Verwerkersovereenkomst
Verwerkersovereenkomst
overeengekomen tussen
Klant: | |
KvK registratienummer: | |
Land van vestiging: | |
Contactpersoon van Klant voor algemene verzoeken over de overeenkomst (naam, functie, contactgegevens): | |
Contactpersoon van Klant voor het melden van onrechtmatige verwerking(en) van persoonsgegevens (naam, functie, contactgegevens): | |
Leverancier: | Peple B.V. (hierna: “Peple”) |
KvK registratienummer: | 91922615 |
Land van vestiging: | Nederland |
Contactpersoon van Xxxxx voor algemene verzoeken over de overeenkomst (naam, functie, contactgegevens): | |
Contactpersoon van Xxxxxxxxx het melden van onrechtmatige verwerking(en) van persoonsgegevens (naam, functie, contactgegevens): |
Klant en Peple zullen hierna gezamenlijk worden aangeduid als de “Partijen” en individueel als de “Partij”.
Artikel 1 Inleiding
1.1 Beide Partijen bevestigen dat de ondergetekenden gevolmachtigd zijn om deze overeenkomst (“Overeenkomst”) namens Partijen aan te gaan. Deze Overeenkomst is van toepassing op Verwerkingen (zoals hieronder gedefinieerd) van Persoonsgegevens (zoals hieronder gedefinieerd) door Xxxxx onder de volgende dienstenovereenkomsten (“Dienstenovereenkomsten”) tussen de Partijen:
▪ Overeenkomst voor het verrichten van e-HRM diensten door Peple aan Klant
1.2 Indien Klant de in bovenstaande tabel genoemde contactpersoon (-personen) wijzigt, moet Peple daarvan schriftelijk in kennis worden gesteld.
Artikel 2 Definities
2.1 De definities Verwerkingsverantwoordelijke, Betrokkene, Persoonsgegevens, Inbreuk in verband met Persoonsgegevens, Verwerking, Verwerker en Gevoelige Gegevens (Bijzondere Persoonsgegevens categorieën) in deze Overeenkomst hebben dezelfde betekenis zoals gebruikt in EU 2016/679 Algemene Verordening Gegevensbescherming (de ‘AVG’).
Artikel 3 Toepasselijkheid
3.1. De Overeenkomst regelt de Verwerking van Persoonsgegevens door Peple namens Klant, en schetst hoe Xxxxx zal bijdragen aan het waarborgen van de privacy namens Klant en zijn geregistreerde Xxxxxxxxxxx, door middel van technische en organisatorische maatregelen in overeenstemming met de toepasselijke privacywetgeving, waaronder de AVG.
3.2 Partijen erkennen dat met betrekking tot de Verwerking van Persoonsgegevens Klant de Verwerkingsverantwoordelijke is, behalve wanneer Klant optreedt als Verwerker van de Persoonsgegevens. Peple kan bijgevolg worden aangemerkt als Verwerker of als Subverwerker.
3.3. Het doel van de Verwerking van Persoonsgegevens door Peple namens Klant is de uitvoering van de Dienstenovereenkomst(en) en deze Overeenkomst.
3.4. Deze Overeenkomst heeft voorrang op tegenstrijdige bepalingen met betrekking tot de Verwerking van Persoonsgegevens in de Dienstenovereenkomst of in andere eerdere overeenkomsten of schriftelijke communicatie tussen de Partijen. Deze Overeenkomst is geldig voor de duur zoals overeengekomen in Appendix A.
Artikel 4 Rechten en plichten van Peple
4.1. Peple zal Persoonsgegevens slechts Verwerken namens en in overeenstemming met de schriftelijke instructies van Klant. Door het aangaan van deze Overeenkomst draagt Klant Peple op om Persoonsgegevens op de volgende wijze te verwerken; i) uitsluitend in overeenstemming met de toepasselijke wetgeving, ii) om te voldoen aan alle verplichtingen volgens de Dienstenovereenkomst, iii) zoals nader gespecificeerd via het gewone gebruik door Klant van de diensten van Peple en iv) zoals gespecificeerd in deze Overeenkomst.
4.2. Xxxxx heeft geen reden om aan te nemen dat wetgeving die op hem van toepassing is, Peple verhindert om de hierboven genoemde instructies uit te voeren. Peple zal, zodra hij daarvan op de hoogte is, Klant in kennis stellen van instructies of andere Verwerkingsactiviteiten door Klant die naar het oordeel van Peple in strijd zijn met de toepasselijke privacywetgeving.
4.3. De categorieën van Betrokkenen en Persoonsgegevens die op grond van deze Overeenkomst aan Verwerking worden onderworpen, zijn vastgelegd in Bijlage A.
4.4. Peple zal de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens waarborgen overeenkomstig de op Peple van toepassing zijnde privacywetgeving. Peple zal systematische, organisatorische en technische maatregelen treffen om een passend
beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging in verhouding tot het risico dat de Verwerking vertegenwoordigt, en de aard van de te beschermen Persoonsgegevens.
4.5. Peple zal Klant met passende technische en organisatorische maatregelen bijstaan, voor zover mogelijk en rekening houdend met de aard van de Verwerking en de informatie waarover Peple beschikt, bij het nakomen van de verplichtingen van Klant op grond van de toepasselijke privacywetgeving met betrekking tot het verzoek van Xxxxxxxxxxx, en de algemene naleving van de privacywetgeving op grond van de AVG artikel 32 t/m 36.
4.6. Indien Klant informatie of bijstand nodig heeft met betrekking tot beveiligingsmaatregelen, documentatie of andere vormen van informatie over de wijze waarop Peple Persoonsgegevens verwerkt, en dergelijke verzoeken verder gaan dan de standaardinformatie die Peple verstrekt om als Verwerker te voldoen aan de toepasselijke privacywetgeving, kan Peple Klant voor dit verzoek om aanvullende diensten redelijke kosten in rekening brengen.
4.7. Peple en zijn personeel dragen zorg voor geheimhouding met betrekking tot de Persoonsgegevens die onderwerp zijn van Verwerking in overeenstemming met de Overeenkomst. Deze bepaling is ook van toepassing na beëindiging van de Overeenkomst.
4.8. Peple zal, door Klant zonder onnodige vertraging in kennis te stellen, Klant in staat stellen te voldoen aan de wettelijke vereisten inzake kennisgeving aan Autoriteit Persoonsgegevens of Betrokkenen over privacy-incidenten.
Voorts zal Peple, voor zover dit passend en rechtmatig is, Klant in kennis stellen van;
i) van een Betrokkene ontvangen verzoeken om verstrekking van Persoonsgegevens,
ii) verzoeken tot openbaarmaking van Persoonsgegevens door overheidsinstanties, zoals maar niet beperkt tot, de politie.
4.9. Xxxxx zal niet rechtstreeks reageren op verzoeken van Xxxxxxxxxxx, tenzij hij daartoe schriftelijk is gemachtigd door Klant. Peple zal geen aan deze Overeenkomst verbonden informatie verstrekken aan overheidsinstanties, zoals de politie, waaronder Persoonsgegevens, tenzij daartoe verplicht door de wet, zoals via een gerechtelijk bevel of een soortgelijk bevel.
4.10. Peple heeft geen zeggenschap of en hoe Klant gebruik maakt van integraties van derden via de API (of vergelijkbaar) van Peple, en Peple aanvaardt in verband dus geen aansprakelijkheid. Klant is als enige verantwoordelijk voor integraties van derden.
4.11. Peple kan Persoonsgegevens over gebruikers en het gebruik van de dienst door de Klant verwerken wanneer dit noodzakelijk is om feedback te verkrijgen en de dienst te verbeteren. Voor het registreren van tickets en het opvragen van feedback verzamelen wij de volgende gegevens: Klantnaam, Voor- & achternaam, e-mailadres, mobiel telefoonnummer, IP adres, functie, UserID, eventuele opmerkingen in feedback veld. Klant verleent Peple het recht om geaggregeerde gegevens over systeemactiviteiten in verband met uw gebruik van de Diensten te gebruiken en te analyseren met het oog op optimalisering, verbetering of uitbreiden van de wijze waarop wij onze Diensten verlenen en om ons in staat te stellen nieuwe functies en functionaliteit in verband met de Diensten te creëren. Peple wordt beschouwd als de Verwerkingsverantwoordelijke voor dergelijke verwerking en de verwerking is derhalve niet onderworpen aan deze Overeenkomst.
4.12. Bij het gebruik van de dienst zal Klant gegevens toevoegen aan de Software ("Klantgegevens"). Klant erkent en heeft er geen bezwaar tegen dat Peple de Klantgegevens in een geaggregeerd en geanonimiseerd formaat gebruikt voor het verbeteren van de aan klanten geleverde diensten, onderzoek, opleiding, educatieve en/of statistische doeleinden.
Artikel 5 Rechten en plichten van Klant
5.1 Klant bevestigt door de ondertekening van deze Overeenkomst dat:
● zij wettelijk bevoegd is tot het Verwerken en bekendmaken van de Persoonsgegevens in kwestie aan Peple (met inbegrip van door Peple ingeschakelde subverwerkers).
● zij verantwoordelijkheid draagt voor de accuraatheid, integriteit, inhoud, betrouwbaarheid en rechtmatigheid van de Verwerkte Persoonsgegevens zoals bekendgemaakt aan Peple.
● zij heeft voldaan aan haar verplichtingen om relevante informatie te verstrekken aan Xxxxxxxxxxx en toezichthoudende autoriteiten omtrent de Verwerkingen van Persoonsgegevens conform dwingend gegevensbeschermingswetgeving.
● zij zal, bij het ontvangen en gebruik van de diensten van Peple onder de Dienstenovereenkomsten, geen Gevoelige Gegevens aan Peple bekendmaken/verstrekken, tenzij expliciet overeengekomen in Appendix A bij deze Overeenkomst.
Artikel 6 Inschakelen derden voor Peple en data-overdracht
6.1 Als onderdeel van het leveren van diensten aan Klant conform de Dienstenovereenkomsten en deze Overeenkomst, zal Peple derden (subverwerkers) inschakelen bij de uitvoering van deze Overeenkomst en Klant geeft algemene toestemming voor het mogen inschakelen van voornoemde subverwerkers door Xxxxx. Deze subverwerkers kunnen bedrijven binnen de Visma groep zijn of externe derde partijen. Alle subverwerkers met toegang tot Persoonsgegevens zijn opgenomen in Appendix B. Xxxxx ziet erop toe dat subverwerkers akkoord gaan met het accepteren van de verantwoordelijkheden en daarmee corresponderende verplichtingen zoals neergelegd in deze Overeenkomst.
6.2 Een overzicht van de huidige subverwerkers met toegang tot Persoonsgegevens is beschikbaar in het Visma Trust Centre en raadpleegbaar via: xxxxx://xxx.xxxxx.xxx/xxxxx-xxxxxx/xxxxxxx-xxxxxx/. Peple kan andere in de EU/EER gevestigde bedrijven van de Visma-groep als subverwerker inschakelen zonder dat het Visma-bedrijf is opgenomen in de lijst van Trust Center en zonder voorafgaande goedkeuring of kennisgeving aan de verwerkingsverantwoordelijke. Dit gebeurt gewoonlijk ten behoeve van o.a. ontwikkeling en ondersteuningsactiviteiten. Klant mag gedetailleerdere informatie over subverwerkers bij Peple opvragen.
6.3 Indien de subverwerkers buiten de EU of de EER zijn gevestigd, is Peple gerechtigd tot doorgifte van persoonsgegevens buiten de EU/EER, mits deze overdracht voldoet aan de relevante bepalingen van hoofdstuk V van de AVG (bijvoorbeeld dat de overdracht is gebaseerd op een adequaatheidsbesluit (artikel 45 AVG) of de overdracht is onderworpen aan passende waarborgen (artikel 46 AVG)).
6.4 Klant wordt vooraf in kennis gesteld van elke wijziging van subverwerkers die Persoonsgegevens verwerken. Indien Klant bezwaar maakt tegen een nieuwe subverwerker binnen
30 dagen na de kennisgeving, beoordelen Peple en Klant de documentatie over de beveiligingsmaatregelen van de subverwerker, teneinde de naleving van de toepasselijke privacywetgeving te waarborgen. Indien Klant blijvend bezwaren heeft en daarvoor redelijke gronden heeft, kan Klant zich niet tegen het gebruik van een dergelijke subverwerker verzetten (met name gezien de aard van online standaardsoftware), maar kan Klant de Dienstenovereenkomst opzeggen.
Artikel 7 Beveiliging
7.1. Peple verbindt zich ertoe een hoog niveau van beveiliging te bieden in zijn producten en diensten. Peple voorziet in zijn beveiligingsniveau door middel van organisatorische, technische en fysieke beveiligingsmaatregelen, overeenkomstig de vereisten inzake informatiebeveiligingsmaatregelen zoals uiteengezet in de AVG, artikel 32.
7.2. In de Dienstenovereenkomsten worden de maatregelen of andere beveiligingsmaatregelen vermeld die Peple bij de verwerking van de Persoonsgegevens toepast. Klant is verantwoordelijk voor de passende en adequate beveiliging van de apparatuur en de IT-omgeving die onder zijn verantwoordelijkheid valt.
Artikel 8 Inspectie rechten
8.1 Klant kan maximaal eenmaal per jaar controleren of Peple zich aan deze Overeenkomst houdt. Indien de op Klant van toepassing zijnde wetgeving zulks vereist, kan Klant om frequentere audits verzoeken. Om een audit aan te vragen, dient Klant Peple ten minste vier weken voor de voorgestelde auditdatum een gedetailleerd auditplan voor te leggen, met een beschrijving van de voorgestelde omvang, duur en aanvangsdatum van de audit. Audits zullen altijd worden uitgevoerd door een neutrale derde-auditor naar keuze van Xxxxx.
8.2 Indien de gevraagde reikwijdte van de audit wordt behandeld in een ISAE-, ISO- of vergelijkbaar assurance-rapport dat binnen de voorafgaande twaalf maanden door een gekwalificeerde derde auditor is uitgevoerd, en Peple bevestigt dat er geen bekende materiële wijzigingen zijn in de gecontroleerde maatregelen, stemt Klant ermee in die bevindingen te aanvaarden in plaats van een nieuwe audit aan te vragen van de maatregelen waarop het rapport betrekking heeft.
8.3 In elk geval moeten de audits worden uitgevoerd tijdens de gewone kantooruren in de desbetreffende vestiging, met inachtneming van het beleid van Peple, en mogen zij de bedrijfsactiviteiten van Peple niet op onredelijke wijze hinderen.
8.4 Klant is verantwoordelijk voor alle kosten die voortvloeien uit de door Klant gevraagde controles. Voor verzoeken om bijstand van Xxxxx kunnen kosten in rekening worden gebracht.
Artikel 9 Duur en beëindiging
9.1 Deze Overeenkomst is geldig zolang Peple Persoonsgegevens verwerkt namens Xxxxx in het kader van de Dienstenovereenkomsten of zoals anderszins overeengekomen in Appendix A.
9.2 Deze Overeenkomst wordt automatisch beëindigd bij beëindiging van de Dienstenovereenkomsten. Bij beëindiging van deze Overeenkomst zal Peple Persoonsgegevens die namens Klant zijn verwerkt, wissen of retourneren, in overeenstemming met de toepasselijke clausules in de Dienstenovereenkomsten. Deze verwijdering zal zo spoedig als redelijkerwijs mogelijk is plaatsvinden, tenzij EU- of lokale wetgeving verdere opslag vereist. Tenzij schriftelijk anders overeengekomen, zullen de kosten van dergelijke handelingen gebaseerd zijn op; i) uurtarieven voor de door Xxxxx bestede tijd en ii) de complexiteit van het gevraagde proces.
Artikel 10 Wijzigingen en amendementen
10.1 Wijzigingen aan de Overeenkomst zullen in een nieuwe Appendix bij deze Overeenkomst worden opgenomen en treden in werking nadat beide Partijen deze hebben ondertekend.
10.2 Indien enige bepaling van deze overeenkomst nietig is, laat zulks de overige bepalingen
onverlet. De partijen zullen de nietige bepaling vervangen door een rechtmatige bepaling die het doel van de nietige bepaling weergeeft.
Artikel 11 Aansprakelijkheid
11.1 Ter voorkoming van misverstanden, Partijen komen hierbij overeen en erkennen dat iedere Partij aansprakelijk zal zijn en verantwoordelijk is voor de betaling van administratieve boetes en schadevergoedingen aan Betrokkenen indien deze betalingsplicht aan deze Partij is opgelegd door de relevante autoriteit persoonsgegevens of een bevoegde rechtbank in overeenstemming met toepasselijke wetgeving. Aansprakelijkheidskwesties tussen de Partijen zullen worden beheerst door de relevante bepalingen aangaande aansprakelijkheid zoals overeengekomen in de Dienstenovereenkomst.
Artikel 12 Toepasselijk recht en forumkeuze
12.1 Deze Overeenkomst wordt beheerst door het toepasselijke recht van de Dienstenovereenkomsten. De in de Dienstenovereenkomsten genoemde bevoegde rechter is mutatis mutandis bevoegd kennis te nemen van geschillen rondom deze Overeenkomst.
Deze Overeenkomst is opgemaakt in tweevoud, waarbij partijen ieder één kopie behouden.
Gegevens Klant:
Handtekening: | |
Door: | |
Plaats en datum: |
Gegevens Peple:
Handtekening: | |
Door: | Xxxxx Xxxxxxxxxxx, Managing Director |
Plaats en datum: | Amersfoort, 05-09-2024 |
Appendix A – Betrokkenen, Soorten persoonsgegevens, Xxxx, Xxxx, Duur
A.1 Categorieën van Betrokkenen
Afhankelijk van de door Klant gebruikte diensten, kunnen de Persoonsgegevens van de volgende categorieën van Betrokkenen worden Verwerkt:
a. werknemers / zelfstandigen / vrijwilligers (medewerkers);
b. oud-medewerkers;
c. sollicitanten;
d. stagiairs.
A.2 Categorieën van Persoonsgegevens
Bij het uitvoeren van de werkzaamheden, zoals aangeduid in de Dienstenovereenkomst, Verwerkt Peple Persoonsgegevens. Afhankelijk van de door Klant gebruikte diensten kunnen de volgende (soort) Persoonsgegevens worden Verwerkt:
Soort Persoonsgegevens(*) | Soort Persoonsgegevens(*) |
Naam-, adres- en woonplaatsgegevens (N) | Opleidingsgegevens (N) |
Burgerservicenummer (H) | Bezettings- en formatie informatie (N) |
Contactgegevens (o.a. telefoonnummers en e-mailadressen) (N) | Belonings-, uitkerings- en/of pensioengegevens en mutaties (N) |
Kopieën van legitimatiebewijzen (H) | Verlofgegevens (N) |
Toegangs- of identificatiegegevens (H) | Verzuimgegevens (H) |
Bankrekeningnr. en financiële gegevens (N) | Functioneringsgegevens (N) |
Aanstellings-/contractgegevens (N) | Uitstroommutaties / uitdienstdata (N) |
Arbeidsverleden (N) | |
andere persoonsgegevens, namelijk: | |
(*) De aanduiding (N) of (H) staat voor de risicoclassificering Normaal (N) of Hoog (H).
A.3 Bijzondere categorieën van Persoonsgegevens (Gevoelige Persoonsgegevens) Indien Peple dergelijke gegevens namens Klant mag verwerken, moeten de betrokken soorten Gevoelige Persoonsgegevens hieronder door Klant worden gespecificeerd.
De verantwoordelijke voor de verwerking is tevens verantwoordelijk voor het informeren van Peple over, en het hieronder specificeren van, eventuele aanvullende soorten Gevoelige Persoonsgegevens overeenkomstig de toepasselijke privacywetgeving.
Peple zal, ten behoeve van Klant, informatie verwerken over: | Ja | Nee |
ras of etnische afstamming, of politieke, filosofische of religieuze overtuigingen | X | |
dat een persoon verdacht wordt van een strafbaar feit, een strafbaar feit ten laste wordt gelegd en/of voor een strafbaar feit is veroordeeld | X | |
gezondheidsinformatie | X | |
seksuele geaardheid | X | |
lidmaatschap vakbond | X | |
genetische of biometrische gegevens | X |
A.4 Categorieën van medewerkers die toegang hebben tot Persoonsgegevens: Afhankelijk van de door Klant gebruikte diensten kunnen de volgende (categorieën) medewerkers toegang hebben tot de Persoonsgegevens:
a. volledige toegang vanwege beheer platform en applicatieomgeving door system engineers, database administrators, application management support engineers;
b. alleen-lezen toegang vanwege oplossen van applicatie- en/of klantspecifieke incidenten door application developers en medewerkers service center;
c. toegang tot klantspecifieke gegevens bij BPO-services door HR- en payroll administrators;
d. toegang tot klantspecifieke gegevens op projectbasis conform door Klant verleende autorisatie door implementatie-, product- en/of conversiespecialisten.
A.5 Doel van de Verwerking
Het doel van de verwerking van Persoonsgegevens door Peple ten behoeve van Klant is: Het leveren van Diensten in overeenstemming met de Dienstenovereenkomst.
A.6 Aard van de Verwerking
De Verwerking van Persoonsgegevens door Peple ten behoeve van Klant heeft voornamelijk betrekking op: Het verrichten van e-HRM dienstverlening.
A.7 Duur van de Verwerking:
De duur van de Verwerking van Persoonsgegevens is zolang de Dienstenovereenkomst van toepassing is.
Appendix B – Overzicht huidige derden (‘subverwerkers’)
Peple kan andere in de EU/EER gevestigde bedrijven van de Visma-groep als subverwerker inschakelen zonder dat het Visma-bedrijf hierboven is vermeld en zonder voorafgaande goedkeuring of kennisgeving aan Klant. Dit gebeurt gewoonlijk met het oog op ontwikkeling, ondersteuning, activiteiten enz.
Huidige subverwerkers van Xxxxx met toegang tot de Persoonsgegevens van Klant ten tijde van het ondertekenen van deze Overeenkomst zijn:
Naam | Beschrijving | Gebruikt in relatie tot | Categorie | Processing of Storage locatie |
IntraDocs products | ||||
CM | Supplier SMS-gateway for two-factor authentication | SMS authentication | Infrastructure | EU/EEA |
Tripolis | E-mail service Flowmailer | Intraoffice Digital Signing | Software | EU/EEA |
Xxxxx.xxx HRM NL en Payroll NL | ||||
Amazon Web Services | Supplier of hosting and storage .NET applicaties | Hosting en storage Visma .Net systems | Infrastructure | EU/EEA |
Datapas | Planning solution education | Visma .net HR & payroll services | Software | EU/EEA |
Visma ITC | Hosting and storage .Net applications | Hosting en storage Visma .Net systems | Infrastructure | EU/EEA |
Orca Security Ltd. | Identify cloud security issues for the data hosted in the public cloud | Visma .net HR & payroll Security | Software security | EU/EEA |
Generic Services | ||||
Xxxxx Xxxx | Provider of YouForce Education | HRM en Payroll | Software | EU/EEA |
Visma Appical | Provider of Appical | Onboarding platform | Software | EU/EEA |
Visma Competence Centers | Provider of internal Visma services | IT services | IT Services | EU/EEA |
Visma Connect | Integrator for several interfaces | Interfaces for Talentsoft and Nétive | Software | EU/EEA |
Visma Dialog | Provider of Dialog | Performance Management | Software | EU/EEA |
Visma Easycruit | Provider of Easycruit | Recruitment | Software | EU/EEA |
Visma Plusport | Provider of Plusport | Cloud Learning and Performance Management Systems | Software | EU/EEA |
Visma Proactive | Provider of SpendCloud | Business expences | Software | EU/EEA |
Visma Software | Provider of Visma .net Financials | Financial management | Software | EU/EEA |
Visma Verzuim | Provider of Visma DotWeb | Medical leave management | Software | EU/EEA |
Visma YouServe | Provider of Robotics services | Robotics | Software & Services | EU/EEA |
HR & Payroll Services | ||||
Confina | Advice and administration office | Youforce and Xxxxx.xxx HR & payroll services | HR Services | EU/EEA |
Govers | Payroll consultancy education | Youforce and Xxxxx.xxx HR & payroll services | HR Services | EU/EEA |
Visma YouServe | Payroll and HR Services | Youforce and Xxxxx.xxx HR & payroll services | HR Services | EU/EEA |
Een actuele lijst met subverwerkers is beschikbaar in het Visma Trust Centre en raadpleegbaar via: xxxxx://xxx.xxxxx.xxx/xxxxx-xxxxxx/xxxxxxx-xxxxxx/ Voor een actueel overzicht inclusief salarisdienstverleners is beschikbaar op xxxxx://xxx.xxxxx.xx/xxxxxxx
Appendix C – Xxxxxxxx passende technische en organisatorische maatregelen
De informatiebeveiliging vindt plaats volgens algemeen erkende standaarden. De toereikendheid van de informatiebeveiliging blijkt uit periodieke interne- en externe toetsing zoals certificering voor ISO 27001, pentesten en ISAE3402 rapportages.
Het ISO 27001 certificaat (inclusief het Statement of Applicabillity).en ISAE3402 type II assurance-rapportages zijn via de website xxxxx://xxx.xxxxx.xxx/xxxxx-xxxxxx/xxxxxxx/xxxxx-xxxx/ beschikbaar.