VERWERKERS- OVEREENKOMST
VERWERKERS- OVEREENKOMST
LUCRASOFT SOLUTIONS B.V.
Bestaande uit:
Deel 1. Data Pro Statement
Deel 2. Standaardclausules voor verwerkingen
Versie 2024-01
DEEL 1: DATA PRO STATEMENT
Dit Data Pro Statement vormt samen met de Standaardclausules voor verwerkingen de verwerkersovereenkomst voor het product of de dienst van het bedrijf dat dit Data Pro Statement heeft opgesteld.
ALGEMENE INFORMATIE
1 Dit Data Pro Statement is opgesteld door:
Lucrasoft Solutions B.V. – Xx Xxxxxxx 0, 0000XX Xxxxxxx Xxx Xxxxxxx, Xxxxxxxxx
Voor vragen over dit Data Pro Statement of dataprotectie kan contact opgenomen worden met: xxxxxxxxx@xxxxxxxxx.xx, x00 00 0000000
2 Dit Data Pro Statement geldt vanaf 12-03-2024
De in dit Data Pro Statement omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij houden u op de hoogte van nieuwe versies via onze normale kanalen.
3 Dit Data Pro Statement is van toepassing op de volgende producten en diensten van data processor:
Lucrasoft Solutions ontwikkelt Windows software applicaties en geïntegreerde app en web oplossingen voor het managen en beheren van operationele bedrijfsprocessen.
4 Omschrijving product/dienst
Lucrasoft Solutions biedt de volgende applicaties en geïntegreerde oplossingen:
A. KEPOľ Sortwaíc – Scí:cí Editio⭲ (SE)
B. KEPOľ Sortwaíc – Clo"d Editio⭲ (CE)
C. KEPOľ C"stomcí Poítal (KCP)
K. KEPOľ roí Mobilc (KIM)
E. KEPOľ Stackcí ľcími⭲al (KSľ)
I. KEPOľ Kíi:cí Kiosk (KKK)
G. KEPOľ Sortwaíc H"b
H. SYNKA
5 Beoogd gebruik
A. DEPOT Software - Server Edition (SE)
Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Data voor het managen van operationele bedrijfsprocessen.
Data is opgeslagen in een Microsoft SQL Server database. De oplossing wordt opgeslagen en onderhouden in het server park van de klant en er is geen externe communicatie.
De DEPOT Software API kan order data communiceren met diverse externe client applicaties die later in dit document worden omschreven.
Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.
Voor ondersteuningsdoeleinden worden kopieën van databases soms opgeslagen op de server van Lucrasoft Solutions B.V. Voor opslag en management van een database kopie, kan Lucrasoft diensten gebruiken van de sub-processor Lucrasoft Systems B.V. (zie artikel 9 voor privacy statement)
B. DEPOT Software - Cloud Edition (CE)
Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Data voor het managen van operationele bedrijfsprocessen.
Data is opgeslagen in een Microsoft Azure SQL Server database en BLOB Storage in de Azure Cloud. Data exchange tussen clients vindt plaats over het internet. De DEPOT Software API wordt gehost op een Lucrasoft Azure Server en kan order data communiceren met diverse externe client applicaties die later in dit document worden omschreven.
Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.
Voor dit product gebruikt Lucrasoft Solutions B.V. diensten van sub-processor Microsoft Azure. (zie artikel 9 voor privacy statement)
C. DEPOT Customer Portal (DCP)
Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: De oplossing is een online webportal. Het is gelinkt aan DEPOT Software (A, B) door middel van de DEPOT Software API. Order data wordt uitgewisseld.
Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.
Lucrasoft Solutions BV maakt voor dit product, soms gebruik van de diensten van de sub- processor Lucrasoft Digital BV. (zie artikel 9 voor privacy statement)
D. DEPOT for Mobile (DFM)
Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: De oplossing is een Android App. Het is gelinkt aan DEPOT Software (A, B) door middel van de DEPOT Software API. Order data, tijd registratie data en foto’s worden uitgewisseld.
Het product slaat lokaal snapshots op van orders, foto’s en tijdregistratie voor herstel bij het na het per abuis crashen van de app, totdat een order succesvol is geupload.
Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.
E. DEPOT Stacker Terminal (DST)
Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Een op WPF gebaseerde manier om te communiceren. Het is gelinkt aan DEPOT Software (A, B) met een directe verbinding op het lokale netwerk van de klant. Order data wordt uitgewisseld.
Het product slaat lokaal data op van orders voor herstel bij het na het per abuis crashen
van de app, totdat een order succesvol is geupload.
Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.
F. DEPOT Driver Kiosk (DDK)
Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: De oplossing is een Android App. Het is gelinkt aan DEPOT Software (A, B) door middel van de DEPOT Software API. Order data wordt uitgewisseld
Er wordt geen data lokaal opgeslagen.
Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.
G. DEPOT Software Hub
De DEPOT Software Hub is een online connection broker waarvan de instantie draait op de Lucrasoft Solutions B.V. Azure Cloud ten behoeve van de DEPOT Software API. Het publiceert API functies van de DEPOT Software instanties (A, B) op een veilige manier aan client- applicaties. Er wordt geen data opgeslagen.
Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.
Voor dit product gebruikt Lucrasoft Solutions B.V. diensten van sub-processor Microsoft Azure. (zie artikel 9 voor privacy statement)
H. SYNDA
SYNDA verwerkt point-to-point EDI bestanden. Order data wordt maximaal 7 dagen lokaal opgeslagen voor audits.
Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken. Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.
Voor dit product gebruikt Lucrasoft Solutions B.V. diensten van sub-processor Microsoft
Azure. (zie artikel 9 voor privacy statement)
Lucrasoft Solutions BV maakt voor dit product, soms gebruik van de diensten van de sub- processor Lucrasoft Digital BV. (zie artikel 9 voor privacy statement)
6 Data processor heeft bij het ontwerpen van het product/de dienst privacy by design op de volgende wijze toegepast:
- Algemeen
o De inloggegevens van individuen worden versleuteld opgeslagen.
- Windows-toepassingen
o De Windows-toepassingen hebben een solide authenticatiestructuur met rollen en rechten om de privacy van gegevens te waarborgen.
- Webtoepassingen
o Al onze weboplossingen worden standaard geleverd met een SSL-certificaat.
o Wij gebruiken de verzamelde gegevens en het bezoekersvolgen niet en zullen de gegevens alleen op verzoek van de klant bekijken, bijvoorbeeld wanneer dit noodzakelijk is om een ondersteuningsvraag of een storing op te lossen.
- SYNDA-specifiek
o Wij verzamelen geen informatie die gebruikt kan worden om individuen te identificeren. Na succesvolle overdracht worden de gegevens na 7 dagen verwijderd. Bij mislukte overdracht worden de gegevens na 30 dagen verwijderd. Verder bewaart Synda geen gegevens die persoonlijke details bevatten.
7 Data processor gebruikt de Data Pro Standaardclausules voor verwerkingen welke verderop in dit document te vinden zijn.
8 Data processor verwerkt de persoonsgegevens van zijn opdrachtgevers binnen de EU/EER en ten aanzien van een fall back scenario ook in de US.
9 Data processor maakt gebruik van de volgende sub-processors:
Sub-processor | Binnen de EU/EER | Privacy statement |
Microsoft Azure | Ja | |
Lucrasoft Digital BV | Ja | |
Lucrasoft Systems BV | Ja |
10 Data processor ondersteunt opdrachtgever op de volgende manier bij verzoeken van betrokkenen:
Inzage-, correctie- of verwijderverzoeken zullen worden uitgevoerd nadat de identiteit van de betrokken kan worden geverifieerd aan de hand van een geldig legitimatiebewijs. Het verzoek kan gestuurd worden naar xxxx@xxxxxxxxxxxxx.xxx. Na ontvangst van het verzoek, zullen wij deze binnen vijf (5) werkdagen verwerken en bevestigen/opleveren.
11 Beëindiging van de overeenkomst:
Na beëindiging van de overeenkomst met een opdrachtgever verwijdert data processor de persoonsgegevens die hij voor opdrachtgever verwerkt in principe binnen 3 maanden (of op uitdrukkelijk verzoek eerder) op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible).
Retentie in backups zorgt ervoor dat na 3 maanden de data daadwerkelijk verwijderd is. Omdat het hier een geautomatiseerd proces betreft is handmatig of eerder niet mogelijk.
BEVEILIGINGSBELEID
12 Data processor heeft de volgende beveiligingsmaatregelen genomen ter beveiliging van zijn product of dienst:
A. De datacenters (Databarn Rivium & Databarn Amsterdam), waar servers van Lucrasoft ICT Groep geplaatst zijn, zijn voorzien van een camera beveiligingssysteem en bezoekers registratie en zijn ISO:27001:2013 gecertificeerd.
B. Toegang tot de (database)servers is alleen mogelijk vanuit Lucrasoft vertrouwde netwerklocaties.
C. Er zijn procedures opgesteld waardoor alleen geautoriseerd personeel heeft toegang tot de persoonsgegevens. Met een geheimhoudingsverklaring wordt dit ook na uitdiensttreding geborgd.
D. Onze web- en databaseservers worden beveiligd door firewall met het least priviliged principe. Applicaties hebben een eigen database per applicatie. Iedere applicatie heeft uitsluitend toegang tot zijn database.
E. Alle data binnen diensten van Lucrasoft zal zo veilig mogelijk worden opgeslagen. Waar, in rust, encryptie mogelijk is zal dit worden toegepast.
F. Alle data zal met de hoogst mogelijke encryptie vorm die ondersteund wordt verstuurd worden.
G. Onze webservers worden maandelijks gepatched naar de laatste Windows updates.
H. Alle mobiele data dragers (denk aan oa laptops, USB-sticks en portable HD’s) van Lucrasoft Solutions B.V. worden versleuteld.
DATALEKPROTOCOL
13 In geval er toch iets mis gaat, hanteert data processor het volgende datalekprotocol om ervoor te zorgen dat opdrachtgever op de hoogte is van incidenten:
De Functionaris gegevens bescherming (of DPO) zal ingelicht worden m.b.t. het mogelijke datalek. Hiervoor is een interne procedure. Hij zal een team samenstellen om de oorzaak, impact en getroffen klanten te analyseren. Al naar gelang de uitkomst hiervan zullen klanten, binnen 24 uur, op de hoogte gesteld worden door een email naar de technisch contactpersoon.
Lucrasoft Solutions B.V. levert zo veel mogelijk relevante gegevens aan over:
A. Aard van de inbreuk: waaronder omschrijving van het incident, aard persoonsgegevens c.q. categorieën van betrokken data subjects, schatting van aantal betrokken data subjects en mogelijk betrokken databases, indicatie wanneer incident heeft plaatsgevonden;
B. Reeds genomen maatregelen door Lucrasoft Solutions B.V. om de inbreuk te stoppen;
C. Te nemen maatregelen door de controller dan wel betrokken data subjects (wat kunnen betrokken data subjects zelf doen, bijvoorbeeld “houd mail in de gaten, wijzig passwords”
D. Te nemen maatregelen door Lucrasoft Solutions B.V. om de inbreuk voortaan te voorkomen
Meldingen worden indien mogelijk binnen 24 uur gedaan aan opdrachtgevers. Lucrasoft Solutions
B.V. is zelf geen eigenaar van de data en kan zelf geen meldingen doen aan AP of Data subjects. De data processor zal de opdrachtgever of de controller desgewenst ondersteunen bij het meldproces.
DEEL 2: STANDAARDCLAUSULES VOOR VERWERKINGEN
Versie: April 2021
De Standaardclausules voor verwerkingen zijn opgenomen in hoofdstuk 2 van de NLdigital Voorwaarden 2020 en vormt samen met het Data Pro Statement de verwerkersovereenkomst. Het Data Pro Statement en de NLdigital Voorwaarden 2020 behoren standaard tot de bijlagen van een Overeenkomst.