Verwerkersovereenkomst
Irixs B.V.
Versie: 2.1
Datum: 4 december 2023 Auteur: Irixs
Deze verwerkersovereenkomst heeft betrekking op bepaalde producten- en/of diensten van Irixs B.V., gevestigd en kantoorhoudend te Enter (ov), ingeschreven bij de Kamer van Koophandel Oost Nederland onder nummer 08159416, hierna te noemen: Irixs B.V. (hierna: Irixs) waarbij Irixs optreedt als verwerker van persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (hierna: AVG). Irixs verwijst naar deze verwerkersovereenkomst (en de bijlagen) bij een aanbieding/ offerte en deze is samen met de algemene voorwaarden, de servicelevel agreement en de aanbieding/ offerte onderdeel van de overeenkomst die met een opdrachtgever tot stand komt.
In deze verwerkersovereenkomst worden de hiernavolgende termen in de navolgende betekenis gebruikt, tenzij uitdrukkelijk anders is aangegeven.
Artikel 1. Definities
1.1 In deze Verwerkersovereenkomst wordt verstaan onder:
a AVG: Algemene Verordening Gegevensbescherming (Verordening 2016/679) van 27 april 2016, zoals van kracht per 25 mei 2018;
b Betrokkene (wordt gedefinieerd onder Persoonsgegevens), Verwerker, Derde, Persoonsgegevens, Verwerking, Persoonsgegevens, Verwerkersverantwoordelijke: de begrippen zoals gedefinieerd in artikel 4 van de AVG, waarbij in deze verwerkersovereenkomst Irixs de rol van Verwerker heeft en de opdrachtgever van Irixs de rol van Verwerkersverantwoordelijke;
c Verwerkersovereenkomst: deze Verwerkersovereenkomst, inclusief Bijlagen;
d Bijlage: een bijlage bij deze Verwerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt, te weten: de Privacy Bijsluiter (bijlage 1) en een beschrijving van de Technische en organisatorische beveiligingsmaatregelen (bijlage 2);
e Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG;
f Product- en Dienstenovereenkomst: de overeenkomst tussen Verwerkingsverantwoordelijke en Irixs zoals bedoeld in de algemene voorwaarden van Irixs, tezamen met de servicelevel agreement en eventuele andere documenten;
g Subverwerker: de partij die door Verwerker (Irixs) wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de Product- en Dienstenovereenkomst;
h Irixs: Irixs B.V. in zijn hoedanigheid als Verwerker van Persoonsgegevens.
Artikel 2. Onderwerp en opdracht Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van overeenkomsten tussen Irixs en haar opdrachtgevers en de hierop van toepassing zijnde algemene voorwaarden van Irixs.
2.2 De Verwerkingsverantwoordelijke verstrekt aan Irixs de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst.
Artikel 3. Rolverdeling
3.1 Verwerkingsverantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens.
3.2 Irixs draagt er zorg voor dat de Verwerkingsverantwoordelijke voorafgaande aan het sluiten van deze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie moet de Verwerkingsverantwoordelijke in staat stellen een keuze te maken met betrekking tot de aangeboden diensten.
3.3 De in lid 2 bedoelde diensten zijn in de Privacy Bijsluiter (Bijlage 1) bij deze Verwerkersovereenkomst beschreven, zodat de Verwerkingsverantwoordelijke geïnformeerd akkoord kan gaan met de afname van deze dienst(en). Bijlage 1 beschrijft alle diensten en/of producten van Irixs waarbij Irixs optreedt als Verwerker van Persoonsgegevens. Indien Verwerkingsverantwoordelijke slechts een deel van de in Bijlage 1 beschreven diensten en/of producten afneemt is Bijlage 1 slechts van toepassing op de afgenomen diensten en/of producten.
3.4 De Verwerkingsverantwoordelijke kan verplicht zijn de Verwerking van de Persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Verwerkingsverantwoordelijke en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken.
Artikel 4. Gebruik Persoonsgegevens
4.1 Verwerker verplicht zich om de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan met de Verwerkingsverantwoordelijke (mondeling, schriftelijk dan wel elektronisch) overeengekomen. Deze verplichting geldt zowel gedurende de looptijd van de Verwerkersovereenkomst als na afloop daarvan.
4.2 Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in de Privacy Bijsluiter bij deze Verwerkersovereenkomst. Irixs kan de Privacy Bijsluiter van tijd tot tijd schriftelijk
aanpassen of wijzigen indien een wijziging in de verwerking dit noodzaakt en zal de Verwerkingsverantwoordelijke hiervan op de hoogte stellen. Te allen tijde geldt de meest recente versie van de Verwerkersovereenkomst en Privacy Bijsluiter zoals gepubliceerd op de website van Irixs.
4.3 Verwerker onthoudt zich van verstrekking van Persoonsgegeven aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Verwerkingsverantwoordelijke – indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
Artikel 5. Geheimhouding
5.1 Verwerker zorgt ervoor dat eenieder, waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker bewerkstelligt dat voor eenieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.
5.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor de Verwerker voor zover Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Verwerkingsverantwoordelijke te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
Artikel 6. Beveiliging en controle
6.1 Irixs zal, gelijk de Verwerkingsverantwoordelijke, zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend
beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het
verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
6.2 De maatregelen zoals hierboven genoemd omvatten in ieder geval:
a Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;
b Maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
c Maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke;
d Een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
6.3 In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Verwerkingsverantwoordelijke moet treffen.
6.4 Irixs stelt de Verwerkingsverantwoordelijke in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in ‘Datalekken’ genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door Irixs kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.
6.5 In aanvulling op lid 4 heeft de Verwerkingsverantwoordelijke te allen tijde het recht om, in overleg met Irixs en met inachtneming van een redelijke termijn, op eigen kosten, de door Irixs genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke Register EDP- auditor (IT-auditor). Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker in te schakelen gecertificeerde en onafhankelijke auditor die een derden-verklaring (zgn. “Third Party Memorandum”, TPM) afgeeft. De Verwerkingsverantwoordelijke wordt geïnformeerd over de uitkomsten van de audit.
Artikel 7. Datalekken
7.1 Irixs heeft een passend beleid voor de omgang met Datalekken.
7.2 Indien Verwerkingsverantwoordelijke dan wel Verwerker een Datalek vaststelt, dan zal deze de andere Partij zonder onredelijke vertraging, maar uiterlijk binnen 24 uur na ontdekking, informeren.
7.3 Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Verwerkingsverantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van Xxxxxxxxxx.
7.4 Verwerker stelt bij een Datalek Verwerkingsverantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Verwerker dient hierbij aansluiting te zoeken bij de bestaande processen die Verwerkingsverantwoordelijke daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de AVG, te voorkomen of te beperken.
7.5 In geval van een Datalek, voldoet Verwerkingsverantwoordelijke aan eventuele wettelijke meldingsplichten. Partijen kunnen in onderling overleg bepalen of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten. De Verwerkingsverantwoordelijke zal de Betrokkenen, indien wettelijk vereist, informeren over een dergelijke inbreuk. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
7.6 Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van ‘Definities’, sub e, informeert de Verwerker de Verwerkingsverantwoordelijke conform de afspraken zoals neergelegd in Bijlage 2.
Artikel 8. Procedure rechten betrokkenen
8.1 Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek. Verwerker verleent Verwerkingsverantwoordelijke – voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de eventuele kosten die hiermee gemoeid zijn.
Artikel 9. Verwerking buiten de Europese Economische Ruimte
9.1 Partijen zien erop toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Verwerkingsverantwoordelijken rusten. Indien gegevens buiten de EER worden verwerkt, zal dit enkel geschieden in een land waarvan de Europese Commissie heeft bepaald dat in dit land een passend niveau van bescherming bestaat voor Persoonsgegevens, dan wel dit passende niveau van bescherming anderszins verzekerd is door de relevante autoriteiten of gerechtelijke instanties, zoals maar niet beperkt tot het gebruik van door de bevoegde instantie goedgekeurde ‘Binding Corporate Rules’ of door het gebruik van EU modelbepalingen inzake gegevensdoorgifte.
9.2 Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de partijen waar de gegevens worden verwerkt.
Artikel 10. Inschakeling Subverwerker
10.1 Verwerker kan een Subverwerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen in Bijlage 1 (Privacy Bijsluiter). Over het inschakelen van overige Subverwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.
10.2 Verwerker verplicht iedere Subverwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
10.3 Verwerker verplicht iedere Subverwerker contractueel om Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen.
Artikel 11. Bewaartermijnen en vernietiging Persoonsgegevens
11.1 Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker.
11.2 Verwerkingsverantwoordelijke verplicht Verwerker om de in opdracht van Verwerkingsverantwoordelijke Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst binnen redelijke termijn te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Verwerkingsverantwoordelijke.
De Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
11.3 Verwerker zal Verwerkingsverantwoordelijke (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
11.4 Verwerker zal alle door haar ingeschakelde Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.
Artikel 12. Tegenstrijdigheid en wijziging Verwerkersovereenkomst
12.1 In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
12.2 Indien Partijen van de artikelen in deze Verwerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als bijlage aan de Verwerkersovereenkomst worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.
12.3 Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Verwerkingsverantwoordelijke de keuze hiertoe aanvaardt, de Verwerkingsverantwoordelijke in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) Subverwerker. De wijzigingen zullen in Bijlage 1 worden opgenomen.
12.4 Wijzigingen in de Verwerkersovereenkomst kunnen eenzijdig door Irixs worden aangepast en aan de Verwerkersverantwoordelijke worden voorgelegd. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
Artikel 13. Duur en beëindiging
13.1 De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
13.2 De Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren. Dit betreft in ieder geval (doch is niet beperkt tot) artikel ‘Geheimhouding’ en artikel ‘Toepasselijk recht en forumkeuze’.
Artikel 14. Toepasselijk recht en forumkeuze
14.1 Op deze rechtsverhouding is Nederlands recht exclusief van toepassing. Alle geschillen tussen partijen worden beslecht door de rechtbank Overijssel, zittingsplaats Almelo.
BIJLAGE 1: PRIVACY BIJSLUITER - STANDAARDPRODUCTEN
A. Algemene informatie
▪ Naam product en/of dienst: Deze verwerkersovereenkomst is van toepassing op de volgende diensten en/of producten van Irixs waarbij Irixs optreedt als Verwerker van Persoonsgegevens:
o Implementatie AFAS Profit;
o Salarisverwerking;
o Support en SupportOnDemand;
o Consultancy;
o Functioneel Beheer;
De producten en diensten van Irixs zijn uitgebreid beschreven in de servicelevel agreement.
▪ Naam Verwerker en vestigingsgegevens: Irixs B.V., Vonderweg 46a, 7468 DC Enter
▪ Beknopte uitleg en werking product en dienst: Raadpleeg voor een uitgebreidere beschrijving de servicelevel agreement van Irixs. Zie hieronder voor een beknopte beschrijving.
o Implementatie en optimalisatie AFAS Profit: De opdrachtgever van Irixs schaft AFAS Profit aan en Irixs configureert, implementeert en optimaliseert deze zodat de AFAS Profit aansluit op de organisatie van de opdrachtgever. Dit geldt m.n. voor de modules HRM/Payroll, ERP en InSite en OutSite. Onder deze dienst wordt ook gerekend met eventuele AFAS-licenties die via Irixs aan de klant in rekening wordt gebracht.
o Salarisverwerking: Irixs verzorgt het aanmaken van loonstroken via de AFAS Profit omgeving van de opdrachtgever.
o Support en SupportOnDemand: Irixs verleent (medewerkers van de) opdrachtgever support via telefonisch contact, e-mail en/of een online klantomgeving.
o Consultancy: Consultancy is dienstverlening van consultants van Irixs voor uiteenlopende zaken, dit kan dienstverlening zijn die gerelateerd is aan o.a. software, procesoptimalisatie, advies- of interimwerkzaamheden.
o Functioneel Beheer: Functioneel Beheer is dienstverlening van consultants van Irixs voor het structureel onderhouden en optimaliseren van ERP- systemen bij een opdrachtgever.
B. De specifieke diensten
Omschrijving van de specifiek verleende diensten, producten en bijbehorende Verwerkingen die de verwerker aanbiedt.
Dienst | Verwerkingen |
Implementatie en optimalisatie AFAS Profit AFAS-licenties | Bij de consultancy geleverd bij implementatie- en optimalisatietrajecten krijgen werknemers van Irixs toegang tot het AFAS-systeem binnen Irixs en de gegevens die daarin beschikbaar zijn. Werknemers van Irixs kunnen gedurende hun werkzaamheden gegevens bewerken. Via Irixs worden AFAS-licenties afgenomen door klanten. |
Salarisverwerking | Medewerkers van Irixs kunnen op afstand binnen het systeem van de Verwerkingsverantwoordelijke verwerkingen uitvoeren op persoonsgegevens van werknemers van Irixs en hebben ook toegang en kunnen verwerkingen uitvoeren op de in AFAS geregistreerde gegevens van werknemers van de opdrachtgever. |
Support en SupportOnDemand | Bij Support en SupportOnDemand hebben werknemers van de opdrachtgever die een supportverzoek aanvragen een digitaal profiel waar persoonsgegevens geregistreerd staan in een ticketsysteem bij Irixs. |
Consultancy | Werknemers van Irixs kunnen gedurende een consultancy traject toegang krijgen tot persoonsgegevens voor zover deze in AFAS of een ander ERP systeem zijn geregistreerd. |
Functioneel Beheer | Werknemers van Irixs kunnen gedurende Functioneel Beheer toegang krijgen tot persoonsgegevens voor zover deze in AFAS of een ander ERP systeem zijn geregistreerd. |
C. Xxxxxxxxxx voor het verwerken van gegevens
Als Verwerker verwerkt Irixs persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke. De aard en het doel van de verwerkingen bestaan uit de volgende activiteiten:
Product | Doeleinden |
Implementatie en optimalisatie AFAS Profit | AFAS ERP: Verwerking van diverse bedrijfsgerelateerde informatie, waaronder persoonsgegevens in de systemen van de opdrachtgever door medewerkers van Irixs. Doeleinde van de verwerking is om AFAS te implementeren, te optimaliseren en werknemers bij de opdrachtgever te trainen. |
AFAS HRM/Payroll: De verwerkingen gebeuren in de AFAS- omgeving van de opdrachtgever maar kunnen tijdens implementatie of optimalisatie worden gedaan door medewerkers van Irixs. Doeleinde is om het ERP systeem (binnen AFAS) in te richten of te optimaliseren voor de opdrachtgever en eventueel opdrachtgever te trainen in het gebruik van het systeem. InSite en OutSite: verwerking van diverse bedrijfsgerelateerde informatie, waaronder persoonsgegevens uit de systemen van de opdrachtgever, door medewerkers van Irixs. Doeleinde van de verwerking is om InSite en OutSite in te richten en te optimaliseren. Voor de AFAS-licenties wordt AFAS als subverwerker ingeschakeld indien de licentie wordt afgenomen via Irixs. Meestal wordt, daarintegen, de licentie afgenomen door de Verwerkingsverantwoordelijke zelf, hierdoor bestaat meestal tussen de Verwerkingsverantwoordelijke en separate verwerkersovereenkomst. | |
Salarisverwerking | Binnen de omgeving van AFAS bij de opdrachtgever zullen medewerkers van Irixs informatie verwerken voor de volgende doeleinden: ▪ Ondersteunen en opslaan van werkzaamheden en persoonsgegevens op het gebied van HRM en Payroll; ▪ Persoonsgegevens aanmaken, muteren en converteren van (alle) medewerkers van Verwerkingsverantwoordelijke; ▪ Persoonsgegevens aanmaken, muteren en converteren die gedurende het dienstverband zijn ontstaan; ▪ Persoonsgegevens aanmaken en onderhouden met betrekking tot rapportages; ▪ Het verzorgen en doen van aangifte loonheffing en andere personeelsgerelateerde belastingen; ▪ Het verzamelen en klaarzetten van periode betaling van salarissen. |
Support en SupportOnDemand | Het doel is om informatie op te slaan over de door de opdrachtgever aangewezen gebruikers zodat de supportaanvragen kunnen worden gekoppeld aan de persoon en organisatie die de aanvraag heeft ingediend. |
Consultancy | Het doel is om bedrijfsgerelateerde aangelegenheden, optimalisaties of andere zaken voor de opdrachtgever op te pakken. Veelal zijn klantvragen gerelateerd aan software of bedrijfsprocessen en consultants van Irixs kunnen hierdoor in aanraking komen met de verwerking van persoonsgegevens. |
Functioneel Beheer | Het doel is om structureel onderhoud en optimalisatie te leveren aan de opdrachtgever. Functioneel Beheerders kunnen hierdoor in aanraking komen met de verwerking van persoonsgegevens. |
D. Categorieën en soorten persoonsgegevens
Product | Categorieën | Omschrijving |
Implementatie en optimalisatie AFAS Profit | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: | AFAS ERP: Naam, e-mailadres, telefoonnummer. AFAS HRM/Payroll: Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: Naam, adres (NAW), geboortedatum, geboorteplaats, BSN, e- mailadres, salarisgegevens, geslacht, nationaliteit, burgerlijke staat, telefoon, bankrekeningnummer en opleiding. |
Salarisverwerkin g | Persoonlijke identifcatiegegevens van de werknemers | Naam, adres, woonplaats, postcode, e- mailadres, handtekening, rekeningnummer. |
waarvoor | ||
salarisverwerking wordt | ||
verzorgd: | ||
Persoonlijke kenmerken: | Geboortedatum, burgerlijke staat, nationaliteit, beroep, opleiding, kennis en ervaring. | |
Communicatiegegeven s: | Contacten via telefoon, e-mail, brief, vastlegging van klachten en vragen. | |
Financiële gegevens: | Bankrekening, inkomen, en ingeval van loonbeslag: schulden en betalingsachterstanden. | |
Strafrechtelijke | Verklaring omtrent gedrag | |
gegevens: |
Overige persoonsgegevens: | Burgerservicenummer. | |
Support en SupportOnDema nd | Persoonlijke identificatiegegevens van de werknemers bij de opdrachtgever: | Naam, adres, woonplaats, postcode en e- mailadres. |
Consultancy | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: | Naam, e-mailadres, telefoonnummer. |
Functioneel Beheer | Persoonlijke identificatiegegevens van de werknemers bij de opdrachtgever, of eventuele andere persoonsgegevens die door de opdrachtgever van derden worden bijgehouden: | Naam, e-mailadres, telefoonnummer, eventuele andere gegevens die ERP- systemen of applicaties geregistreerd staan. |
E. Algemene informatie over getroffen beveiligingsmaatregelen
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve, indien van toepassing, verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
F. Subverwerkers
Verwerker maakt voor dienst/product “AFAS-licenties”gebruik van de Subverwerker: AFAS Software B.V. verzamelt geanonimiseerde gegevens over het gebruik van haar producten. Deze gegevens ondersteunen AFAS om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. Hiermee kan AFAS haar producten en dienstverlening verbeteren en zal de geanonimiseerde gegevens ook uitsluitend hiervoor gebruiken.
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: De datacenters waar de servers zijn altijd gevestigd binnen de EER.
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Irixs B.V., de heer M. Pool, telefoonnummer: +31(0)00- 00 00 000.
Versie
Versie 2.1, datum laatste aanpassing: 4 december 2023
BIJLAGE 1: PRIVACY BIJSLUITER – OPLOSSINGEN VOOR DATA
A. Algemene informatie
▪ Naam product en/of dienst: Deze verwerkersovereenkomst is van toepassing op Oplossingen voor Data door Irixs waarbij Irixs optreedt als Verwerker van Persoonsgegevens. Hiervan is slechts sprake als de dataset die door de Verwerkingsverantwoordelijke voor beheer ter beschikking wordt gesteld Persoonsgegevens bevat.
▪ Naam Verwerker en vestigingsgegevens: Irixs B.V., Vonderweg 46a, 7468 DC Enter
▪ Beknopte uitleg en werking product en dienst: Oplossingen voor Data is dienstverlening van Irixs voor het ontsluiten van een gegevensverzameling, die beschikbaar gesteld wordt voor diverse business intelligence tools. Irixs heeft diverse koppelingen met bronsystemen en verwerkt de uit de bronsystemen verkregen data tot bruikbare gegevensverzamelingen.
B. De specifieke diensten
Omschrijving van de specifiek verleende diensten, producten en bijbehorende Verwerkingen die de verwerker aanbiedt.
Verwerkingen |
De eventuele Verwerkingen bij Oplossingen voor Data is afhankelijk van de data die vanuit het bronsysteem voor ontsluiting worden aangeboden aan Irixs. Verwerkingsverantwoordelijke en Irixs moeten in onderling overleg vaststellen welke Verwerkingen plaats (kunnen) vinden. De data wordt bij Oplossingen voor Data doorgaans opgehaald en doorgezonden. Dit wordt aangemerkt als een verwerking. |
C. Xxxxxxxxxx voor het verwerken van gegevens
Als Verwerker verwerkt Irixs persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke. De aard en het doel van de verwerkingen bestaan uit de volgende activiteiten:
Doeleinden |
De doeleinden van de eventuele Verwerkingen bij Oplossingen voor Data is afhankelijk van de data die vanuit het bronsysteem voor ontsluiting worden aangeboden aan Irixs. |
Verwerkingsverantwoordelijke en Irixs moeten in onderling overleg vaststellen met welke doeleinden Verwerkingen eventueel plaats vinden.
D. Categorieën en soorten persoonsgegevens
Categorieën | Omschrijving |
Categorieën zijn afhankelijk van de datasets die voor de Verwerkingsverantwoorde lijke beheerd moeten worden. | De omschrijving is afhankelijk van de datasets die voor de Verwerkingsverantwoordelijke beheerd moeten worden. |
E. Algemene informatie over getroffen beveiligingsmaatregelen
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve indien van toepassing verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
F. Subverwerkers
Verwerker maakt voor dienst/product “Beheer van Datasets” gebruik van de volgende Subverwerker(s): Irixs maakt bij het Beheer van datasets gebruik van serverruimte gehost bij Microsoft (Azure).
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: De datacenters waarvan gebruik wordt gemaakt zijn altijd gevestigd binnen de EER.
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Irixs B.V., de heer M. Pool, telefoonnummer: +31(0)00- 00 00 000.
Versie
Versie 2.1, datum laatste aanpassing: 4 december 2023
BIJLAGE 1: PRIVACY BIJSLUITER – DEVELOPMENT OPLOSSINGEN
A. Algemene informatie
▪ Naam product en/of dienst: Deze verwerkersovereenkomst is van toepassing op Development Oplossingen door Irixs waarbij Irixs optreedt als Verwerker van Persoonsgegevens door het verrichten van consultancy door Irixs voor het ontsluiten van data voor verwerking door Irixs.
▪ Naam Verwerker en vestigingsgegevens: Irixs B.V., Vonderweg 46a, 7468 DC Enter
▪ Beknopte uitleg en werking product en dienst: Development Oplossingen is dienstverlening van consultants van Irixs voor de bouw van systemen voor de ontsluiting van data uit diverse software. In de praktijk komt dit neer op het bouwen van software / middleware tussen een bestaand systeem en het Irixs platform.
B. De specifieke diensten
Omschrijving van de specifiek verleende diensten, producten en bijbehorende Verwerkingen die de verwerker aanbiedt.
Verwerkingen |
Werknemers van Irixs kunnen gedurende een consultancy traject toegang krijgen tot persoonsgegevens voor zover deze in de te ontsluiten software zijn geregistreerd. Tijdens het ontwikkeltraject kan het voorkomen dat medewerkers van Irixs persoonsgegevens kunnen inzien. |
C. Xxxxxxxxxx voor het verwerken van gegevens
Als Verwerker verwerkt Irixs persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke. De aard en het doel van de verwerkingen bestaan uit de volgende activiteiten:
Doeleinden |
Het bouwen van een aansluiting voor bestaande software met het Irixs platform ten behoeve van het Development Oplossingen. |
D. Categorieën en soorten persoonsgegevens
Categorieën | Omschrijving |
Afhankelijk van de data aanwezig in het te ontsluiten systeem. Opdrachtgever (Verwerkingsverantwoordel ijke) wordt gevraagd de categorieën hier zelf aan te vullen. | Afhankelijk van de data aanwezig in het te ontsluiten systeem. Opdrachtgever (Verwerkingsverantwoordelijke) wordt gevraagd de omschrijving hier zelf aan te vullen. |
E. Algemene informatie over getroffen beveiligingsmaatregelen
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve, indien van toepassing, verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
F. Subverwerkers
Verwerker maakt voor dienst/product “Data Consultancy” gebruik van de volgende Subverwerker(s): Als serverruimte vereist is, maakt Irixs bij Data Consultancy gebruik van serverruimte gehost bij Microsoft (Azure).
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: De datacenters waarvan gebruik wordt gemaakt zijn altijd gevestigd binnen de EER.
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Irixs B.V., de heer M. Pool, telefoonnummer: +31(0)00- 00 00 000.
Versie
Versie 2.1, datum laatste aanpassing: 4 december 2023
BIJLAGE 2: TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN
De Verwerker is overeenkomstig de AVG en deze Verwerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens. Daarbij wordt vooraf opgemerkt dat Irixs beschikt over een ISO 27001 certificering.
Omschrijving van de maatregelen zoals bedoeld in artikel ‘Beveiliging en controle’ (artikel
6 lid 2 Verwerkersovereenkomst)
1) Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens. Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Verwerker toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de persoonsgegevens.
a) (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens:
i) (Data) Consultants – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1);
ii) Projectmanagers – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1);
iii) Directie en overige medewerkers – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1).
b) handelingen die deze medewerkers uitvoeren met de Persoonsgegevens:
i) Persoonsgegevens worden verwerkt volgens de doeleinden, zoals omschreven in Bijlage 1 (sectie C).
2) Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking. Meer in het bijzonder de uitwerking van de door Verwerker getroffen technische en organisatorische (beveiligings-)maatregelen en de daarbij gehanteerde beveiligingsnorm.
a) Beleid rondom bedrijfseigendommen, waarbij het niet toegestaan is je laptop of telefoon onbeheerd achter te laten. Bovendien is op de laptop een screensaver ingesteld en is de telefoon beveiligd met een pincode of biometrische beveiliging als gezichtsherkenning danwel vingerafdrukscanner;
b) Er wordt binnen Irixs geen gebruik gemaakt van USB-sticks om bedrijfsgegevens op te slaan;
c) Er wordt binnen Irixs gebruik gemaakt van SharePoint om organisatiegegevens op te slaan, zodat deze gegevens niet lokaal opgeslagen staan, maar opgeslagen zijn op een beveiligde server. Bestanden die toebehoren aan de medewerkers van Irixs, zijn ook alleen beschikbaar voor de medewerkers van Irixs. Voor sommige
bestanden geldt dat deze alleen beschikbaar zijn voor een beperkte groep medewerkers. Verder geldt voor Sharepoint dat bestanden alleen kunnen worden gedeeld met specifieke personen waaraan een specifiek e-mailadres gekoppeld is. Iedere 30 dagen wordt gecheckt of dit e-mailadres nog in gebruik is en toebehoord aan de juiste persoon. Na 30 dagen vervalt de link die gedeeld is met deze persoon. Na 30 dagen worden gegevens van medewerkers die niet meer in dienst zijn automatisch uit Sharepoint verwijderd.
d) Lastpass: wij maken gebruik van Lastpass om onze wachtwoorden beveiligd op te slaan; Lastpass is toegankelijk met een loginnaam, wachtwoord en 2FA.
e) SentinelOne: deze virusscanner zit op al onze laptops;
f) Intune Bedrijfsportal: hiermee worden zakelijke mobiele apparaten van medewerkers van Irixs beveiligd tegen dataverlies;
g) Bitlocker: dit is geïnstalleerd op al onze laptops voor het beveiligen van de harde schijf, zodat bij verlies van de laptop de gegevens niet van de harde schijf kunnen worden gehaald.
h) Data ten behoeve van PowerBI wordt opgeslagen in Microsoft Azure. Deze cloudomgeving is slechts toegankelijk met een login en password van mensen die zijn opgenomen in de Active Directory van de Irixs Tenant. Toegang van “buiten” op specifieke SQL-databases of SFTP-servers verloopt via een procedure van “whitelisting” van IP-adressen.
i) Eens per twee jaar laat Irixs een externe partij een zogenaamde grey-box pentest uitvoeren op haar Azure omgeving en website(s).
3) Irixs doet regelmatig controles om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke te controleren. Daarnaast informeren wij onze medewerkers periodiek over dataveiligheid en de omgang met privacygevoelige informatie.
Rapportage (artikel ‘Beveiliging en controle’, artikel 6 lid 3 en 4 van de
Verwerkersovereenkomst)
Indien gewenst rapporteert Verwerker periodiek aan Verwerkingsverantwoordelijke over de door Verwerker genomen maatregelen over de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin. U kunt hiervoor contact opnemen met onze helpdesk over beveiligingsincidenten via xxxxxxxxxxxxxxxxxxxxxx@xxxxx.xx.
Informeren over Datalekken en/of incidenten met betrekking tot beveiliging
Afspraken over het informeren in geval van Xxxxxxxxxx en/of incidenten met betrekking tot beveiliging:
Alle datalekken van persoonsgegevens moeten intern worden gemeld en worden gedocumenteerd door de Data Security Officer (hierna DSO). Binnen de organisatie is dit Xxxxxxxx Xxxx. De melding kan door iedere medewerker en iedere subverwerker worden gedaan. De melding kan ook door een externe persoon worden gedaan bij een medewerker van Irixs. De melding moet direct en telefonisch worden gedaan bij de DSO en schriftelijk worden vastgelegd. De DSO meldt het Datalek zo nodig bij de Verwerkingsverantwoordelijke. Het is aan de Verwerkingsverantwoordelijke om af te wegen of er een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens en/of bij betrokkenen.
Ontvangstbevestiging Verwerkingsverantwoordelijke
Is er een melding gedaan bij de Verwerkingsverantwoordelijke, dan ontvangt Irixs hiervan een ontvangstbevestiging.
Versie
Versie 2.1, datum laatste aanpassing: 4 december 2023