behorend bij
Bijlage versie 1.4 - 2020
behorend bij
Verwerkersovereenkomst versie 1.4 -2020
Inhoud
BIJLAGE 1: BESCHRIJVING VERWERKINGEN PERSOONSGEGEVENS 3
1. te verwerken persoonsgegevens: 3
2. Aard en doeleinde(n) verwerking 6
3. beschrijving verwerking(en) en middelen 6
5. Informatie met betrekking tot Land/Plaats van Verwerking van Persoonsgegevens 6
BIJLAGE 2. BEVEILIGINGSMAATREGELEN 7
Toelichting
Deze bijlage hoort bij Verwerkersovereenkomst versie 1.4 – 2020
Exact MKB Software B.V. zal met enige regelmaat de bijlage van de verwerkersovereenkomst bijwerken. In deze toelichting is opgenomen welke wijzigingen zijn toegepast.
Wijzigingen opgenomen in Bijlage 1:
• Diverse productnamen zijn gewijzigd.
• Product rapportage gemak is toegevoegd.
• Contact gegevens zijn aangepast
• Producten Unit4 Scenario Advies en Unit4 Scenario Assurantiën zijn verwijderd. Deze producten maken geen onderdeel meer uit van het productportfolio van Unit4 Bedrijfssoftware.
Wijzigingen opgenomen in Bijlage 2:
• Maatregelen t.a.v. hosting partijen en public cloud providers zijn aangescherpt.
• Kleine tekstuele aanpassingen.
Wijzigingen opgenomen in Bijlage 3:
• Diverse productnamen zijn gewijzigd.
• Product Rapportage Gemak is toegevoegd
• Voor het product Boekhoud Gemak is de subverwerker Aspex, per november 2020, komen te vervallen.
• Voor het product Xxxxxxxx Xxxxx zijn voor bestaande subverwerker Microsoft de subverwerker diensten, per november 2020, uitgebreid.
• Subverwerker Twilio is toegevoegd
BIJLAGE 1: BESCHRIJVING VERWERKINGEN PERSOONSGEGEVENS
1. te verwerken persoonsgegevens:
Product | Persoonsgegevens die Verwerkt worden zijn onder andere: | Dit betreffen Persoonsgegevens van: |
Unit4 Audition | Softwarematig: Inlognaam medewerker (gebruikersnaam); klant of administratie; Statutaire naam van de onderneming (indien deze Persoonsgegevens bevat) Content (modellen): E-mailadres contactpersoon van Verwerkersverantwoordelijke t.b.v. kvK; Naam aandeelhouders; Firmantnamen ingeval van een natuurlijk persoon; Namen van bestuurders, Commissarissen en directie en/of management van een onderneming | • Medewerkers • klanten • Contactpersonen • Bestuurders/ Commissarissen • Directie en/of management |
Unit4 Bankenrapportage | klantnaam; Administratienaam; Projectnaam; Rekeningnummer/IBAN; Naam rechtspersoon; Handelsnamen; Contactpersoon gegevens voor de desbetreffende rapportage; Contactgegevens van de organisatie; Contactgegevens intermediair; E-mailadres van contactpersoon voor de ontvangst van de gedeponeerde jaarrekening opgestuurd door de Kamer van Koophandel; Naam rechtspersonen; (Bijzondere) Persoonsgegevens van bestuurders of commissarissen; (Bijzondere) Persoonsgegevens zakelijke partners | • klanten • Contactpersonen • Bestuurders/ Commissarissen • Directie en/of management |
Unit4 SBR Manager | klantnaam; Administratienaam; Statutaire naam van de onderneming; E-mailadres contactpersoon van de opdrachtgever t.b.v. Kamer van Koophandel; Naam aandeelhouders; Firmantnamen ingeval van een natuurlijk persoon; Namen van bestuurders, Commissarissen en directie en/of management van een onderneming | • Medewerkers • Klanten • Contactpersonen • Bestuurders/Commissarissen • Directie en/of management |
Unit4 Declaratie | NAW gegevens; BSN; Geboortedatum; Contactgegevens | • Medewerkers • Klanten |
Unit4 Digipoort | Medewerkers Naam; e-mailadres; geboortedatum klant namen; e- mailadres; adressen; BSN; KvK-nummers; OB- nummers; Aangifte bestanden van klant | • Medewerkers • klanten |
Documentmanager | klant Namen; e- mailadres; contactgegevens; BSN; KvK- nummers; RSIN; Btw-nummer; Loonheffingennummer; Bankrekeningnummer; Geslacht; Overige Persoonsgegevens die nodig zijn voor het genereren van aangifte, jaarrekening, publicatiestukken, het geven van advies en het afsluiten van verzekeringen | • Medewerkers • klanten |
Xxxx0 XXX (Xxxx0 XxxxXxxxxxxxx, Xxxx0 AccountAnalyser | Inlognaam medewerker (Windows-gebruikersnaam); klantnaam; Administratienaam; E-mailadres van gebruikers voor de koppeling met Unit4 Online Samenwerken; E-mailadres van contactpersoon van de klant voor de koppeling met Unit4 Online Samenwerken; In Unit4 AccountAnalyser kunnen op transactie-niveau gegevens verzameld en opgenomen worden | • Medewerkers • klanten • Debiteuren • Crediteuren • Bestuurders |
en Unit4 Auditor) | in een analyserapport ter ondersteuning van de opdracht. Hierbij valt te denken aan:Debiteuren(stam)gegevens, Crediteuren(stam)gegevens en Rekening- of mutatieomschrijvingen waarin Persoonsgegevens kunnen zijn opgenomen. In Unit4 Auditor worden standaard werkprogramma-template aangeboden van diverse vakorganisaties waarin bovenstaande Persoonsgegevens kunnen voorkomen. Een Verwerkingsverantwoordelijke is echter ook vrij om op diverse niveaus zelf aanpassingen door te voeren in zijn of haar werkprogramma’s. Hierbij kan er sprake zijn van alle soorten persoonsgegevens. | |
Unit4 Fiscaal Gemak | Medewerkers: Inlognaam (=mailadres); Naam; klanten: NAW gegevens; BSN; Geboortedatum; Telefoonnummer (2x); Gegevens partner (zie: Personen); Gegevens kinderen: Naam, geboortedatum, BSN Aangiftegegevens: Inkomensgegevens voor zover van belang voor de betreffende aangifte; Namen/BSN/RSIN van aandeelhouders; Namen/BSN van bestuurders; Namen/BSN van Commissarissen | • Medewerkers • klanten • Personen |
Unit4 Boekhoud Gemak | Medewerkers: NAW gegevens; IBAN; KvK-nr; Btw-nummers (per 1-1-2020: Btw-identificatienummer en Omzetbelastingnummer), Contract informatie. Eventuele door de gebruiker vrij ingevulde informatie in vrije velden/tabellen/acties/notities of in individuele boekingen en journaalposten | • Medewerkers • Klanten • Leveranciers • Prospects • Overige relaties |
Unit4 HR & Salaris Gemak | NAW gegevens; geboortedatum, BSN en foto; betaalgegevens; identificatiegegevens (paspoort, ID-bewijs etc.) ; contractgegevens ; salarisgegevens ; fiscale; partner; kinderen; Werknemer contactpersoon; opleiding; keuring; functionering gegevens ; beoordeling; verzuim; lease | • Huidige, tijdelijke of voormalige medewerkers • Overige geregistreerde personen tbv de HR en Payroll |
Unit4 Kantoor Gemak | Medewerkers: NAW gegevens; Nummer; Roepnaam; Geboortedatum; Contactgegevens; Gegevens partner; Gegevens kinderen; Gegevens opleiding; Gegevens ervaring; Klanten: NAW gegevens; Roepnaam; BSN; plaats van zowel bezoek- als postadres; Geboortedatum; Telefoonnummer; mobiele telefoon; Faxnummer; E-mailadres; URL website; Gegevens tbv WWFT; Gegevens partner: naam, BSN, geboortedatum/land;Gegevens partnerschap (naam partner, huwelijksdatum, datum gescheiden. | • Medewerkers • (Potentiele) Klanten |
Unit4 Prognose | Medewerkers: Naam; E-mail adres; Telefoonnummer klanten: NAW gegevens; KvK-nummer; Rechtsvorm; Telefoonnummer; Emailadres | • Medewerkers • klanten |
Unit4 Relatiebeheer | Medewerkers: NAW gegevens; Nummer; Roepnaam; Geboortedatum; Contactgegevens; Gegevens partner; Gegevens kinderen; Gegevens opleiding; Gegevens ervaring; klanten: NAW gegevens; Naam; Roepnaam; BSN; Geboortedatum; Telefoonnummer; Nummer mobiele telefoon; Faxnummer; E- mailadres; URL website; Gegevens tbv WWFT; Gegevens partner: naam, BSN, geboortedatum/land;Gegevens partnerschap (naam partner, huwelijksdatum, datum gescheiden. | • Medewerkers • (potentiële) Klanten |
Unit4 OnlineSamenwerken | Medewerkers: Medewerker e-mailadressen, Medewerker naam, Medewerker Twitter-account, Medewerker LinkedIn-account Klanten: Klant namen, Klant contactgegevens, RSIN nummers, BSN nummers, KvK-nummer, Btw-nummer, Loonheffingennummer, Bankrekeningnummers van klant, Geslacht kan, E- mailadressen van klant | • Medewerkers • Klanten |
Consultancy & Support | Indien Persoonsgegevens binnen een Unit4 omgeving worden verwerkt. Dit zijn o.a. e-mail adressen en contactgegevens | • Medewerkers • (potentiële) Klanten |
Smartspace hosting | Indien Persoonsgegevens binnen een Unit4 omgeving worden verwerkt. Dit zijn o.a. e-mail adressen en contactgegevens | • Medewerkers • Klantdata, zoals gebruikt binnen de afzonderlijke producten |
Unit4 Rapportage Gemak | Medewerkers: Inlognaam (=mailadres); Naam; klanten: NAW gegevens contactpersonen Rapportagegegevens: Namen/BSN/RSIN van aandeelhouders; Namen/BSN van bestuurders; Namen/BSN van Commissarissen | • Medewerkers • Klanten • Contactpersonen • Bestuurders/ Commissarissen • Directie en/of management |
Unit4 Communicatie Gemak | Medewerkers: Inlognaam (=mailadres); Naam; Klanten van (accountants)kantoor: Inlognaam (=mailadres); Naam; klanten: NAW gegevens; BSN; Geboortedatum; Telefoonnummer (2x); Gegevens partner (zie: Personen); Gegevens kinderen: Naam, geboortedatum, BSN Aangiftegegevens: Inkomensgegevens voor zover van belang voor de betreffende aangifte; Namen/BSN/RSIN van aandeelhouders; Namen/BSN van bestuurders; Namen/BSN van Commissarissen | • Medewerkers • Klanten • Personen |
Unit4 Venice | Medewerkers: naam, functie, e-mailadres, foto, Klant/leverancier: naam, adres, contactpersoon, taal, adresformule, aanhef, telefoonnummers, emailadres, website, sociale media, bankrekeningen, mandaatreferte, pad afbeelding (logo of foto), geslacht, vrije velden en infoblok. Contact: naam, voornaam, adres, geslacht, taal, geboortedatum, pad afbeelding, adresformule, adres (privé), aanhef, telefonie (privé), e-mailadres (privé), webpagina, sociale media, beschikbaarheid, info en vrije velden. Koppeling contact-firma: telefonie (kantoor), e-mailadres (kantoor), functie, periode functie, beschikbaarheid, info en vrije velden. | • Medewerkers • Klanten • Leveranciers • Prospects • Overige relaties |
2. Aard en doeleinde(n) verwerking:
De verwerkte persoonsgegevens zoals vermeldt in Bijlage 1 worden verwerkt voor het faciliteren van de bedrijfsprocessen van de klant.
3. beschrijving verwerking(en) en middelen
• Opslag en Back-up van voorgenoemde gegevens.
• Technisch applicatiebeheer
• Aanbieden van SaaS diensten inclusief support en consultancy
4. bewaartermijn
De Verwerker zal de Persoonsgegevens bewaren voor de duur van de Hoofdovereenkomst waarbij wet- en regelgeving in acht worden genomen.
Fiscaal Gemak:
Voor producten op het Unit4 Fiscaal Gemak platform zal de data na 2 jaar na einde contract verwijderd worden. Proefaccounts zullen 2 maanden na aanmaken van het account verwijderd worden.
Na de overeengekomen bewaartermijn zal Verwerker de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren in een veelgebruikte, machine leesbaar format of op eerste verzoek van Verwerkingsverantwoordelijke vernietigen of anonimiseren zonder deze nog verder te gebruiken en zonder een kopie te behouden, tenzij in wet en regelgeving anders bepaald is.
5. Informatie met betrekking tot Land/Plaats van Verwerking van Persoonsgegevens
De verwerking van data vind zoveel mogelijk plaats binnen de Europese Economische Ruimte (EER). Persoonsgegevens worden doorgeven naar een land buiten de Europese Economische Ruimte indien dat nodig is voor het uitvoeren van de Hoofdovereenkomst. Doorgifte naar een land buiten de EER vindt plaats onder artikel 44-49 AVG.
6. Contactgegevens
Voor vragen of opmerkingen over de Verwerkingsovereenkomst, graag reageren per e-mail naar XXX@xxxx0xxxxxxxxxxxxxxxx.xx
VERSIE : [Bijlage versie: 1.4 - 2020, behorende verwerkersovereenkomst versie 1.4. - 2020]
BIJLAGE 2. BEVEILIGINGSMAATREGELEN
Zoals opgenomen in art. 7 van deze Overeenkomst, worden hieronder de afspraken tussen Partijen vastgelegd over de concrete technische en organisatorische beveiligingsmaatregelen. De getroffen maatregelen zijn opgenomen in deze Bijlage en worden aangevuld of gewijzigd indien dat nodig is.
Omschrijving van de technische en organisatorische beveiligingsmaatregelen die door de Verwerker zijn geïmplementeerd:
o Unit4 heeft een aantal diensten met een ISO27001 certificering. Kopie certificaat en Statement of Applicability worden jaarlijks ter beschikking gesteld. Zie xxxxx://xxx.xxxx0xxxxxxxxxxxxxxxx.xx/xxxx-xxx/xxxxxxx-xxxxxxxxxxxxxxxxxxxxx/;
o Ten aanzien van geheimhoudingsverplichtingen is een geheimhoudingsbeding opgenomen in arbeidscontracten;
o Voor Persoonsgegevens die worden gehost in datacenters geldt dat deze binnen de Europese Economische Ruimte (EER) worden verwerkt, waarbij 24*7 bewaking aanwezig is. Fysieke toegang tot machines waarop Persoonsgegevens worden gehost wordt gecontroleerd door Verwerker of Subverwerker. Fysieke toegang wordt ingeregeld door een beperkt aantal personen binnen Verwerker en/of Subverwerker;
o Persoonsgegevens worden opgeslagen op een Storage omgeving, waarbij gebruik wordt gemaakt van replicatie van Persoonsgegevens naar een ander datacenter binnen de EER. De Back-up naar disk wordt ook naar dit datacenter gerepliceerd. Replicatie van Persoonsgegevens is versleuteld over een niet publieke verbinding;
o Voor Persoonsgegevens die worden gehost bij Public Cloud providers (Azure, AWS) geldt dat deze binnen de EER worden verwerkt. Bewaking van deze omgeving wordt getoetst op basis van ISO27001 certificeringen en TPM’s.
o Voor het beheer van de omgeving wordt alleen gebruik gemaakt van persoonsgebonden accounts;
o Controle op toegekende rechten worden uitgevoerd volgens een user access management policy;
o Maatregelen voor de hosting in Nederland en public Cloud Providers Microsoft, Azure en Amazon Web Service worden jaarlijks getoetst door middel van controle op aanwezigheid ISO27001 certificaten en TPM’s. Intern worden leverancier reviews uitgevoerd voor deze partijen.
o Om toegang te krijgen tot de applicatie van Unit4 Bedrijfssoftware is het noodzakelijk om zich aan te melden door middel van een gebruikersID (of emailadres) en wachtwoord.
Voor producten op het Unit4 Fiscaal Gemak platform geldt dat:
Hostingpartij:
Amazon gaat te werk conform internationale standaarden met betrekking tot kwaliteit en informatiebeveiliging, waaronder ISO 9001, 27001, 27017, 27018 en CSA.
Logische toegangsbeveiliging:
Een gebruiker heeft de beschikking over een gebruikersnaam en wachtwoord om toegang te verkrijgen tot de Applicatie. Ten aanzien van het wachtwoord wordt door de Applicatie een minimale sterkte afgedwongen. Dit kan worden uitgebreid naar keuze van Xxxxxxx met ‘Two factor authentication’.
Een klant van een (accountants)kantoor die inlogt op Communicatie Gemak heeft de beschikking over een tijdelijke link met token en een entiteit afhankelijke code. Dit kan worden uitgebreid naar keuze van klant met ‘Two factor authentication’.
Rechtenbeheer: In de Applicatie kan Klant per gebruiker instellen welke rechten die krijgt en tot welke data hij toegang krijgt.
Geheimhoudingsverplichting:
Alle medewerkers en eventuele inhuurkrachten van Verwerker beschikken over geheimhoudingsverplichtingen in hun arbeidscontracten en/of inhuurovereenkomsten. Eveneens beschikt Verwerker over een VOG van alle medewerkers, directie en inhuurkrachten.
Externe security audits:
Verwerker laat (1) de Applicatie (niet zijnde de infrastructuur) elk kwartaal en (2) de infrastructuur (server omgeving) van de Applicatie jaarlijks door een onafhankelijke IT-auditor auditen op kwetsbaarheden.
VERSIE
[Bijlage versie: 1.4 - 2020, behorende verwerkersovereenkomst versie 1.4. - 2020]
BIJLAGE 3. SUB-VERWERKERS
Algemeen – Van toepassing op alle Unit4 Bedrijfssoftware producten
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
ServiceNow | Amsterdam, London | Opslag van email adres, telefoonnummer van contactpersoon. T.b.v. support diensten Opslag van incidenten, problems, changes en configuratie items |
Microsoft Corporation | Ierland | Azure DevOps diensten, IaaS diensten en log analystics, Microsoft 365 diensten |
Twilio / Sendgrid | VS | E-mail verzending voor SaaS diensten en support. |
Unit4 Audition, Unit4 Bankenrapportage en Unit4 SBR Manager
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Semansys | Nederland | Op basis van aangeleverde mapping- + data-bestand wordt een Xbrl- en/of PDF- document gegenereerd en retour gezonden |
Audition, SBR Manager Bankenrapportage, SBR Manager
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Semansys | Nederland | Op basis van aangeleverde mapping- + data-bestand wordt een Xbrl document gegenereerd en retour gezonden. |
Bankenrapportage, Digipoort, FDS
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/kand | Beschrijving werkzaamheden Sub- verwerker |
Digital Realty | Amsterdam | Data center services |
BIT | Ede | Data center service voor gerepliceerde data |
Smartspace hosting
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc. ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Digital Realty | Amsterdam | Data center services |
BIT | Ede | Data center service voor gerepliceerde data |
ServiceNow | Amsterdam, London | Opslag van incidenten, problems, changes assets. |
Transfer Solutions* | Leerdam | Oracle database beheer en ondersteuning |
Fox-IT* | Delft | Security monitoring |
Fiscaal Gemak en Rapportage Gemak
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Amazon Web Services (AWS) | Ierland (Hosting) Duitsland (Backup) | Hosting van Applicatie en aanverwante processen inclusief opslag van back-ups. |
Atlassian Pty Ltd, Atlassian, Inc | Ierland | Jira, ticket systeem ten behoeve van het ontwikkelproces (inclusief onderhoud, support e.d.) van de Applicatie. |
Camarate ICT | Nederland | Back-ups van Microsoft 365 diensten, waaronder mailboxdata. |
Multivers en Boekhoud Gemak
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Microsoft | West-Europa | File storage, Azure cloud diensten. |
Capgemini | Polen | BPO |
Basecone | Nederland | Facturen, Declaratie koppeling |
Venice
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
ASPEX NV, Antwerpen | Antwerpen, België | Hosting |
Fujitsu | Aalst (BE) | File storage |
HR & Salaris Gemak
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Napoca, Cluj-Napoca (Romania) | Amsterdam | Technisch onderhoud HR & Salaris Gemak software |
Digital Realty (Telecity 4) | Amsterdam | Data center services |
BIT | Ede | Data center service voor gerepliceerde data |
Prognose
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Topicus Finan, Xxxxxx 00, 0000 XX Xxxxxxxx | Deventer | Topicus Finan levert 2e / 3e lijns support bij binnengekomen tickets die op Customer Support niet direct kunnen worden beantwoord. |
In geval Unit4 SaaS / Hosting diensten van uit Nederland gelden de volgende aanvullende sub- verwerkers
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc. ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Digital Realty | Amsterdam | Data center services t.b.v. hosting applicaties |
BIT | Ede | Data center service voor gerepliceerde data |
Transfer Solutions* | Leerdam | Oracle database beheer en ondersteuning |
Fox-IT* | Delft | Security monitoring |
Customer Service
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc. ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Salesforce | Duitsland, Frankrijk, UK. (EER) | Opslag van CRM gegevens, waaronder naam, business e-mail en business telefoon gegevens, business contract informatie. |
Camarate ICT | Nederland | Xxxxxx (shared) mailboxen |
Kantoor Gemak
Sub-verwerker (bedrijfsnaam, vestigingsplaats etc. ) | Verwerkingsplaats/land | Beschrijving werkzaamheden Sub- verwerker |
Microsoft Corp. | Ierland / Nederland | Dynamics365 diensten |
Xxxxx | Xxxxxxxx | Xxxxxxxxxx support via Teams sessie vanuit ontwikkelaar |
VERSIE
[Bijlage versie: 1.4 - 2020, behorende verwerkersovereenkomst versie 1.4. - 2020]