Verwerkersovereenkomst
Verwerkersovereenkomst
Overeengekomen tussen
Verwerkingsverantwoordelijke:
KvK registratienummer:
Land van Vestiging
Contactpersoon van Verwerkingsverantwoordelijke voor algemene verzoeken over de overeenkomst (naam, functie, contactgegevens):
Contactpersoon van Verwerkingsverantwoordelijke voor het melden van onrechtmatige verwerking(en) van persoonsgegevens (naam, functie, contactgegevens):
Verwerker:
KvK registratienummer:
Land van vestiging:
Contactpersoon van Verwerker voor algemene verzoeken over de overeenkomst (naam, functie, contactgegevens):
Contactpersoon van Verwerker voor het melden van onrechtmatige verwerking(en) van persoonsgegevens (naam, functie, contactgegevens):
Visma Raet B.V.
32097068
Nederland
Meldingen kunnen gericht worden aan de desbetreffende servicedesk.
Hierna respectievelijk te noemen “Verwerkingsverantwoordelijke”, “Verwerker”, of “Partij” en gezamenlijk als de “Partijen”.
Artikel 1 Inleiding
Beide Partijen bevestigen dat de ondergetekenden gevolmachtigd zijn om deze overeenkomst (“Overeenkomst”) namens Partijen aan te gaan. Deze Overeenkomst is van toepassing op Verwerkingen (zoals hieronder gedefinieerd) van Persoonsgegevens (zoals hieronder gedefinieerd) door Verwerker (zoals hieronder gedefinieerd) onder de volgende dienstenovereenkomsten (“Dienstenovereenkomsten”) tussen de Partijen:
▪ Overeenkomst voor het verrichten van e-HRM diensten door Verwerker aan Verwerkingsverantwoordelijke
Artikel 2 Definities
De definities Verwerkingsverantwoordelijke, Betrokkene, Persoonsgegevens, Inbreuk in verband met Persoonsgegevens, Verwerking, Verwerker en Gevoelige Gegevens1 (Bijzondere Persoonsgegevenscategorieën) in deze Overeenkomst hebben dezelfde betekenis zoals gebruikt in de Algemene Verordening Gegevensbescherming2 (de ‘AVG’). De AVG is van toepassing per 25 mei 2018.
Artikel 3 Verwerkingen door Verwerker
Verwerker Verwerkt Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke. Verwerker Verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke – en onder verantwoordelijkheid van Verwerkingsverantwoordelijke – op de wijze zoals vastgelegd in de Dienstenovereenkomsten. Verwerker bepaalt niet (i) het doel en de middelen voor de Verwerking van Persoonsgegevens en (ii) het gebruik van de Persoonsgegevens.
Verwerking door Verwerker van Persoonsgegevens zal voldoen aan alle toepasselijke wet- en regelgeving ter zake van de bescherming van Persoonsgegevens in verband met het Verwerken van Persoonsgegevens.
Het doel van de Verwerkingen van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke is het nakomen van haar verplichtingen onder de Dienstenovereenkomsten en Overeenkomst. Verwerker zal enkel Persoonsgegevens Verwerken voor de duur van de Dienstenovereenkomsten.
De categorieën van Betrokkenen die voorwerp zijn van de Verwerkingen van Persoonsgegevens onder deze Overeenkomst staan vermeld in Appendix A.
Deze Overeenkomst prevaleert boven conflicterende bepalingen in de Dienstenovereenkomsten of vroegere (schriftelijke) overeenkomsten tussen Partijen omtrent het Verwerken van Persoonsgegevens.
1 Als bedoeld onder overweging 10 van de considerans van AVG (zoals gedefinieerd in Artikel 2 ‘Definities’).
2 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).
Artikel 4 Verplichtingen van Verwerker
Verwerker heeft geen reden om aan te nemen dat een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot Verwerking verplicht in afwijking van (i) de schriftelijke instructies van Verwerkingsverantwoordelijke (zoals genoemd in Artikel 3 ‘Verwerkingen door Verwerker’) of (ii) verplichtingen omtrent Verwerkingen onder de Dienstenovereenkomsten. Verwerkingsverantwoordelijke mag Verwerker instrueren om alle informatie ter beschikking te stellen die nodig is om de nakoming van de in Artikel 32 van de AVG neergelegde verplichtingen aan te tonen. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een dergelijke instructie inbreuk oplevert op de AVG of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, zal Verwerker ter zake van de Verwerkingen passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder, als dat passend is, de maatregelen zoals genoemd in Artikel 32 lid 1 van de AVG.
Daarnaast zal Verwerker alle overeenkomstig Artikel 32 van de AVG vereiste maatregelen nemen en meer specifiek:
- waarborgen dat de tot het Verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. Deze bepaling blijft ook gelden na het eindigen van deze Overeenkomst;
- rekening houdend met de aard van de Verwerking, Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van Betrokkenen te beantwoorden. Verwerkingsverantwoordelijke compenseert Verwerker voor de door hem in dat verband gemaakte kosten;
- rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie Verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG. Verwerkingsverantwoordelijke compenseert Verwerker voor de door hem in dat verband gemaakte kosten;
- de passende technische en organisatorische maatregelen aantonen op de wijze zoals is opgenomen in Appendix C;
- Verwerkingsverantwoordelijke zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens, in zoverre dat
Verwerkingsverantwoordelijke over afdoende informatie beschikt om de Inbreuk in verband met Persoonsgegevens te melden of aan Betrokkenen mede te delen overeenkomstig toepasselijke Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming;
- voor zover passend en rechtmatig, Verwerkingsverantwoordelijke informeren over
o verzoeken van een Betrokkene op grond van toepasselijke Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming; en
o verzoeken van een overheidsinstantie, zoals de politie, op grond van toepasselijke Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
Wat dat laatste punt betreft, zal Xxxxxxxxx niet reageren op verzoeken van Betrokkenen tenzij Verwerker daartoe gerechtigd is door Verwerkingsverantwoordelijke op basis van schriftelijke instructies van Verwerkingsverantwoordelijke of verplicht is krachtens toepasselijke wetgeving die van toepassing is op Verwerker, in welk laatste geval Verwerker, voor zover toepasselijke wetgeving dit toestaat, Verwerkingsverantwoordelijke zal informeren over deze wettelijke verplichting alvorens hij reageert op het verzoek. Hetzelfde geldt voor verzoeken van overheidsinstanties.
Als Verwerkingsverantwoordelijke informatie of assistentie behoeft omtrent beveiligingsmaatregelen, documentatie, of overige (vormen van) informatie behoeft omtrent de wijze waarop Verwerker Persoonsgegevens Verwerkt, dan mag Verwerker de kosten van haar aanvullende diensten bij Verwerkingsverantwoordelijke in rekening brengen overeenkomstig de tussen Partijen aangegane overeenkomst(en) voor zover zulke verzoeken zien op informatie die Verwerker niet standaard aan Verwerkingsverantwoordelijke hoeft te verstrekken om te voldoen aan de op Verwerker van toepassing zijnde privacy wetgeving.
Verwerker controleert niet of en op welke wijze Verwerkingsverantwoordelijke integraties van derde partijen (‘third party integrations’) gebruikt via Verwerker’s API of vergelijkbare techniek. Dat betekent dat Verwerker in dat verband geen aansprakelijkheid en risico draagt. Verwerkingsverantwoordelijke draagt uitsluitend aansprakelijkheid en risico voor integraties van derde partijen (‘third party integrations’).
Artikel 5 Verplichtingen Verwerkingsverantwoordelijke
Verwerkingsverantwoordelijke bevestigt dat zij ten aanzien van de Verwerkingen van Persoonsgegevens krachtens deze Overeenkomst kwalificeert als 'Verwerkingsverantwoordelijke' en bevestigt met het ondertekenen van deze Overeenkomst dat:
● zij wettelijk bevoegd is tot het Verwerken en bekendmaken van de Persoonsgegevens in kwestie aan Verwerker (met inbegrip van door Verwerker ingeschakelde subverwerkers).
● zij verantwoordelijkheid draagt voor de accuraatheid, integriteit, inhoud, betrouwbaarheid en rechtmatigheid van de Verwerkte Persoonsgegevens zoals bekendgemaakt aan Verwerker.
● zij heeft voldaan aan haar verplichtingen om relevante informatie te verstrekken aan Xxxxxxxxxxx en toezichthoudende autoriteiten omtrent de Verwerkingen van Persoonsgegevens conform dwingend gegevensbeschermingswetgeving.
● zij zal, bij het ontvangen van de diensten van Verwerker onder de Dienstenovereenkomsten, geen Gevoelige Gegevens aan Verwerker bekendmaken/verstrekken, tenzij expliciet overeengekomen in Appendix A bij deze Overeenkomst.
Daarnaast, rekening houdend met de aard, de omvang, de context en het doel van de Verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft Verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de Verwerking in overeenstemming met de AVG wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten voornoemde maatregelen een passend gegevensbeschermingsbeleid dat door Verwerkingsverantwoordelijke wordt uitgevoerd.
Artikel 6 Inschakelen derden voor Verwerker en data-overdracht
Als onderdeel van het leveren van diensten aan Verwerkingsverantwoordelijke conform de Dienstenovereenkomsten en deze Overeenkomst, zal Verwerker derden (subverwerkers) inschakelen bij de uitvoering van deze Overeenkomst en Verwerkingsverantwoordelijke geeft algemene toestemming voor het mogen inschakelen van voornoemde subverwerkers door Xxxxxxxxx. Deze subverwerkers kunnen bedrijven binnen de Visma groep zijn of externe derde partijen. Xxxxxxxxx ziet erop toe dat subverwerkers akkoord gaan met het accepteren van de verantwoordelijkheden en daarmee corresponderende verplichtingen zoals neergelegd in deze Overeenkomst.
Een overzicht van de huidige derden met toegang tot Persoonsgegevens is opgenomen in Appendix B en raadpleegbaar via deze website: xxxxx://xxx.xxxxx.xxx/xxxxx-xxxxxx/xxxxxxxxxxxx/. Verwerkingsverantwoordelijke mag gedetailleerdere informatie over derden bij Verwerker opvragen.
Als subverwerkers buiten de Europese Economische Ruimte (hierna: de EER) zijn gevestigd, zal Verwerker zich houden aan de vereisten van de wetgeving inzake bescherming van Persoonsgegevens. Verwerker zal erop toezien dat overdrachten van Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke naar een land buiten de EER of een internationale organisatie, een land betreft zoals beschreven in artikel 45 van de AVG of onderworpen zijn aan passende veiligheidsmechanismen, zoals beschreven in artikel 46 van de AVG, en dat dergelijke overdrachten en veiligheidsmechanismen worden gedocumenteerd overeenkomstig artikel 30, lid 2 van de AVG. In het geval dat er Persoonsgegevens buiten de EER worden Verwerkt op basis van de EU-model clausules (‘EU Model Clauses’) (zoals bedoeld in artikel 46 lid 2 of 3 AVG), machtigt de Verwerkingsverantwoordelijke om deze namens haar overeen te komen.
Verwerkingsverantwoordelijke zal vooraf worden ingelicht over enige wijzigingen in subverwerkers die Persoonsgegevens Verwerken. Als Verwerkingsverantwoordelijke protesteert tegen een nieuwe subverwerker, zullen Verwerker en Verwerkingsverantwoordelijke de documentatie omtrent de compliance inspanningen van subverwerker beoordelen teneinde te waarborgen dat toepasselijke privacywetgeving wordt nageleefd.
Artikel 7 Geheimhouding
Elke Partij moet deze Overeenkomst en informatie die zij ontvangt over de andere Partij en de ondernemersactiviteiten van die Partij met betrekking tot deze Overeenkomst (‘Vertrouwelijke Informatie’) confidentieel behandelen en niet gebruiken of openbaar maken zonder schriftelijke toestemming van de andere Partij tenzij:
(a) openbaarmaking wettelijk vereist is;
(b) de relevante informatie al publieke openbare informatie is.
Deze bepaling blijft ook na het eindigen van deze Overeenkomst gelden.
Artikel 8 Inspectie rechten
Verwerkingsverantwoordelijke mag één keer per jaar bij Verwerker inspecteren (‘audit’) op het nakomen door Verwerker van deze Overeenkomst. Verwerkingsverantwoordelijke mag om een hogere frequentie van inspecties verzoeken als op Verwerkingsverantwoordelijke van toepassing zijnde wetgeving dat vergt. Verwerkingsverantwoordelijke moet een gedetailleerd inspectieplan (‘audit plan’) ten minste vier weken voorafgaand aan de voorgestelde inspectiedatum aan Verwerker verstrekken teneinde een rechtsgeldig verzoek tot inspectie te kunnen doen. Dat plan moet op zijn minst beschrijven: de beoogde reikwijdte, duur en startdatum van de inspectie. Als de inspectie door een derde partij wordt uitgevoerd, moet hierover, als hoofdregel, wederzijdse overeenstemming zijn bereikt. Echter, als de fysieke omgeving waar de Verwerkingen van Persoonsgegevens plaatsvindt een verzamelgebouw (‘multi tenant’) betreft, of een soortgelijke omgeving, dan verleent Verwerkingsverantwoordelijke Verwerker de bevoegdheid om – uit hoofde van veiligheidsoverwegingen – inspecties te laten uitvoeren door een neutrale derde partij inspecteur (‘third party auditor’) naar keuze van Xxxxxxxxx.
Als de verzochte reikwijdte van de inspectie reeds is geadresseerd in een ISAE, ISO of soortgelijk verzekeringsverslag uitgevoerd door een gekwalificeerde derde partij inspecteur in de voorafgaande twaalf maanden, en Verwerker bevestigt dat er, naar hij weet, geen materiële wijzigingen hebben plaatsgehad in de onderzochte maatregelen, dan gaat Verwerkingsverantwoordelijke akkoord met voornoemde onderzoeksbevindingen in plaats van dat zij om een nieuwe inspectie verzoekt omtrent de maatregelen zoals reeds opgenomen in het rapport.
In elk geval, dienen inspecties te worden uitgevoerd tijdens de reguliere kantoortijden van de betreffende faciliteit, met inachtneming van Verwerker’s beleid (‘policies’) hieromtrent, en mogen deze inspecties niet onredelijk interfereren met Xxxxxxxxx’x ondernemersactiviteiten.
Verwerkingsverantwoordelijke draagt haar eigen kosten die verband houden met de door haar verzochte inspecties (met inachtneming van eventuele afwijkende kostenverdelingsafspraken zoals vastgelegd in de tussen Partijen aangegane overeenkomsten). Kosten die verband houdende met verzochte assistentie vanuit Verwerker komen voor vergoeding in aanmerking overeenkomstig de tussen Partijen aangegane overeenkomst(en) voor zover deze verzoeken boven de standaard dienstverlening van Verwerker en/of Visma groep uitstijgen.
Artikel 9 Duur en beëindiging
Deze Overeenkomst is geldig zolang Verwerker Persoonsgegevens Verwerkt ten behoeve van Verwerkingsverantwoordelijke conform de Dienstenovereenkomsten.
Deze overeenkomst eindigt van rechtswege zodra de Dienstenovereenkomsten eindigen. Op het moment dat deze Overeenkomst eindigt, zal Verwerker ten behoeve van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens verwijderen of retourneren. Tenzij anders overeengekomen, zijn de daarmee gepaard gaande kosten gebaseerd op: i) uurtarieven voor bestede uren van Verwerker en ii) de complexiteit van de gevraagde actie.
Verwerker mag Persoonsgegevens na het eindigen van deze Overeenkomst bewaren, voor zover wettelijk is vereist, met inachtneming van dezelfde technische en organisatorische maatregelen zoals bepaald in deze Overeenkomst.
Artikel 10 Wijzigingen en amendementen
Wijzigingen aan de Overeenkomst zullen in een nieuwe Appendix bij deze Overeenkomst worden opgenomen en treden in werking nadat beide Partijen deze hebben ondertekend.
Als bepalingen in deze overeenkomst niet-afdwingbaar worden, zal dit niet de (werking van de) overige bepalingen van deze Overeenkomst beïnvloeden. Partijen zullen de niet-afdwingbare bepaling vervangen met een bepaling die het dichtst in de buurt komt van het doel van de niet-afdwingbare bepaling.
Artikel 11 Aansprakelijkheid
Ter voorkoming van misverstanden, Partijen komen hierbij overeen en erkennen dat iedere Partij aansprakelijk zal zijn en verantwoordelijk is voor de betaling van administratieve boetes en schadevergoedingen aan Betrokkenen indien deze betalingsplicht aan deze Partij is opgelegd door de relevante autoriteit voor bescherming van persoonsgegevens of een bevoegde rechtbank in overeenstemming met toepasselijke wetgeving. Aansprakelijkheidskwesties tussen de Partijen zullen worden beheerst door de relevante bepalingen aangaande aansprakelijkheid zoals overeengekomen in de Dienstenovereenkomst.
Artikel 12 Toepasselijk recht en forumkeuze
Deze Overeenkomst wordt beheerst door het toepasselijke recht van de Dienstenovereenkomsten. De in de Dienstenovereenkomsten genoemde bevoegde rechter is mutatis mutandis bevoegd kennis te nemen van geschillen rondom deze Overeenkomst.
[TEKENPAGINA VOLGT]
Deze Overeenkomst is opgemaakt in tweevoud, waarbij partijen ieder één kopie behouden.
Gegevens verwerkingsverantwoordelijke:
Handtekening:
Door:
Plaats en datum:
Gegevens verwerker:
Handtekening:
Door:
Plaats en datum:
X.X.X. xxx Xxxx (Finance Director) Amersfoort, 1 oktober 2020
Appendix A – Categorieën van Persoonsgegevens en Betrokkenen
1. Categorieën van Betrokkenen en Persoonsgegevens die voorwerp zijn van Verwerkingen onder deze Overeenkomst
Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten, kunnen de Persoonsgegevens van de volgende categorieën van Betrokkenen worden Verwerkt:
a. werknemers/zelfstandigen/vrijwilligers (medewerkers)
b. oud-medewerkers
Bij het uitvoeren van de werkzaamheden, zoals aangeduid in de Hoofdovereenkomst, Verwerkt Verwerker Persoonsgegevens. Afhankelijk van de door
Verwerkingsverantwoordelijke gebruikte diensten kunnen de volgende (soort) Persoonsgegevens worden Verwerkt:
Soort Persoonsgegevens* | Soort Persoonsgegevens |
Naam-, adres- en woonplaatsgegevens (N) | Opleidingsgegevens (N) |
Burgerservicenummer (H) | Bezettings- en formatie informatie (N) |
Contactgegevens (o.a. telefoonnummers en e-mailadressen) (N) | Belonings-, uitkerings- en/of pensioengegevens en mutaties (N) |
Kopieën van legitimatiebewijzen (H) | Verlofgegevens (N) |
Toegangs- of identificatiegegevens (H) | Verzuimgegevens (H) |
Bankrekeningnr. en financiële gegevens (N) | Functioneringsgegevens (N) |
Aanstellings-/contractgegevens (N) | Uitstroommutaties / uitdienstdata (N) |
andere persoonsgegevens, namelijk: aan te vullen indien van toepassing | |
* aanduiding (N) of (H) staat voor de risicoclassificering (Normaal/Hoog).
2. Categorieën van medewerkers die toegang hebben tot Persoonsgegevens.
Afhankelijk van de door Verwerkingsverantwoordelijke gebruikte diensten kunnen de volgende (categorieën) medewerkers toegang hebben tot de Persoonsgegevens:
i. volledige toegang vanwege beheer platform en applicatieomgeving door system engineers, database administrators, application management support engineers;
ii. alleen-lezen toegang vanwege oplossen van applicatie- en/of klantspecifieke incidenten door application developers en medewerkers service center;
iii. toegang tot klantspecifieke gegevens bij BPO-services door HR- en payrolladministrators;
iv. toegang tot klantspecifieke gegevens op projectbasis conform door
Verwerkingsverantwoordelijke verleende autorisatie door implementatie-, product- en/of conversiespecialisten.
Appendix B – Overzicht huidige derden (‘subverwerkers’)
Huidige subverwerkers van Verwerker met toegang tot de Persoonsgegevens van Verwerkingsverantwoordelijke ten tijde van het ondertekenen van deze Overeenkomst zijn:
Naam | Omschrijving diensverlening | Gebruik in relatie tot Xxxxxxxxxxxxxxxxx | Locatie van processing (opslag) | Categorie |
Youforce Visma | Raet | ||||
4me | Incidentregistratie en communicatie | Service management systeem | AWS Ireland | Software |
Activ8 | Ontwikkelactiviteiten | Management informatie | Nederland | Software |
Apigee | Platform voor API-management | Cloud Enablement | AWS Frankfurt | Infrastructuur |
Broadbean | Job board integratie | Recruitment | AWS Ireland | Interface |
CM Telecom | SMS gateway voor two-factor authenticatie | Portal | Nederland | Infrastructure |
Xxxxxxx.xxxx | Route informatie en postcodecheck | HR Self Service | AWS Ireland | Software |
DotWeb systems | Verzuimmanagementsysteem | Verzuimmanagement | Nederland | Software |
eHRMVision (TMA) | Applicatie voor talent analyse | Talent suite | Microsoft Azure West-Europa | Software |
EquensWorldline | Infrastructuur voor betaalbestanden | Betaalmanager | Duitsland | Infrastructuur |
Fox-IT | Managed security monitoring | Portal | Nederland | Infrastructuur |
IMC | Learning management systeem | Trainingen Youforce applicaties | Microso|ft Azure West-Europa | Software |
Infravision | Reseller en support 4me applicatie | Service management | Nederland | Software |
Intradata | Partner voor Dossier | Documents & Dossier | Nederland | Software |
Intradata | Digitale handtekening | HR Self Service | Microsoft Azure Duitsland | Software |
Invoke | RaaS (Robotics as a Service) | Automatisering standaard HR-taken voor BPO-klanten | AWS Frankfurt | Software |
KPN | Housing, hosting en storage management | Hosting en opslag voor Youforce-applicaties | Nederland | Infrastructure |
Microsoft | Housing, hosting en storage management | Hosting en opslag voor Youforce-applicaties | Microsoft Azure West-Europa | Infrastructure |
MobileXpense | Reis- en onkostenvergoeding- management | HR Self Service | België | Software |
Paragon Customer Communications | Print en mail provider | Printen en verzenden salarissstroken | Nederland | Overig |
Ping | Software en services voor IAM | Cloud enablement | AWS Frankfurt | Software |
Pointlogic | Strategische personeelsplanning | Prognose | Nederland | Software |
SurfConext | SSO provider onderwijsinstellingen | Portal | Nederland | Infrastructuur |
Talentsoft | Recruitmentsysteem | Recruitment | Microsoft Azure Noord- en West-Europa | Software |
TCG | E-learning | Opleidingsmanagement | Nederland | Software |
Visma Easycruit | Recruitmentsysteem | Recruitment | AWS Ireland | Software |
Xxxxx.xxx HRM NL Xxxxx.xxx Payroll NL | ||||
Amazon Web Services | Hosting en storage | Hosting en storage | AWS Ireland | Infrastructuur |
Matomo | User experience verbetering | Verbetering gebruikerservaring | Duitsland | Software |
Service Cloud (Xxxxxxxxxx.xxx) | Incidentregistratie en communicatie | Service management systeem | France, Germany | Software |
Visma ITC | Hosting en storage | Hosting en storage | AWS Ireland | Infrastructuur |
Walkme | Learningsysteem | In-app learningsysteem | Israël | Software |
Appendix C – Xxxxxxxx passende technische en organisatorische maatregelen
De informatiebeveiliging vindt plaats volgens algemeen erkende standaarden. De toereikendheid van de informatiebeveiliging blijkt uit periodieke interne- en externe toetsing zoals certificering voor ISO 27001, pentesten en ISAE3402 rapportages.
Het ISO 27001 certificaat en ISAE3402 rapportages zijn op verzoek of via de website (xxxxx://xxx.xxxxxxxxx.xx/xxxx-xxx/xxxxxx-xxxxxxx-xxxxxxxx/xxxxxxxx/) beschikbaar.