Verwerkersovereenkomst
Verwerkersovereenkomst
Irixs B.V.
Versie: 2.0
Datum: 19 januari 2023 Auteur: Irixs
Deze verwerkersovereenkomst heeft betrekking op bepaalde producten- en/of diensten van Irixs B.V., gevestigd en kantoorhoudend te Enter (ov), ingeschreven bij de Kamer van Koophandel Oost Nederland onder nummer 08159416, hierna te noemen: Irixs B.V. (hierna: Irixs) waarbij Irixs optreedt als verwerker van persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (hierna: AVG). Irixs verwijst naar deze verwerkersovereenkomst (en de bijlagen) bij een aanbieding/ offerte en deze is samen met de algemene voorwaarden, de servicelevel agreement en de aanbieding/ offerte onderdeel van de overeenkomst die met een opdrachtgever tot stand komt.
In deze verwerkersovereenkomst worden de hiernavolgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven.
Article 1. Definities
1.1 In deze Verwerkersovereenkomst wordt verstaan onder:
a AVG: Algemene Verordening Gegevensbescherming (Verordening 2016/679) van 27 april 2016, zoals van kracht per 25 mei 2018;
b Betrokkene (wordt gedefinieerd onder Persoonsgegevens), Verwerker, Derde, Persoonsgegevens, Verwerking, Persoonsgegevens, Verwerkersverantwoordelijke: de begrippen zoals gedefinieerd in artikel 4 van de AVG, waarbij in deze verwerkersovereenkomst Irixs de rol van Verwerker heeft en de opdrachtgever van Irixs de rol van Verwerkersverantwoordelijke;
c Verwerkersovereenkomst: deze Verwerkersovereenkomst, inclusief Bijlagen;
d Bijlage: een bijlage bij deze Verwerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt, te weten: de Privacy Bijsluiter (bijlage 1) en een beschrijving van de Technische en organisatorische beveiligingsmaatregelen (bijlage 2);
e Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG;
f Product- en Dienstenovereenkomst: de overeenkomst tussen Verwerkingsverantwoordelijke en Irixs zoals bedoeld in de algemene voorwaarden van Irixs, tezamen met de servicelevel agreement en eventuele andere documenten;
g Subverwerker: de partij die door Verwerker (Irixs) wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de Product- en Dienstenovereenkomst;
h Irixs: Irixs B.V. in zijn hoedanigheid als Verwerker van Persoonsgegevens.
Article 2. Onderwerp en opdracht Verwerkersovereenkomst
Article 3. Rolverdeling
3.1 Verwerkingsverantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens.
Article 4. Gebruik Persoonsgegevens
4.1 Verwerker verplicht zich om de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan met de Verwerkingsverantwoordelijke (mondeling, schriftelijk dan wel elektronisch) overeengekomen. Deze verplichting geldt zowel gedurende de looptijd van de Verwerkersovereenkomst als na afloop daarvan.
aanpassen of wijzigen indien een wijziging in de verwerking dit noodzaakt en zal de Verwerkingsverantwoordelijke hiervan op de hoogte stellen. Te allen tijde geldt de meest recente versie van de Verwerkersovereenkomst en Privacy Bijsluiter zoals gepubliceerd op de website van Irixs.
Article 5. Geheimhouding
5.1 Verwerker zorgt er voor dat eenieder, waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker bewerkstelligt dat voor eenieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.
Article 6. Beveiliging en controle
6.1 Irixs zal, gelijk de Verwerkingsverantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend
beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
6.2 De maatregelen zoals hierboven genoemd omvatten in ieder geval:
d Een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
6.3 In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Verwerkingsverantwoordelijke moet treffen.
Article 7. Datalekken
7.1 Irixs heeft een passend beleid voor de omgang met Datalekken.
over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van Xxxxxxxxxx.
7.6 Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van ‘Definities’, sub e, informeert de Verwerker de Verwerkingsverantwoordelijke conform de afspraken zoals neergelegd in Bijlage 2.
Article 8. Procedure rechten betrokkenen
8.1 Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek. Verwerker verleent Verwerkingsverantwoordelijke – voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de eventuele kosten die hiermee gemoeid zijn.
Article 9. Verwerking buiten de Europese Economische Ruimte
9.1 Partijen zien erop toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Verwerkingsverantwoordelijken rusten. Indien gegevens buiten de EER worden verwerkt, zal dit enkel geschieden in een land waarvan de Europese Commissie heeft bepaald dat in dit land een passend niveau van bescherming bestaat voor Persoonsgegevens, dan wel dit passende niveau van bescherming anderszins verzekerd is door de relevante autoriteiten of gerechtelijke instanties, zoals maar niet
beperkt tot het gebruik van door de bevoegde instantie goedgekeurde ‘Binding Corporate Rules’ of door het gebruik van EU modelbepalingen inzake gegevensdoorgifte.
9.2 Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de partijen waar de gegevens worden verwerkt.
Article 10. Inschakeling Subverwerker
10.1 Verwerker kan een Subverwerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen in Bijlage 1 (Privacy Bijsluiter). Over het inschakelen van overige Subverwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.
Article 11. Bewaartermijnen en vernietiging Persoonsgegevens
11.1 Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker.
Article 12. Tegenstrijdigheid en wijziging Verwerkersovereenkomst
12.1 In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Product- en
Dienstenovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
12.3 Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Verwerkingsverantwoordelijke de keuze hiertoe aanvaardt, de Verwerkingsverantwoordelijke in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) Subverwerker. De wijzigingen zullen in Bijlage 1 worden opgenomen.
Article 13. Duur en beëindiging
13.1 De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
Article 14. Toepasselijk recht en forumkeuze
Versie
Versie 2, datum laatste aanpassing: januari 2023
BIJLAGE 1: PRIVACY BIJSLUITER - STANDAARDPRODUCTEN
A. Algemene informatie
§ Naam product en/of dienst: Deze verwerkersovereenkomst is van toepassing op de volgende diensten en/of producten van Irixs waarbij Irixs optreedt als Verwerker van Persoonsgegevens:
o Implementatie AFAS Profit;
o Salarisverwerking;
o Support en SupportOnDemand;
o Consultancy;
o Functioneel Beheer;
De producten en diensten van Irixs zijn uitgebreid beschreven in de servicelevel agreement.
§ Naam Verwerker en vestigingsgegevens: Irixs B.V., Vonderweg 46a, 7468 DC Enter
§ Beknopte uitleg en werking product en dienst: Raadpleeg voor een uitgebreidere beschrijving de servicelevel agreement van Irixs. Zie hieronder voor een beknopte beschrijving.
o Implementatie en optimalisatie AFAS Profit: De opdrachtgever van Irixs schaft AFAS Profit aan en Irixs configureert, implementeert en optimaliseert deze zodat de AFAS Profit aansluit op de organisatie van de opdrachtgever. Dit geldt m.n. voor de modules HRM/Payroll, ERP en InSite en OutSite. Onder deze dienst wordt ook gerekend met eventuele AFAS-licenties die via Irixs aan de klant in rekening wordt gebracht.
o Salarisverwerking: Irixs verzorgt het aanmaken van loonstroken via de AFAS Profit omgeving van de opdrachtgever.
o Support en SupportOnDemand: Irixs verleent (medewerkers van de) opdrachtgever support via telefonisch contact, e-mail en/of een online klantomgeving.
o Consultancy: Consultancy is dienstverlening van consultants van Irixs voor uiteenlopende zaken, dit kan dienstverlening zijn die gerelateerd is aan o.a. software, procesoptimalisatie, advies- of interimwerkzaamheden.
o Functioneel Beheer: Functioneel Beheer is dienstverlening van consultants van Irixs voor het structureel onderhouden en optimaliseren van ERP- systemen bij een opdrachtgever.
14.2 B. De specifieke diensten
Omschrijving van de specifiek verleende diensten, producten en bijbehorende Verwerkingen die de verwerker aanbiedt.
Dienst | Verwerkingen |
Implementatie en optimalisatie AFAS Profit AFAS-licenties | Bij de consultancy geleverd bij implementatie- en optimalisatietrajecten krijgen werknemers van Irixs toegang tot het AFAS-systeem binnen Irixs en de gegevens die daarin beschikbaar zijn. Werknemers van Irixs kunnen gedurende hun werkzaamheden gegevens bewerken. Via Irixs worden AFAS-licenties afgenomen door klanten. |
Salarisverwerking | Medewerkers van Irixs kunnen op afstand binnen het systeem van de Verwerkingsverantwoordelijke verwerkingen uitvoeren op persoonsgegevens van werknemers van Irixs en hebben ook toegang en kunnen verwerkingen uitvoeren op de in AFAS geregistreerde gegevens van werknemers van de opdrachtgever. |
Support en SupportOnDemand | Bij Support en SupportOnDemand hebben werknemers van de opdrachtgever die een supportverzoek aanvragen een digitaal profiel waar persoonsgegevens geregistreerd staan in een ticketsysteem bij Irixs. |
Consultancy | Werknemers van Irixs kunnen gedurende een consultancy traject toegang krijgen tot persoonsgegevens voor zover deze in AFAS of een ander ERP systeem zijn geregistreerd. |
Functioneel Beheer | Werknemers van Irixs kunnen gedurende een Functioneel Beheer toegang krijgen tot persoonsgegevens voor zover deze in AFAS of een ander ERP systeem zijn geregistreerd. |
14.3 C. Xxxxxxxxxx voor het verwerken van gegevens
Als Verwerker verwerkt Irixs persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke. De aard en het doel van de verwerkingen bestaan uit de volgende activiteiten:
Product | Doeleinden |
Implementatie en optimalisatie AFAS Profit | AFAS ERP: Verwerking van diverse bedrijfsgerelateerde informatie, waaronder persoonsgegevens in de systemen van de opdrachtgever door medewerkers van Irixs. Doeleinde van de verwerking is om AFAS te implementeren, |
te optimaliseren en werknemers bij de opdrachtgever te trainen. AFAS HRM/Payroll: De verwerkingen gebeuren in de AFAS- omgeving van de opdrachtgever maar kunnen tijdens implementatie of optimalisatie worden gedaan door medewerkers van Irixs. Doeleinde is om het ERP systeem (binnen AFAS) in te richten of te optimaliseren voor de opdrachtgever en eventueel opdrachtgever te trainen in het gebruik van het systeem. InSite en OutSite: verwerking van diverse bedrijfsgerelateerde informatie, waaronder persoonsgegevens uit de systemen van de opdrachtgever, door medewerkers van Irixs. Doeleinde van de verwerking is om InSite en OutSite in te richten en te optimaliseren. Voor de AFAS-licenties wordt AFAS als subverwerker ingeschakeld. | |
Salarisverwerking | Binnen de omgeving van AFAS bij de opdrachtgever zullen medewerkers van Irixs informatie verwerken voor de volgende doeleinden: ▪ Ondersteunen en opslaan van werkzaamheden en persoonsgegevens op het gebied van HRM en Payroll; ▪ Persoonsgegevens aanmaken, muteren en converteren van (alle) medewerkers van Verwerkingsverantwoordelijke; ▪ Persoonsgegevens aanmaken, muteren en converteren die gedurende het dienstverband zijn ontstaan; ▪ Persoonsgegevens aanmaken en onderhouden met betrekking tot rapportages; ▪ Het verzorgen en doen van aangifte loonheffing en andere personeelsgerelateerde belastingen; ▪ Het verzamelen en klaarzetten van periode betaling van salarissen. |
Support en SupportOnDemand | Het doel is om informatie op te slaan over de door de opdrachtgever aangewezen gebruikers zodat de |
supportaanvragen kunnen worden gekoppeld aan de persoon en organisatie die de aanvraag heeft ingediend. | |
Consultancy | Het doel is om bedrijfsgerelateerde aangelegenheden, optimalisaties of andere zaken voor de opdrachtgever op te pakken. Veelal zijn klantvragen gerelateerd aan software of bedrijfsprocessen en consultants van Irixs kunnen hierdoor in aanraking komen met de verwerking van persoonsgegevens. |
Functioneel Beheer | Het doel is om structureel onderhoud en optimalisatie te leveren aan de opdrachtgever. Functioneel Beheerders kunnen hierdoor in aanraking komen met de verwerking van persoonsgegevens. |
14.4 D. Categorieën en soorten persoonsgegevens
Product | Categorieën | Omschrijving |
Implementatie en optimalisatie AFAS Profit | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: | AFAS ERP: Naam, e-mailadres, telefoonnummer. AFAS HRM/Payroll: Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: Naam, adres (NAW), geboortedatum, geboorteplaats, BSN, e- mailadres, salarisgegevens, geslacht, nationaliteit, burgerlijke staat, telefoon, bankrekeningnummer en opleiding. |
Salarisverwerkin g | Persoonlijke identifcatiegegevens van de werknemers | Naam, adres, woonplaats, postcode, e- mailadres, handtekening, rekeningnummer. |
waarvoor | ||
salarisverwerking wordt | ||
verzorgd: | ||
Persoonlijke kenmerken: | Geboortedatum, burgerlijke staat, nationaliteit, beroep, opleiding, kennis en ervaring. | |
Communicatiegegeven s: | Contacten via telefoon, e-mail, brief, vastlegging van klachten en vragen. | |
Financiële gegevens: | Bankrekening, inkomen, en ingeval van loonbeslag: schulden en betalingsachterstanden. |
Strafrechtelijke gegevens: | Verklaring omtrent gedrag | |
Overige persoonsgegevens: | Burgerservicenummer. | |
Support en SupportOnDema nd | Persoonlijke identificatiegegevens van de werknemers bij de opdrachtgever: | Naam, adres, woonplaats, postcode en e- mailadres. |
Consultancy | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: | Naam, e-mailadres, telefoonnummer. |
Functioneel Beheer | Persoonlijke identificatiegegevens van de werknemers bij de opdrachtgever, of eventuele andere persoonsgegevens die door de opdrachtgever van derden worden bijgehouden: | Naam, e-mailadres, telefoonnummer, eventuele andere gegevens die ERP- systemen of applicaties geregistreerd staan. |
14.5 E. Algemene informatie over getroffen beveiligingsmaatregelen
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve indien van toepassing verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
Verwerker maakt voor dienst/product “AFAS-licenties”gebruik van de Subverwerker: AFAS Software B.V. verzamelt geanonimiseerde gegevens over het gebruik van haar producten. Deze gegevens ondersteunen AFAS om inzicht te krijgen of, hoe en
hoe vaak bepaalde onderdelen van het product gebruikt worden. Hiermee kan AFAS haar producten en dienstverlening verbeteren en zal de geanonimiseerde gegevens ook uitsluitend hiervoor gebruiken.
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: De datacenters waar de servers zijn altijd gevestigd binnen de EER.
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Irixs B.V., de heer M. Pool, telefoonnummer: +31(0)00- 00 00 000.
14.8 Versie
Versie 2, datum laatste aanpassing: januari 2023
BIJLAGE 1: PRIVACY BIJSLUITER - DATA CONSULTANCY
A. Algemene informatie
▪ Naam product en/of dienst: Deze verwerkersovereenkomst is van toepassing op Data Consultancy door Irixs waarbij Irixs optreedt als Verwerker van Persoonsgegevens door het verrichten van consultancy door Irixs voor het ontsluiten van data voor verwerking door Irixs.
▪ Naam Verwerker en vestigingsgegevens: Irixs B.V., Vonderweg 46a, 7468 DC Enter
▪ Beknopte uitleg en werking product en dienst: Data Consultancy is dienstverlening van consultants van Irixs voor de bouw van systemen voor de ontsluiting van data uit diverse software. In de praktijk komt dit neer op het bouwen van software / middleware tussen een bestaand systeem en het Irixs platform.
14.9 B. De specifieke diensten
Omschrijving van de specifiek verleende diensten, producten en bijbehorende Verwerkingen die de verwerker aanbiedt.
Dienst | Verwerkingen |
Data Consultancy | Werknemers van Irixs kunnen gedurende een consultancy traject toegang krijgen tot persoonsgegevens voor zover deze in de te ontsluiten software zijn geregistreerd. Tijdens het ontwikkeltraject kan het voorkomen dat medewerkers van Irixs persoonsgegevens kunnen inzien. |
14.10 C. Xxxxxxxxxx voor het verwerken van gegevens
Als Verwerker verwerkt Irixs persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke. De aard en het doel van de verwerkingen bestaan uit de volgende activiteiten:
Product | Doeleinden |
Data Consultancy | Het bouwen van een aansluiting voor bestaande software met het Irixs platform ten behoeve van het Beheer van Datasets. |
14.11 D. Categorieën en soorten persoonsgegevens
Product | Categorieën | Omschrijving |
Data Consultanc y | Afhankelijk van de data aanwezig in het te ontsluiten systeem. Opdrachtgever (Verwerkingsverantwoordel ijke) wordt gevraagd de categorieën hier zelf aan te vullen. | Afhankelijk van de data aanwezig in het te ontsluiten systeem. Opdrachtgever (Verwerkingsverantwoordelijk e) wordt gevraagd de omschrijving hier zelf aan te vullen. |
14.12 E. Algemene informatie over getroffen beveiligingsmaatregelen
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve, indien van toepassing, verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
Verwerker maakt voor dienst/product “Data Consultancy” gebruik van de volgende
Subverwerker(s): Als serverruimte vereist is, maakt Irixs bij Data Consultancy gebruik van serverruimte gehost bij Microsoft (Azure).
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: De datacenters waarvan gebruik wordt gemaakt zijn altijd gevestigd binnen de EER.
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Irixs B.V., de heer M. Pool, telefoonnummer: +31(0)00- 00 00 000.
14.15 Versie
Versie 2, datum laatste aanpassing: januari 2023
BIJLAGE 1: PRIVACY BIJSLUITER – BEHEER VAN DATASETS
A. Algemene informatie
▪ Naam product en/of dienst: Deze verwerkersovereenkomst is van toepassing op het Beheer van Datasets door Irixs waarbij Irixs optreedt als Verwerker van Persoonsgegevens. Hiervan is slechts sprake als de dataset die door de Verwerkingsverantwoordelijke voor beheer ter beschikking wordt gesteld Persoonsgegevens bevat.
▪ Naam Verwerker en vestigingsgegevens: Irixs B.V., Vonderweg 46a, 7468 DC Enter
▪ Beknopte uitleg en werking product en dienst: Beheer van Datasets is dienstverlening van Irixs voor het ontsluiten van een gegevensverzameling, die beschikbaar gesteld wordt voor diverse business intelligence tools. Irixs heeft diverse koppelingen met bronsystemen en verwerkt de uit de bronsystemen verkregen data tot bruikbare gegevensverzamelingen.
14.16 B. De specifieke diensten
Omschrijving van de specifiek verleende diensten, producten en bijbehorende Verwerkingen die de verwerker aanbiedt.
Dienst | Verwerkingen |
Beheer van Datasets | De eventuele Verwerkingen bij het Beheer van Datasets is afhankelijk van de data die vanuit het bronsysteem voor ontsluiting worden aangeboden aan Irixs. Verwerkingsverantwoordelijke en Irixs moeten in onderling overleg vaststellen welke Verwerkingen plaats (kunnen) vinden. |
14.17 C. Xxxxxxxxxx voor het verwerken van gegevens
Als Verwerker verwerkt Irixs persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke. De aard en het doel van de verwerkingen bestaan uit de volgende activiteiten:
Product | Doeleinden |
Beheer van Datasets | De doeleinden van de eventuele Verwerkingen bij het Beheer van Datasets is afhankelijk van de data die vanuit het bronsysteem voor ontsluiting |
worden aangeboden aan Irixs. Verwerkingsverantwoordelijke en Irixs moeten in onderling overleg vaststellen met welke doeleinden Verwerkingen eventueel plaats vinden. |
14.18 D. Categorieën en soorten persoonsgegevens
Product | Categorieën | Omschrijving |
Datasets | De omschrijving is afhankelijk van de datasets die voor de Verwerkingsverantwoordelijke beheerd moeten worden. |
14.19 E. Algemene informatie over getroffen beveiligingsmaatregelen
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve indien van toepassing verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
Verwerker maakt voor dienst/product “Beheer van Datasets” gebruik van de
volgende Subverwerker(s): Irixs maakt bij het Beheer van datasets gebruik van serverruimte gehost bij Microsoft (Azure).
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: De datacenters waarvan gebruik wordt gemaakt zijn altijd gevestigd binnen de EER.
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Irixs B.V., de heer M. Pool, telefoonnummer: +31(0)00- 00 00 000.
Versie
Versie 2, datum laatste aanpassing: januari 2023
BIJLAGE 2: TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN
De Verwerker is overeenkomstig de AVG en deze Verwerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens. Daarbij wordt vooraf opgemerkt dat Irixs beschikt over een ISO 27011 certificering.
Article 15. Omschrijving van de maatregelen zoals bedoeld in artikel ‘Beveiliging en controle’ (artikel 6 lid 2 Verwerkersovereenkomst)
1) Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens. Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Verwerker toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de persoonsgegevens.
a) (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens:
i) (Data) Consultants – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1);
ii) Projectmanagers – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1);
iii) Directie en overige medewerkers – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1).
b) handelingen die deze medewerkers uitvoeren met de Persoonsgegevens:
i) Persoonsgegevens worden verwerkt volgens de doeleinden, zoals omschreven in Bijlage 1 (sectie C).
2) Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking. Meer in het bijzonder de uitwerking van de door Verwerker getroffen technische en organisatorische (beveiligings-)maatregelen en de daarbij gehanteerde beveiligingsnorm.
a) Beleid rondom bedrijfseigendommen, waarbij het niet toegestaan is je laptop of telefoon onbeheerd achter te laten. Bovendien is op de laptop een screensaver ingesteld en is de telefoon beveiligd met een pincode of biometrische beveiliging als gezichtsherkenning danwel vingerafdrukscanner;
b) Er wordt binnen Irixs geen gebruik gemaakt van USB-sticks om bedrijfsgegevens op te slaan;
c) Er wordt binnen Irixs gebruik gemaakt van SharePoint om organisatiegegevens op te slaan, zodat deze gegevens niet lokaal opgeslagen staan, maar opgeslagen zijn op een beveiligde server. Bestanden die toebehoren aan de medewerkers van Irixs, zijn ook alleen beschikbaar voor de medewerkers van Irixs. Voor sommige
bestanden geldt dat deze alleen beschikbaar zijn voor een beperkte groep medewerkers. Verder geldt voor Sharepoint dat bestanden alleen kunnen worden gedeeld met specifieke personen waaraan een specifiek e-mailadres gekoppeld is. Iedere 30 dagen wordt gecheckt of dit e-mailadres nog in gebruik is en toebehoord aan de juiste persoon. Na 30 dagen vervalt de link die gedeeld is met deze persoon. Na 30 dagen worden gegevens van medewerkers die niet meer in dienst zijn automatisch uit Sharepoint verwijderd.
d) Lastpass: wij maken gebruik van Lastpass om onze wachtwoorden beveiligd op te slaan; Lastpass is toegankelijk met een loginnaam, wachtwoord en 2FA.
e) SentinelOne: deze virusscanner zit op al onze laptops;
f) Intune Bedrijfsportal: hiermee worden zakelijke mobiele apparaten van medewerkers van Irixs beveiligd tegen dataverlies;
g) Bitlocker: dit is geïnstalleerd op al onze laptops voor het beveiligen van de harde schijf, zodat bij verlies van de laptop de gegevens niet van de harde schijf kunnen worden gehaald.
h) Data ten behoeve van PowerBI wordt opgeslagen in Microsoft Azure. Deze cloudomgeving is slechts toegankelijk met een login en password van mensen die zijn opgenomen in de Active Directory van de Irixs Tenant. Toegang van “buiten” op specifieke SQL-databases of SFTP-servers verloopt via een procedure van “whitelisting” van IP-adressen.
i) Eens per twee jaar laat Irixs een externe partij een zogenaamde grey-box pentest uitvoeren op haar Azure omgeving en website(s).
j)
3) Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke.
Daarnaast informeren wij onze medewerkers periodiek over dataveiligheid en de omgang met privacygevoelige informatie.
15.1 Rapportage (artikel ‘Beveiliging en controle’, artikel 6 lid 3 en 4 van de Verwerkersovereenkomst)
Indien gewenst rapporteert Verwerker periodiek aan Verwerkingsverantwoordelijke over de door Verwerker genomen maatregelen over de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin. U kunt hiervoor contact opnemen met onze helpdesk over beveiligingsincidenten via xxxxxxxxxxxxxxxxxxxxxx@xxxxx.xx.
15.2 Informeren over Datalekken en/of incidenten met betrekking tot beveiliging Afspraken over het informeren in geval van Datalekken en/of incidenten met betrekking tot beveiliging:
Alle datalekken van persoonsgegevens moeten intern worden gemeld en worden gedocumenteerd door de Data Security Officer (hierna DSO). Binnen de organisatie is dit Xxxxxxxx Xxxx. De melding kan door iedere medewerker en iedere subverwerker worden gedaan. De melding kan ook door een externe persoon worden gedaan bij een medewerker van Irixs. De melding moet direct en telefonisch worden gedaan bij de DSO en schriftelijk worden vastgelegd. De DSO meldt het Datalek zo nodig bij de Verwerkingsverantwoordelijke. Het is aan de Verwerkingsverantwoordelijke om af te wegen of er een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens en/of bij betrokkenen.
Article 16. Ontvangstbevestiging Verwerkingsverantwoordelijke
Is er een melding gedaan bij de Verwerkingsverantwoordelijke, dan ontvangt Irixs hiervan een ontvangstbevestiging.
16.1 Versie
Versie 2, datum laatste aanpassing: januari 2023