vergelijkbaar) van de Verwerker, en de Verwerker aanvaardt in verband dus geen aansprakelijkheid. De Verwerkingsverantwoordelijke is als enige verantwoordelijk voor integraties van derden.
4.11. De Verwerker kan Persoonsgegevens over gebruikers en het gebruik van de dienst door de Verwerkingsverantwoordelijke verwerken wanneer dit noodzakelijk is om feedback te verkrijgen en de dienst te verbeteren. De Verwerkingsverantwoordelijke verleent de Verwerker het recht om geaggregeerde gegevens over systeemactiviteiten in verband met het gebruik van de Diensten door de Verwerkingsverantwoordelijke te gebruiken en te analyseren met het oog op optimalisering, verbetering of uitbreiden van de wijze waarop de Verwerker haar Diensten verleent en om de Verwerker in staat te stellen nieuwe functies en functionaliteit in verband met de Diensten te creëren. De Verwerker wordt beschouwd als de verwerkingsverantwoordelijke voor dergelijke verwerking en de genoemde verwerking is derhalve niet onderworpen aan deze Overeenkomst.
4.12. Bij het gebruik van de dienst zal de Verwerkingsverantwoordelijke gegevens toevoegen aan de Software ("Klantgegevens"). De Verwerkingsverantwoordelijke erkent en heeft er geen bezwaar tegen dat de Verwerker de Klantgegevens in een geaggregeerd en geanonimiseerd formaat gebruikt voor het verbeteren van de aan klanten geleverde diensten, onderzoek, opleiding, educatieve en/of statistische doeleinden.
Artikel 5 Rechten en plichten van Verwerkingsverantwoordelijke
5.1 De Verwerkingsverantwoordelijke bevestigt door de ondertekening van deze Overeenkomst dat:
● zij wettelijk bevoegd is tot het Verwerken en bekendmaken van de Persoonsgegevens in kwestie aan Verwerker (met inbegrip van door Verwerker ingeschakelde subverwerkers).
● zij verantwoordelijkheid draagt voor de accuraatheid, integriteit, inhoud, betrouwbaarheid en rechtmatigheid van de Verwerkte Persoonsgegevens zoals bekendgemaakt aan Verwerker.
● zij heeft voldaan aan haar verplichtingen om relevante informatie te verstrekken aan Xxxxxxxxxxx en toezichthoudende autoriteiten omtrent de Verwerkingen van Persoonsgegevens conform dwingend gegevensbeschermingswetgeving.
● zij, bij het ontvangen en gebruik van de diensten van Verwerker onder de Dienstenovereenkomsten, geen Gevoelige Gegevens aan de Verwerker zal bekendmaken/verstrekken, tenzij expliciet overeengekomen in Appendix A bij deze Overeenkomst.
Artikel 6 Inschakelen derden voor Verwerker en data-overdracht
6.1 Als onderdeel van het leveren van diensten aan Verwerkingsverantwoordelijke conform de Dienstenovereenkomsten en deze Overeenkomst, zal Verwerker derden (subverwerkers) inschakelen bij de uitvoering van deze Overeenkomst en Verwerkingsverantwoordelijke geeft algemene toestemming voor het mogen inschakelen van voornoemde subverwerkers door Verwerker. Deze subverwerkers kunnen bedrijven binnen de Visma groep zijn of externe derde partijen. Alle subverwerkers met toegang tot Persoonsgegevens zijn opgenomen in Bijlage B. Xxxxxxxxx ziet erop toe dat subverwerkers akkoord gaan met het accepteren van de verantwoordelijkheden en daarmee corresponderende verplichtingen zoals neergelegd in deze Overeenkomst.
6.2 Een overzicht van de huidige subverwerkers met toegang tot Persoonsgegevens is als Appendix B opgenomen bij deze Overeenkomst. Een actueel overzicht van subverwerkers is beschikbaar in het Visma Trust Centre en raadpleegbaar via: xxxxx://xxx.xxxxx.xxx/xxxxx-xxxxxx/xxxxxxx-xxxxxx/. Voor een actueel overzicht inclusief salarisdienstverleners is beschikbaar op xxxxx://xxx.xxxxxxxxx.xx/xxxxx. De verwerker kan andere in de EU/EER gevestigde bedrijven van de Visma groep als subverwerker inschakelen zonder dat het Visma-bedrijf is opgenomen in de lijst van Trust Center en zonder voorafgaande goedkeuring of kennisgeving aan de verwerkingsverantwoordelijke. Dit gebeurt gewoonlijk ten behoeve van o.a. ontwikkeling en ondersteuningsactiviteiten. Verwerkingsverantwoordelijke mag gedetailleerdere informatie over subverwerkers bij Verwerker opvragen.
6.3 Indien de subverwerkers buiten de EU of de EER zijn gevestigd, machtigt Verwerkingsverantwoordelijke Verwerker om namens Verwerkingsverantwoordelijke voor de doorgifte van persoonsgegevens buiten de EU/EER te zorgen voor passende rechtsgronden door het aangaan van EU-Standard Contractual Clauses (SCC’s).
6.4 De Verwerkingsverantwoordelijke wordt vooraf in kennis gesteld van elke wijziging van subverwerkers die Persoonsgegevens verwerken. Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen een nieuwe subverwerker binnen 30 dagen na de kennisgeving, beoordelen de Verwerker en de Verwerkingsverantwoordelijke de documentatie over de beveiligingsmaatregelen van de subverwerker, teneinde de naleving van de toepasselijke privacywetgeving te waarborgen. Indien de Verwerkingsverantwoordelijke blijvend bezwaren heeft en daarvoor redelijke gronden heeft, kan de Verwerkingsverantwoordelijke zich niet tegen het gebruik van een dergelijke subverwerker verzetten (met name gezien de aard van de Diensten), maar kan de Verwerkingsverantwoordelijke de Dienstenovereenkomst opzeggen.
Artikel 7 Beveiliging
7.1. De Verwerker verbindt zich ertoe een hoog niveau van beveiliging te bieden in zijn producten en diensten. De Verwerker voorziet in zijn beveiligingsniveau door middel van organisatorische, technische en fysieke beveiligingsmaatregelen, overeenkomstig de vereisten inzake informatiebeveiligingsmaatregelen zoals uiteengezet in de AVG, artikel 32.
7.2. In Appendix C worden de maatregelen of andere beveiligingsmaatregelen vermeld die de Verwerker bij de verwerking van de Persoonsgegevens toepast. De Verwerkingsverantwoordelijke is verantwoordelijk voor de passende en adequate beveiliging van de apparatuur en de IT-omgeving die onder zijn verantwoordelijkheid valt.
Artikel 8 Inspectie rechten
8.1 De Verwerkingsverantwoordelijke kan maximaal eenmaal per jaar controleren of de Verwerker zich aan deze Overeenkomst houdt. Indien de op de Verwerkingsverantwoordelijke van toepassing zijnde wetgeving zulks vereist, kan de Verwerkingsverantwoordelijke om frequentere audits verzoeken. Om een audit aan te vragen, dient de Verwerkingsverantwoordelijke de Verwerker ten minste vier weken voor de voorgestelde auditdatum een gedetailleerd auditplan voor te leggen, met een beschrijving van de voorgestelde omvang, duur en aanvangsdatum van de audit. Indien een derde partij de audit moet uitvoeren, moet dit onderling tussen de partijen schriftelijk worden overeengekomen. Indien de verwerkingsomgeving echter een "multi tenant"-omgeving of een soortgelijke omgeving is, geeft de verantwoordelijke voor de verwerking de Verwerker de bevoegdheid om om veiligheidsredenen te besluiten dat de audits worden uitgevoerd door een neutrale derde-auditor naar keuze van de Verwerker.
8.2 Indien de gevraagde reikwijdte van de audit wordt behandeld in een ISAE-, ISO- of vergelijkbaar assurance-rapport dat binnen de voorafgaande twaalf maanden door een gekwalificeerde derde auditor is uitgevoerd, en de Verwerker bevestigt dat er geen bekende materiële wijzigingen zijn in de gecontroleerde maatregelen, stemt Verwerkingsverantwoordelijke ermee in die bevindingen te aanvaarden in plaats van een nieuwe audit aan te vragen van de maatregelen waarop het rapport betrekking heeft.
8.3 In elk geval moeten de audits worden uitgevoerd tijdens de gewone kantooruren in de desbetreffende vestiging, met inachtneming van het beleid van de verwerker, en mogen zij de bedrijfsactiviteiten van de verwerker niet op onredelijke wijze hinderen.
8.4 Verwerkingsverantwoordelijke is verantwoordelijk voor alle kosten die voortvloeien uit de door de Verwerkingsverantwoordelijke gevraagde controles, tenzij de auditor één of meer tekortkomingen van niet ondergeschikte aard van Verwerker constateert die ten nadele zijn van Verwerkingsverantwoordelijke. Voor verzoeken om bijstand van de Verwerker kunnen kosten in rekening worden gebracht.
Artikel 9 Duur en beëindiging
9.1 Deze Overeenkomst is geldig zolang de Verwerker Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke in het kader van de Dienstenovereenkomst of zoals anderszins overeengekomen in Bijlage A.
9.2 Deze Overeenkomst wordt automatisch beëindigd bij beëindiging van de Dienstenovereenkomst. Bij beëindiging van deze Overeenkomst zal de Verwerker Persoonsgegevens die namens de Verwerkingsverantwoordelijke zijn verwerkt, retourneren en/of wissen, in overeenstemming met de toepasselijke clausules in de Dienstverleningsovereenkomst. Deze verwijdering zal zo spoedig als redelijkerwijs mogelijk is plaatsvinden, tenzij EU- of lokale wetgeving verdere opslag door Verwerker vereist. Tenzij schriftelijk anders overeengekomen, zullen de kosten van dergelijke handelingen gebaseerd zijn op;
i) uurtarieven voor de door de Verwerker bestede tijd en
ii) de complexiteit van het gevraagde proces.
Artikel 10 Wijzigingen en amendementen
10.1 Wijzigingen aan de Overeenkomst zullen in een nieuwe Appendix bij deze Overeenkomst worden opgenomen en treden in werking nadat beide Partijen deze hebben ondertekend.
10.2 Indien enige bepaling van deze overeenkomst nietig is, laat zulks de overige bepalingen onverlet. De Partijen zullen de nietige bepaling vervangen door een rechtmatige bepaling die het doel van de nietige bepaling weergeeft.
Artikel 11 Aansprakelijkheid
11.1 Ter voorkoming van misverstanden, Partijen komen hierbij overeen en erkennen dat iedere Partij aansprakelijk zal zijn en verantwoordelijk is voor de betaling van administratieve boetes en schadevergoedingen aan Betrokkenen indien deze betalingsplicht aan deze Partij is opgelegd door de relevante autoriteit persoonsgegevens of een bevoegde rechtbank in overeenstemming met toepasselijke wetgeving. Aansprakelijkheidskwesties tussen de Partijen zullen worden beheerst door de relevante bepalingen aangaande aansprakelijkheid zoals overeengekomen in de Dienstenovereenkomst.
Artikel 12 Toepasselijk recht en forumkeuze
12.1 Deze Overeenkomst wordt beheerst door het toepasselijke recht van de Dienstenovereenkomsten. De in de Dienstenovereenkomsten genoemde bevoegde rechter is mutatis mutandis bevoegd kennis te nemen van geschillen rondom deze Overeenkomst.
*** Ondertekening op volgende pagina ***
Gegevens Verwerkingsverantwoordelijke:
Handtekening: | |
Door: | |
Plaats en datum: |
Gegevens Verwerker:
Handtekening: | |
Door: | X.X. xx Xxxxx, Finance Director |
Plaats en datum: | Amersfoort, 03-01-2023 |
Appendix A – Betrokkenen, Soorten persoonsgegevens, Xxxx, Xxxx, Duur
A.1 Categorieën van Betrokkenen
Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten, kunnen de Persoonsgegevens van de volgende categorieën van Betrokkenen worden Verwerkt:
a. werknemers / zelfstandigen / vrijwilligers (medewerkers);
b. oud-medewerkers;
c. sollicitanten;
d. stagiairs.
A.2 Categorieën van Persoonsgegevens
Bij het uitvoeren van de werkzaamheden, zoals aangeduid in de Dienstenovereenkomst, Verwerkt de Verwerker Persoonsgegevens. Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten kunnen de volgende (soort) Persoonsgegevens worden Verwerkt:
Soort Persoonsgegevens(*) | Soort Persoonsgegevens(*) |
Naam-, adres- en woonplaatsgegevens (N) | Opleidingsgegevens (N) |
Burgerservicenummer (H) | Bezettings- en formatie informatie (N) |
Contactgegevens (o.a. telefoonnummers en e-mailadressen) (N) | Belonings-, uitkerings- en/of pensioengegevens en mutaties (N) |
Kopieën van legitimatiebewijzen (H) | Verlofgegevens (N) |
Toegangs- of identificatiegegevens (H) | Verzuimgegevens (H) |
Bankrekeningnr. en financiële gegevens (N) | Functioneringsgegevens (N) |
Aanstellings-/contractgegevens (N) | Uitstroommutaties / uitdienstdata (N) |
Arbeidsverleden (N) | |
andere persoonsgegevens, namelijk: | |
(*) De aanduiding (N) of (H) staat voor de risicoclassificering Normaal (N) of Hoog (H).
A.3 Bijzondere categorieën van Persoonsgegevens (Gevoelige Persoonsgegevens)
Indien de Verwerker dergelijke gegevens namens de Verwerkingsverantwoordelijke mag verwerken, moeten de betrokken soorten Gevoelige Persoonsgegevens hieronder door de Verwerkingsverantwoordelijke worden gespecificeerd.
De verantwoordelijke voor de verwerking is tevens verantwoordelijk voor het informeren van de Verwerker over, en het hieronder specificeren van, eventuele aanvullende soorten Gevoelige Persoonsgegevens overeenkomstig de toepasselijke privacywetgeving.
Verwerker zal, ten behoeve van Verwerkingsverantwoordelijke, informatie verwerken over: | Xx | Xxx |
ras of etnische afstamming, of politieke, filosofische of religieuze overtuigingen | X | |
dat een persoon verdacht wordt van een strafbaar feit, een strafbaar feit ten laste wordt gelegd en/of voor een strafbaar feit is veroordeeld | X | |
gezondheidsinformatie | X | |
seksuele geaardheid | X | |
lidmaatschap vakbond | X | |
genetische of biometrische gegevens | X |
A.4 Categorieën van medewerkers die toegang hebben tot Persoonsgegevens:
Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten kunnen de volgende (categorieën) medewerkers toegang hebben tot de Persoonsgegevens:
a. volledige toegang vanwege beheer platform en applicatieomgeving door system engineers, database administrators, application management support engineers;
b. alleen-lezen toegang vanwege oplossen van applicatie- en/of klantspecifieke incidenten door application developers en medewerkers service center;
c. toegang tot klantspecifieke gegevens bij BPO-services door HR- en payrolladministrators;
d. toegang tot klantspecifieke gegevens op projectbasis conform door Verwerkingsverantwoordelijke verleende autorisatie door implementatie-, product- en/of conversiespecialisten.
A.5 Doel van de Verwerking
Het doel van de verwerking van Persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke is: Het leveren van Diensten in overeenstemming met de Dienstenovereenkomst.
A.6 Aard van de Verwerking
De Verwerking van Persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke heeft voornamelijk betrekking op: Het verrichten van e-HRM dienstverlening.
A.7 Duur van de Verwerking:
De duur van de Verwerking van Persoonsgegevens is zolang de Dienstenovereenkomst van toepassing is.
Appendix B – Overzicht huidige derden (‘subverwerkers’)
Huidige subverwerkers van Verwerker met toegang tot de Persoonsgegevens van Verwerkingsverantwoordelijke ten tijde van het ondertekenen van deze Overeenkomst zijn:
Naam | Beschrijving | Gebruikt in relatie tot | Categorie | Processing of Storage locatie |
YouForce | ||||
Activ8 | Development Services | Management Information | Software | EU/EEA |
Apigee | Platform for API management | Cloud enablement | Infrastructure | EU/EEA |
Broadbean | Job board integration with Youforce Recruitment | Recruitment | Interface | EU/EEA |
CM Telecom | Provider SMS-gateway for two-factor authentication | Portal and Digital signing | Infrastructure | EU/EEA |
DotWeb Systems - Visma Verzuim | Partner that supplies a cloud absence management software application | Medical leave | Software | EU/EEA |
eHRMVision (TMA) | Provides cloud solution for talent analysis | Talent Suite | Software | EU/EEA |
Equens- Worldline | Secure infrastructure services regarding payment files | Payment manager | Interface | EU/EEA |
Fox-IT | Managed security monitoring | Portal | Infrastructure | EU/EEA |
Huddle | Document share platform | Collaboration during implementations and projects | Other | United Kingdom |
IMC | Cloud solution supplier for Learning Management System | Training centre Youforce applications | Software | EU/EEA |
KPN | Housing, Hosting and Storage services | Hosting and storage Youforce applications | Infrastructure | EU/EEA |
Microsoft | Supplier for on premise and cloud software. Housing, Hosting and Storage services | Hosting and storage Youforce applications | Infrastructure | EU/EEA |
Netive | Provides cloud (vendor) management system for contingent workforce | Workforce management | Software | EU/EEA |
Paragon Customer Communications | Print and mail provider | Payroll and pensions (physical output) | Other | EU/EEA |
Ping Identity | Software and services for secure identity management | Cloud enablement | Software | EU/EEA |
Pointlogic | Software for strategic personell planning embedded in Youforce | Payroll public and Payroll Business | Software | EU/EEA |
TCG | Supplier for E-learning player | Talent suite - Learning management | Software | EU/EEA |
Tripolis | E-mail service | Intraoffice Digital Signing | Software | EU/EEA |
Visma Connect | Integrator for several interfaces | Interfaces for Talentsoft and Nétive | Software | EU/EEA |
Visma YouServe | Robotics services | Robotics | Software & Services | EU/EEA |
Xxxxx.xxx HRM NL en Payroll NL | ||||
Amazon Web Services | Hosting en opslag .NET applicaties | Hosting en storage Visma .Net systems | Infrastructure | EU/EEA |
Visma ITC | Hosting en opslag .Net applicaties | Hosting en storage Visma .Net systems | Infrastructure | EU/EEA |
Generic services Youforce and Xxxxx.xxx | ||||
Visma Appical | Provider of Appical | Onboarding platform | Software | EU/EEA |
Visma Competence Centers | Provider of internal Visma services | All IT services | Other | EU/EEA |
Visma Dialog | Provider of Dialog | Performance Management | Software | EU/EEA |
Visma Easycruit | Provider of Easycruit | Recruitment | Software | EU/EEA |
Visma Plusport | Provider of Plusport | Cloud Learning and performance Management Systems | Software | EU/EEA |
Visma Proactive | Provider of SpendCloud | Business expences | Software | EU/EEA |
Visma Software | Provider of Visma .net Financials | Financial management | Software | EU/EEA |
HR & Payroll Services | ||||
Confina | Advice and administration office | Youforce and Xxxxx.xxx HR & payroll services | HR Services | EU/EEA |
Govers | Payroll consultancy education | Youforce and Xxxxx.xxx HR & payroll services | HR Services | EU/EEA |
ESVE Groep | Payroll and HR Services | Youforce HR & payroll services | HR Services | EU/EEA |
Korento | Payroll and HR Services | Youforce HR & payroll services | HR Services | EU/EEA |
Visma YouServe | Payroll and HR Services | Youforce and Xxxxx.xxx HR & payroll dienstverlening | HR Services | EU/EEA |
Een actuele lijst met subverwerkers is beschikbaar in het Visma Trust Centre en raadpleegbaar via: xxxxx://xxx.xxxxx.xxx/xxxxx-xxxxxx/xxxxxxx-xxxxxx/ Voor een actueel overzicht inclusief salarisdienstverleners is beschikbaar op xxxxx://xxx.xxxxxxxxx.xx/xxxxx.
Appendix C – Xxxxxxxx passende technische en organisatorische maatregelen
De informatiebeveiliging vindt plaats volgens algemeen erkende standaarden. De toereikendheid van de informatiebeveiliging blijkt uit periodieke interne- en externe toetsing zoals certificering voor ISO 27001, het Data Pro Certificaat, pentesten en ISAE3402 rapportages.
Het ISO 27001 certificaat (inclusief het Statement of Applicabillity).en ISAE3402 rapportages zijn op verzoek of via de website (xxxxx://xxx.xxxxxxxxx.xx/xxxx-xxx/xxxxxx-xxxxxxx-xxxxxxxx/xxxxxxxx/) beschikbaar.
Meer informatie over de Data Pro Certificering is ook via de website beschikbaar (xxxxx://xxx.xxxxxxxxx.xx/xxxx-xxx/xxxxxx-xxxxxxx-xxxxxxxx/xxxxxxx/).