VERWERKERS- OVEREENKOMST

VERWERKERS- OVEREENKOMST

LUCRASOFT SOLUTIONS B.V.

Bestaande uit:

Deel 1. Data Pro Statement

Deel 2. Standaardclausules voor verwerkingen

Versie 4-2021

DEEL 1: DATA PRO STATEMENT

Dit Data Pro Statement vormt samen met de Standaardclausules voor verwerkingen de verwerkersovereenkomst voor het product of de dienst van het bedrijf dat dit Data Pro Statement heeft opgesteld.

ALGEMENE INFORMATIE

1 Dit Data Pro Statement is opgesteld door:

Lucrasoft Solutions B.V. – Xx Xxxxxxx 0, 0000XX Xxxxxxx Xxx Xxxxxxx

Voor vragen over dit Data Pro Statement of dataprotectie kan contact opgenomen worden met: xxxxxxxxx@xxxxxxxxx.xx, x00 00 0000000

2 Dit Data Pro Statement geldt vanaf 01-04-2021

De in dit Data Pro Statement omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij houden u op de hoogte van nieuwe versies via onze normale kanalen.

3 Dit Data Pro Statement is van toepassing op de volgende producten en diensten van data processor:

Lucrasoft Solutions ontwikkelt Windows software applicaties en geïntegreerde app en web oplossingen voor het managen en beheren van operationele bedrijfsprocessen.

4 Omschrijving product/dienst

Lucrasoft Solutions biedt de volgende applicaties en geïntegreerde oplossingen:

A. AppCore Framework

B. AppCore Hub (aka. DEPOT Hub)

C. AppCore Hub Endpoint (aka. DEPOT Hub Connector)

D. DTAP deployment management infrastructure (aka. Octopus Tentacles)

E. DEPOT Software (DS)

F. DEPOT for Mobile (DFM)

X. XXXXX Xxxxxxx Xxxxxxxx (XXX)

X. XXXXX Xxxxxx Xxxxx (XXX)

I. DEPOT Customer Portal (DCP)

J. DEPOT Driver Portal (DDP) K DEPOT Insights (DI)

H. MainPro

5 Beoogd gebruik

A. AppCore Framework

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het managen en beheren van operationele bedrijfsprocessen is AppCore op SQL ontworpen software en bijbehorende database.

Als voor een on premise-architectuur wordt gekozen, dan wordt de oplossing binnen het serverpark van de opdrachtgever geplaatst en onderhouden en wordt er extern geen communicatie uitgewisseld.

Als voor een cloud-architectuur wordt gekozen, dan kan het zijn dat de Microsoft SQL database in de Microsoft Azure cloud resideert. Dan wordt data via internet uitgewisseld met de verschillende clients.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

Voor het verlenen van support worden klant databases soms lokaal binnen Lucrasoft Solutions BV opgeslagen. Lucrasoft Solutions BV maakt voor het opslaan en beheren van een kopie database, soms gebruik van de diensten van de sub-processor Lucrasoft Systems BV. (zie punt 9 voor privacy statement)

B. AppCore Hub (aka. DEPOT Hub)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het aansturen van verscheidene diensten, is de AppCore Hub een online connection broker.

Er vindt gegevensuitwisseling plaats welke encrypted is, middels een regionale hub. Het product is gekoppeld met een AppCore database en kent geen eigen dataopslag.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

Lucrasoft Solutions BV maakt voor dit product, soms gebruik van de diensten van de sub-processor Lucrasoft Digital BV. (zie punt 9 voor privacy statement)

C. AppCore Hub Endpoint (aka. Hub Connector)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Deze oplossing wordt gebruikt ten behoeve van het ontsluiten van een AppCore database (dienst A) naar

andere oplossingen via de AppCore Hub (dienst B). Deze oplossing is een Windows-based connection endpoint service.

Er vindt gegevensuitwisseling plaats welke encrypted is, middels een regionale hub. Het product is gekoppeld met een AppCore database en kent geen eigen dataopslag.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

Lucrasoft Solutions BV maakt voor dit product, soms gebruik van de diensten van de sub-processor Lucrasoft Digital BV. (zie punt 9 voor privacy statement)

D. DTAP Deployment Management Infrastructure (DTAP=Develop, Test, Acceptance, Production)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het managen en beheren van software updates en bijbehorende database scripts, maakt Lucrasoft Solutions BV gebruik van DTAP-services (powered by Octopus Tentacles). Deze tool rapporteert de voortgang en resultaten van de handelingen en beschikt niet over eigen dataopslag.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

Lucrasoft Solutions BV maakt voor dit product, soms gebruik van de diensten van de sub-processor Lucrasoft Digital BV. (zie punt 9 voor privacy statement)

E. DEPOT Software

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het managen en beheren van operationele bedrijfsprocessen zijn onze oplossingen op AppCore (dienst A) ontworpen.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

F. DEPOT for Mobile (DFM)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het aansturen van operationele bedrijfsprocessen is DEPOT for Mobile, een Android communicatiemiddel, gekoppeld met DEPOT Software (dienst E) via de AppCore Hub (dienst B, C). Dit product slaat soms een snapshot van een order op totdat de order succesvol is geupload.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

G. DEPOT Stacker Terminal (DST)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het managen en beheren van operationele bedrijfsprocessen is deze oplossing ontworpen. Dit product slaat soms een snapshot van een order op totdat de order succesvol is geupload.

De informatie wordt versleuteld uitgewisseld met de DEPOT database op één van de volgende manieren:

- Via lokaal in het netwerk van de klant

- Via internet dmv. een VPN tunnel naar een server in het netwerk van de klant

- Via internet dmv. de AppCore Hub (dienst B, C)

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

H. DEPOT Driver Kiosk (DDK)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van controleren en completeren van operationele bedrijfsprocessen is de DEPOT Driver

Kiosk een WPF applicatie gekoppeld met DEPOT Software (dienst E) via de AppCore Hub (dienst B, C). Dit product slaat soms een snapshot van een order op totdat de order succesvol is geupload.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

I. DEPOT Customer Portal (DCP)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het aansturen van operationele bedrijfsprocessen is de DEPOT Customer Portal een online communicatiemiddel gekoppeld met DEPOT Software (dienst E) via de AppCore Hub (dienst B, C). Dit product kent geen eigen dataopslag.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

Lucrasoft Solutions BV maakt voor dit product, soms gebruik van de diensten van de sub-processor Lucrasoft Digital BV. (zie punt 9 voor privacy statement)

J. DEPOT Driver Portal (DDP)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het aansturen van operationele bedrijfsprocessen is de DEPOT Driver Portal een online communicatiemiddel gekoppeld met DEPOT Software (dienst E) via de AppCore Hub (dienst B, C). Dit product kent geen eigen dataopslag.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

Lucrasoft Solutions BV maakt voor dit product, soms gebruik van de diensten van de sub-processor Lucrasoft Digital BV. (zie punt 9 voor privacy statement)

K. DEPOT Insights (DI)

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het rapporteren van operationele bedrijfsprocessen is DEPOT Insights een oplossing die een datablok ter beschikking stelt.

Dit datablok kan worden gepubliceerd dmv. Microsoft PowerBI of een andere BI-tool. Een BI tool wordt aangeschaft door de klant zelf, en ontsluit data die vanuit de DEPOT Software database is opgehaald dmv. een connector die door de BI leverancier wordt meegeleverd.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

L. Mainpro

Deze oplossing is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken: Ten behoeve van het managen en beheren van operationele bedrijfsprocessen zijn onze oplossingen op AppCore (dienst A) ontworpen.

Bij dit product is geen rekening gehouden met de verwerking van bijzondere persoonsgegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mee te verwerken.

Verwerken van deze gegevens met het hiervoor omschreven product of dienst door opdrachtgever is ter eigen beoordeling door opdrachtgever.

6 Data processor heeft bij het ontwerpen van het product/de dienst privacy by design op de volgende wijze toegepast:

De inloggegevens van personen wordt opgeslagen middels encryptie. De Windows-applicaties kennen een gedegen autorisatie structuur met rollen en rechten teneinde de privacy van data te waarborgen.

7 Data processor gebruikt de Data Pro Standaardclausules voor verwerkingen welke verderop in dit document te vinden zijn.

8 Data processor verwerkt de persoonsgegevens van zijn opdrachtgevers binnen de EU/EER en ten aanzien van een fall back scenario ook in de US.

9 Data processor maakt gebruik van de volgende sub-processors:

Sub-processor	Binnen de EU/EER	Privacy statement
Microsoft Azure	Ja	xxxxx://xxxxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxxxxxxxx
Lucrasoft Digital BV	Ja	xxxxx://xxx.xxxxxxxxx.xx/xx/xxxxxxx-xxxxxxxxx/
Lucrasoft Systems BV	Ja	xxxxx://xxx.xxxxxxxxxxxxxxxxx.xx/xx/xxxxxxx-xxxxxxxxx/

10 Data processor ondersteunt opdrachtgever op de volgende manier bij verzoeken van betrokkenen:

Inzage-, correctie- of verwijderverzoeken zullen worden uitgevoerd nadat de identiteit van de betrokken kan worden geverifieerd aan de hand van een geldig legitimatiebewijs. Het verzoek kan gestuurd worden naar xxxxxxxx@xxxxxxxxx.xx. Na ontvangst van het verzoek, zullen wij deze binnen 5 werkdagen verwerken en bevestigen/opleveren.

11 Beëindiging van de overeenkomst:

Na beëindiging van de overeenkomst met een opdrachtgever verwijdert data processor de persoonsgegevens die hij voor opdrachtgever verwerkt in principe binnen 3 maanden (of op uitdrukkelijk verzoek eerder) op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible).

Retentie in backups zorgt ervoor dat na 3 maanden de data daadwerkelijk verwijderd is. Omdat het hier een geautomatiseerd proces betreft is handmatig of eerder niet mogelijk.

BEVEILIGINGSBELEID

12 Data processor heeft de volgende beveiligingsmaatregelen genomen ter beveiliging van zijn product of dienst:

a) De datacenters (Databarn Rivium & Databarn Amsterdam), waar servers van Lucrasoft ICT Groep geplaatst zijn, zijn voorzien van een camera beveiligingssysteem en bezoekers registratie en zijn ISO:27001:2013 gecertificeerd.

b) Toegang tot de (database)servers is alleen mogelijk vanuit Lucrasoft vertrouwde netwerklocaties.

c) Er zijn procedures opgesteld waardoor alleen geautoriseerd personeel heeft toegang tot de persoonsgegevens. Met een geheimhoudingsverklaring wordt dit ook na uitdiensttreding geborgd.

d) Onze web- en databaseservers worden beveiligd door firewall met het least priviliged principe. Applicaties hebben een eigen database per applicatie. Iedere applicatie heeft uitsluitend toegang tot zijn database.

e) Alle data binnen diensten van Lucrasoft zal zo veilig mogelijk worden opgeslagen. Waar, in rust, encryptie mogelijk is zal dit worden toegepast.

f) Alle data zal met de hoogst mogelijke encryptie vorm die ondersteund wordt verstuurd worden.

g) Onze webservers worden maandelijks gepatched naar de laatste Windows updates.

h) Alle mobiele data dragers (denk aan oa laptops, USB-sticks en portable HD’s) van Lucrasoft Solutions B.V. worden versleuteld.

DATALEKPROTOCOL

13 In geval er toch iets mis gaat, hanteert data processor het volgende datalekprotocol om ervoor te zorgen dat opdrachtgever op de hoogte is van incidenten:

De Functionaris gegevens bescherming (of DPO) zal ingelicht worden m.b.t. het mogelijke datalek. Hiervoor is een interne procedure. Hij zal een team samenstellen om de oorzaak, impact en getroffen klanten te analyseren. Al naar gelang de uitkomst hiervan zullen klanten, binnen 24 uur, op de hoogte gesteld worden door een email naar de technisch contactpersoon.

Lucrasoft Solutions B.V. levert zo veel mogelijk relevante gegevens aan over:

a. Aard van de inbreuk: waaronder omschrijving van het incident, aard persoonsgegevens c.q. categorieën van betrokken data subjects, schatting van aantal betrokken data subjects en mogelijk betrokken databases, indicatie wanneer incident heeft plaatsgevonden;

b. Reeds genomen maatregelen door Lucrasoft Solutions B.V. om de inbreuk te stoppen;

c. Te nemen maatregelen door de controller dan wel betrokken data subjects (wat kunnen

betrokken data subjects zelf doen, bijvoorbeeld “houd mail in de gaten, wijzig passwords”

d. Te nemen maatregelen door Lucrasoft Solutions B.V. om de inbreuk voortaan te voorkomen

Meldingen worden indien mogelijk binnen 24 uur gedaan aan opdrachtgevers. Lucrasoft Solutions

B.V. is zelf geen eigenaar van de data en kan zelf geen meldingen doen aan AP of Data subjects. De data processor zal de opdrachtgever of de controller desgewenst ondersteunen bij het meldproces.

DEEL 2: STANDAARDCLAUSULES

VOOR VERWERKINGEN

Versie: april 2021

De Standaardclausules voor verwerkingen zijn opgenomen in hoofdstuk 2 van de NLdigital Voorwaarden 2020 en vormt samen met het Data Pro Statement de verwerkersovereenkomst. Het Data Pro Statement en de NLdigital Voorwaarden 2020 behoren standaard tot de bijlagen van een Overeenkomst.