Verwerkersovereenkomst
Verwerkersovereenkomst
Forque Advisory Services Netherlands B.V.
Inhoud pagina
1. Definities 3
2. Onderwerp en opdracht Verwerkerovereenkomst 3
3. Rolverdeling 3
4. Gebruik persoonsgegevens 4
5. Geheimhouding 4
6. Beveiliging & controle 4
7. Datalekken 5
8. Procedure rechten betrokkenen 6
9. Verwerking buiten de Europese Economische Ruimte 6
10. Inschakeling Subverwerker 6
11. Bewaartermijnen en vernietiging Persoonsgegevens 7
12. Tegenstrijdigheid en wijziging Verwerkersovereenkomst 7
13. Duur en beëindiging 7
14. Toepasselijk recht en forumkeuze 8
Bijlage 1: Privacy bijsluiter 9
Bijlage 2: Technische en organisatorische beveiligingsmaatregelen 14
Deze verwerkersovereenkomst heeft betrekking op bepaalde producten- en/of diensten van Forque Advisory Services Netherlands B.V., gevestigd en kantoorhoudend te Enter (ov), ingeschreven bij de Kamer van Koophandel Oost Nederland onder nummer 08159416, hierna te noemen: Forque Advisory Services Netherlands B.V. (hierna: Forque) waarbij Forque optreedt als verwerker van persoonsgegevens zoals bedoeld in de Algemene Verordening Gegevensbescherming (hierna: AVG).
Forque verwijst naar deze verwerkersovereenkomst (en de bijlagen) bij een aanbieding/ offerte en deze is samen met de algemene voorwaarden, de servicelevel agreement en de aanbieding/ offerte onderdeel van de overeenkomst die met een opdrachtgever tot stand komt.
1. Definities
1.1 In deze Verwerkersovereenkomst wordt verstaan onder:
a. AVG: Algemene Verordening Gegevensbescherming (Verordening 2016/679) van 27 april 2016, zoals van kracht per 25 mei 2018;
b Betrokkene (wordt gedefinieerd onder Persoonsgegevens), Verwerker, Derde, Persoonsgegevens, Verwerking, Persoonsgegevens, Verwerkersverantwoordelijke: de begrippen zoals gedefinieerd in artikel 4 van de AVG, waarbij in deze verwerkersovereenkomst Forque de rol van Verwerker heeft en de opdrachtgever van Forque de rol van Verwerkersverantwoordelijke;
c Verwerkersovereenkomst: deze Verwerkersovereenkomst, inclusief Bijlagen;
d Bijlage: een bijlage bij deze Verwerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt, te weten: de Privacy Bijsluiter (bijlage 1) en een beschrijving van de Technische en organisatorische beveiligingsmaatregelen (bijlage 2);
e Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG;
f Product- en Dienstenovereenkomst: de overeenkomst tussen Verwerkingsverantwoordelijke en Forque zoals bedoeld in de algemene voorwaarden van Forque, tezamen met de servicelevel agreement en eventuele andere documenten;
g Subverwerker: de partij die door Verwerker (Forque) wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de Product- en Dienstenovereenkomst;
h Forque: Forque Advisory Service netherlands B.V. in zijn hoedanigheid als Verwerker van Persoonsgegevens.
2. Onderwerp en opdracht Verwerkersovereenkomst
2. 1 Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van overeenkomsten tussen Forque en haar opdrachtgevers en de hierop van toepassing zijnde algemene voorwaarden van Forque.
2.2 De Verwerkingsverantwoordelijke verstrekt aan Forque de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst.
3. Rolverdeling
3.1 Verwerkingsverantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens.
3.2 Forque draagt er zorg voor dat de Verwerkingsverantwoordelijke voorafgaande aan het sluiten van deze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie moet de Verwerkingsverantwoordelijke in staat stellen een keuze te maken met betrekking tot de aangeboden diensten.
3.3 De in lid 2 bedoelde diensten zijn in de Privacy Bijsluiter (Bijlage 1) bij deze Verwerkersovereenkomst beschreven, zodat de Verwerkingsverantwoordelijke geïnformeerd akkoord kan gaan met de afname van deze dienst(en). Bijlage 1 beschrijft alle diensten en/of producten van Forque waarbij Forque optreedt als Verwerker van Persoonsgegevens. Indien Verwerkingsverantwoordelijke slechts een deel van de in Bijlage 1 beschreven diensten en/of producten afneemt is Bijlage 1 slechts van toepassing op de afgenomen diensten en/of producten.
3.4 De Verwerkingsverantwoordelijke kan verplicht zijn de Verwerking van de Persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. Verwerkingsverantwoordelijke en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken.
4. Gebruik Persoonsgegevens
4.1 Verwerker verplicht zich om de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan met de Verwerkingsverantwoordelijke (mondeling, schriftelijk dan wel elektronisch) overeengekomen. Deze verplichting geldt zowel gedurende de looptijd van de Verwerkersovereenkomst als na afloop daarvan.
4.2 Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in de Privacy Bijsluiter bij deze Verwerkersovereenkomst. Forque kan de Privacy Bijsluiter van tijd tot tijd schriftelijk aanpassen of wijzigen indien een wijziging in de verwerking dit noodzaakt en zal de Verwerkingsverantwoordelijke hiervan op de hoogte stellen. Te allen tijde geldt de meest recente versie van de Verwerkersovereenkomst en Privacy Bijsluiter zoals gepubliceerd op de website van Forque.
4.3 Verwerker onthoudt zich van verstrekking van Persoonsgegeven aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Verwerkingsverantwoordelijke – indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
5. Geheimhouding
5.1 Verwerker zorgt er voor dat eenieder, waaronder haar werknemers, vertegenwoordigers en/of Subverwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker bewerkstelligt dat voor eenieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.
5.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Verwerkingsverantwoordelijke te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
6. Beveiliging en controle
6.1 Forque zal, gelijk de Verwerkingsverantwoordelijke, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
6.2 De maatregelen zoals hierboven genoemd omvatten in ieder geval:
a Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;
b Maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
c Maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke;
d Een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
6.3 In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Verwerkingsverantwoordelijke moet treffen.
6.4 Forque stelt de Verwerkingsverantwoordelijke in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in ‘Datalekken’ genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door Forque kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.
6.5 In aanvulling op lid 4 heeft de Verwerkingsverantwoordelijke te allen tijde het recht om, in overleg met Forque en met inachtneming van een redelijke termijn, op eigen kosten, de door Forque genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke Register EDP-auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker in te schakelen gecertificeerde en onafhankelijke auditor die een derden- verklaring (TPM) afgeeft. De Verwerkingsverantwoordelijke wordt geïnformeerd over de uitkomsten van de audit.
7. Datalekken
7.1 Forque heeft een passend beleid voor de omgang met Datalekken.
7.2 Indien Verwerkingsverantwoordelijke dan wel Verwerker een Datalek vaststelt, dan zal deze de andere Partij zonder onredelijke vertraging informeren.
7.3 Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Verwerkingsverantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van Xxxxxxxxxx.
7.4 Verwerker stelt bij een Datalek Verwerkingsverantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Verwerker dient hierbij aansluiting te
zoeken bij de bestaande processen die Verwerkingsverantwoordelijke daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de AVG, te voorkomen of te beperken.
7.5 In geval van een Datalek, voldoet Verwerkingsverantwoordelijke aan eventuele wettelijke meldingsplichten. Partijen kunnen in onderling overleg bepalen of, en zo ja hoe, Verwerker een melding aan de Autoriteit Persoonsgegevens kan verrichten. De Verwerkingsverantwoordelijke zal de Betrokkenen, indien wettelijk vereist, informeren over een dergelijke inbreuk. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
7.6 Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van ‘Definities’, sub e, informeert de Verwerker de Verwerkingsverantwoordelijke conform de afspraken zoals neergelegd in Bijlage 2.
8. Procedure rechten betrokkenen
8.1 Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van het verzoek. Verwerker verleent Verwerkingsverantwoordelijke – voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de eventuele kosten die hiermee gemoeid zijn.
9. Verwerking buiten de Europese Economische Ruimte
9.1 Partijen zien erop toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Verwerkingsverantwoordelijken rusten. Indien gegevens buiten de EER worden verwerkt, zal dit enkel geschieden in een land waarvan de Europese Commissie heeft bepaald dat in dit land een passend niveau van bescherming bestaat voor Persoonsgegevens, dan wel dit passende niveau van bescherming anderszins verzekerd is door de relevante autoriteiten of gerechtelijke instanties, zoals maar niet beperkt tot het gebruik van door de bevoegde instantie goedgekeurde ‘Binding Corporate Rules’ of door het gebruik van EU modelbepalingen inzake gegevensdoorgifte.
9.2 Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de partijen waar de gegevens worden verwerkt.
10. Inschakeling Subverwerker
10.1 Verwerker kan een Subverwerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen in Bijlage 1 (Privacy Bijsluiter). Over het inschakelen van overige Subverwerkers zullen wij u vooraf informeren en in de gelegenheid stellen hiertegen bezwaar te maken.
10.2 Verwerker verplicht iedere Subverwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
10.3 Verwerker verplicht iedere Subverwerker contractueel om Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen.
11. Bewaartermijnen en vernietiging Persoonsgegevens
11.1 Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker.
11.2 Verwerkingsverantwoordelijke verplicht Verwerker om de in opdracht van Verwerkingsverantwoordelijke Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst binnen redelijke termijn te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
11.3 Verwerker zal Verwerkingsverantwoordelijke (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
11.4 Verwerker zal alle door haar ingeschakelde Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.
12. Tegenstrijdigheid en wijziging Verwerkersovereenkomst
12.1 In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
12.2 Indien Partijen van de artikelen in deze Verwerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als bijlage aan de Verwerkersovereenkomst worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.
12.3 Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Verwerkingsverantwoordelijke de keuze hiertoe aanvaardt, de Verwerkingsverantwoordelijke in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) Subverwerker. De wijzigingen zullen in Bijlage 1 worden opgenomen.
12.4 Wijzigingen in de Verwerkersovereenkomst eenzijdig door Forque worden aangepast en aan de Verwerkersverantwoordelijke worden voorgelegd. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
13. Duur en beëindiging
13.1 De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
13.2 De Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden
geacht ook na beëindiging voort te duren. Dit betreft in ieder geval (doch is niet beperkt tot) artikel ‘Geheimhouding’ en artikel ‘Toepasselijk recht en forumkeuze’.
14. Toepasselijk recht en forumkeuze
14.1 Op deze rechtsverhouding is Nederlands recht exclusief van toepassing.
Alle geschillen tussen partijen worden beslecht door de rechtbank Overijssel, zittingsplaats Almelo.
Bijlage 1: Privacy bijsluiter
A. Algemene informatie
Naam product en/of dienst: Deze verwerkersovereenkomst is van toepassing op de volgende diensten en/of producten van Forque waarbij Forque optreedt als Verwerker van Persoonsgegevens:
o Implementatie AFAS Profit;
o Salarisverwerking;
o Support en SupportOnDemand;
o Consultancy;
o Software;
o Koppeling met Power BI en overige Koppelingen; en
o Maatwerk.
De producten en diensten van Forque zijn uitgebreid beschreven in de servicelevel agreement.
Naam Verwerker en vestigingsgegevens: Forque Advisory Services Netherlands B.V., Vonderweg 46a, 7468 DC Enter
Beknopte uitleg en werking product en dienst: Raadpleeg voor een uitgebreidere beschrijving de servicelevel agreement van Forque. Zie hieronder voor een beknopte beschrijving.
o Implementatie en optimalisatie AFAS Profit: De opdrachtgever van Forque schaft AFAS Profit aan en Forque configureert, implementeert en optimaliseert deze zodat de AFAS Profit aansluit op de organisatie van de opdrachtgever. Dit geldt m.n. voor de modules HRM/Payroll, ERP en InSite en OutSite. Onder deze dienst wordt ook gerekend met eventuele AFAS licenties die via Forque aan de klant in rekening wordt gebracht.
o Salarisverwerking: Forque verzorgt het aanmaken van loonstroken via de AFAS Profit omgeving van de opdrachtgever.
o Support en SupportOnDemand: Forque verleent (medewerkers van de) opdrachtgever support via telefonisch contact, e-mail en/of een online klantomgeving.
o Consultancy: Consultancy is dienstverlening van consultants van Forque voor uiteenlopende zaken, dit kan dienstverlening zijn die gerelateerd is aan o.a. software, procesoptimalisatie, advies- of interimwerkzaamheden.
o Software: Applicaties (of software tools) die als add-on software gebouwd zijn bovenop AFAS Profit voor het verwerken van e-mails (MailKoppeling), bijhouden van gewerkte uren (TimeKeeper), bijhouden van werkorders (WerkorderPlanning), bijhouden van de magazijninventaris (MagazijnScanner), en het registreren van o.a. subsidies (BatenManager).
o Koppeling met Power BI en overige Koppelingen: Koppelingen maken het mogelijk om datastromen uit o.a. AFAS Profit en Autoline te halen en in andere software te verwerken om zodoende data en processen te vertalen in informatie.
o Maatwerk: Op maat gemaakte software voor de specifieke wensen binnen de organisatie van de opdrachtgever.
B. De specifieke diensten
Omschrijving van de specifiek verleende diensten, producten en bijbehorende Verwerkingen die de verwerker aanbiedt.
Dienst | Verwerkingen |
Implementatie en optimalisatie AFAS Profit AFAS licenties | Bij de consultancy geleverd bij implementatie- en optimalisatietrajecten krijgen werknemers van Forque toegang tot het AFAS-systeem binnen Forque en de gegevens die daarin beschikbaar zijn. Werknemers van Forque kunnen gedurende hun werkzaamheden gegevens bewerken. Via Forque worden AFAS licenties afgenomen door klanten. |
Salarisverwerking | Medewerkers van Forque kunnen op afstand binnen het systeem van de Verwerkingsverantwoordelijke verwerkingen uitvoeren op persoonsgegevens van werknemers van Forque en hebben ook toegang en kunnen verwerkingen uitvoeren op de in AFAS geregistreerde gegevens van werknemers van de opdrachtgever. |
Support en SupportOnDemand | Bij Support en SupportOnDemand hebben werknemers van de opdrachtgever die een supportverzoek aanvragen een digitaal profiel waar persoonsgegevens geregistreerd staan in een ticketsysteem bij Forque. |
Consultancy | Werknemers van Forque kunnen gedurende een consultancy traject toegang krijgen tot persoonsgegevens voor zover deze in AFAS of een ander ERP systeem zijn geregistreerd. |
Software | Bij de ‘MailKoppeling’ en ‘TimeKeeper’ worden naam en e- mailadres verwerkt via een server naar de AFAS-omgeving van de opdrachtgever. Bij ‘WerkorderPlanning’ wordt alleen de naam verwerkt. |
Koppeling met Power BI en overige Koppelingen | Bij koppelingen kunnen gegevens (o.a. klantnamen, persoonsgegevens) uit AFAS of andere ERP systemen via een server in het O365 domein van Forque worden opgeslagen en / of verwerkt. |
Maatwerk | Bij maatwerk kunnen, afhankelijk van het maatwerk, persoonsgegevens worden verwerkt. |
C. Xxxxxxxxxx voor het verwerken van gegevens
Als Verwerker verwerkt Forque persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke. De aard en het doel van de verwerkingen bestaan uit de volgende activiteiten:
Product | Doeleinden |
Implementatie en optimalisatie AFAS Profit | AFAS ERP: Verwerking van diverse bedrijfsgerelateerde informatie, waaronder persoonsgegevens in de systemen van de opdrachtgever door medewerkers van Forque. Doeleinde van de verwerking is om AFAS te implementeren, te optimaliseren en werknemers bij de opdrachtgever te trainen. AFAS HRM/Payroll: De verwerkingen gebeuren in de AFAS- omgeving van de opdrachtgever maar kunnen tijdens |
implementatie of optimalisatie worden gedaan door medewerkers van Forque. Doeleinde is om het ERP systeem (binnen AFAS) in te richten of te optimaliseren voor de opdrachtgever en eventueel opdrachtgever te trainen in het gebruik van het systeem. InSite en OutSite: verwerking van diverse bedrijfsgerelateerde informatie, waaronder persoonsgegevens uit de systemen van de opdrachtgever, door medewerkers van Forque. Doeleinde van de verwerking is om InSite en OutSite in te richten en te optimaliseren. Voor de AFAS licenties wordt AFAS als subverwerker ingeschakeld. | |
Salarisverwerking | Binnen de omgeving van AFAS bij de opdrachtgever zullen medewerkers van Forque informatie verwerken voor de volgende doeleinden: ▪ Ondersteunen en opslaan van werkzaamheden en persoonsgegevens op het gebied van HRM en Payroll; ▪ Persoonsgegevens aanmaken, muteren en converteren van (alle) medewerkers van Verwerkingsverantwoordelijke; ▪ Persoonsgegevens aanmaken, muteren en converteren die gedurende het dienstverband zijn ontstaan; ▪ Persoonsgegevens aanmaken en onderhouden met betrekking tot rapportages; ▪ Het verzorgen en doen van aangifte loonheffing en andere personeelsgerelateerde belastingen; ▪ Het verzamelen en klaarzetten van periode betaling van salarissen. |
Support en SupportOnDemand | Het doel is om informatie op te slaan over de door de opdrachtgever aangewezen gebruikers zodat de supportaanvragen kunnen worden gekoppeld aan de persoon en organisatie die de aanvraag heeft ingediend. |
Consultancy | Het doel is om bedrijfsgerelateerde aangelegenheden, optimalisaties of andere zaken voor de opdrachtgever op te pakken. Veelal zijn klantvragen gerelateerd aan software of bedrijfsprocessen en consultants van Forque kunnen hierdoor in aanraking komen met de verwerking van persoonsgegevens. |
Software | Persoonsgegevens aanmaken, muteren en onderhouden in applicaties op het Forque apps platform noodzakelijk voor de functies die de software moet vervullen voor de opdrachtgever. Persoonsgegevens van Verwerkingsverantwoordelijke verzamelen en opslaan in een database gehost binnen de EER die noodzakelijkzijn voor de functies die de software moet vervullen voor de opdrachtgever. |
Koppeling met Power BI en overige Koppelingen | Overige koppelingen: Persoonsgegevens aanmaken, muteren en onderhouden in applicaties op het Forque Apps platform; |
Koppeling PowerBI: Persoonsgegevens van Verwerkingsverantwoordelijke verzamelen en opslaan in een Azure SQL-database, die wordt gehost binnen de EER. Visualisatie van de informatie via Microsoft PowerBI (zowel via O365 licenties van Verwerkingsverantwoordelijk als ook via de O365 licentie van Forque). | |
Maatwerk | Maatwerk is een softwareoplossing die o.b.v. specificaties van de opdrachtgever wordt gebouwd. Het kan hierbij voorkomen dat medewerkers van Forque in aanraking komen met de verwerking van persoonsgegevens waarvoor de opdrachtgever Verwerkingsverantwoordelijke is. |
D. Categorieën en soorten persoonsgegevens
Product | Categorieën | Omschrijving |
Implementatie en optimalisatie AFAS Profit | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: | AFAS ERP: Naam, e-mailadres, telefoonnummer. AFAS HRM/Payroll: Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: Naam, adres (NAW), geboortedatum, geboorteplaats, BSN, e- mailadres, salarisgegevens, geslacht, nationaliteit, burgerlijke staat, telefoon, bankrekeningnummer en opleiding. |
Salarisverwerking | Persoonlijke identifcatiegegevens van de werknemers waarvoor salarisverwerking wordt verzorgd: | Naam, adres, woonplaats, postcode, e- mailadres, handtekening, rekeningnummer. |
Persoonlijke kenmerken: | Geboortedatum, burgerlijke staat, nationaliteit, beroep, opleiding, kennis en ervaring. | |
Communicatiegegevens: | Contacten via telefoon, e-mail, brief, vastlegging van klachten en vragen. | |
Financiële gegevens: | Bankrekening, inkomen, en ingeval van loonbeslag: schulden en betalingsachterstanden. | |
Strafrechtelijke gegevens: | Verklaring omtrent gedrag | |
Overige persoonsgegevens: | Burgerservicenummer. | |
Support en SupportOnDemand | Persoonlijke identificatiegegevens van de werknemers bij de opdrachtgever: | Naam, adres, woonplaats, postcode en e- mailadres. |
Consultancy | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: | Naam, e-mailadres, telefoonnummer. |
Software (Tool) | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: | Naam, e-mailadres, telefoon-nummer. Bij specifieke Software worden verschillende persoons-gegevens verwerkt: ▪ MailKoppeling: naam, e-mailadres ▪ TimeKeeper: naam, verlof / verzuim / aanwezigheid, e-mailadres ▪ WerkorderPlanning: naam, e-mailadres klanten, kenteken ▪ MagazijnScanner; geen persoonsgegevens ▪ BatenManager: geen persoonsgegevens |
Xxxxxxxxx met Power BI en overige Koppelingen | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever en van klanten en leveranciers van opdrachtgever | Naam, adres, e-mailadres, telefoonnummer. |
Maatwerk | Persoonlijke identificatiegegevens van werknemers bij de opdrachtgever: | Naam, e-mailadres, telefoonnummer. |
E. Algemene informatie over getroffen beveiligingsmaatregelen
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve indien van toepassing verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
F. Subverwerkers
Verwerker maakt voor dienst/product “Koppelingen en Koppeling powerBI” gebruik van de Subverwerker: Forque maakt bij Software, en koppelingen gebruik van serverruimte gehost bij gerenommeerde partijen, te weten: Microsoft (Azure), en in geval van bepaald Maatwerk kan gebruik worden gemaakt van hosting bij Heroku. Indien Forque gebruik maakt van andere Subverwerkers wordt dit gespecificeerd in de offerte / aanbieding van Forque en wordt daarmee onderdeel van expliciete instemming van de opdrachtgever.
Verwerker maakt voor dienst/product “AFAS licenties”gebruik van de Subverwerker: AFAS Software B.V. verzamelt geanonimiseerde gegevens over het gebruik van haar producten. Deze gegevens ondersteunen AFAS om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. Hiermee kan AFAS haar producten en dienstverlening verbeteren en zal de geanonimiseerde gegevens ook uitsluitend hiervoor gebruiken.
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: De datacenters waar de servers zijn altijd gevestigd binnen de EER.
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Forque Advisory Services Netherlands B.V., de heer M. Pool, telefoonnummer: +31(0)00- 00 00 000.
Bijlage 2: Technische en organisatorische beveiligingsmaatregelen
De Verwerker is overeenkomstig AVG en deze Verwerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens.
Omschrijving van de maatregelen zoals bedoeld in artikel ‘Beveiliging en controle’ (artikel 6 lid 2 Verwerkersovereenkomst)
1. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens. Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Verwerker toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de persoonsgegevens.
a. (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens: i.Consultants – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1);
ii.Projectmanagers – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1);
iii.Directie en overige medewerkers – Persoonsgegevens zoals opgenomen in categorieën en soorten (bijlage 1).
b. handelingen die deze medewerkers uitvoeren met de Persoonsgegevens: i.Persoonsgegevens worden verwerkt volgens de doeleinden, zoals omschreven in Bijlage 1 (sectie C).
2. Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking. Meer in het bijzonder de uitwerking van de door Verwerker getroffen technische en organisatorische (beveiligings-) maatregelen en de daarbij gehanteerde beveiligingsnorm.
a. Beleid rondom bedrijfseigendommen, waarbij het niet toegestaan is je laptop of telefoon onbeheerd achter te laten. Bovendien is op de laptop een screensaver ingesteld en is de telefoon beveiligd met een pincode of biometrische beveiliging als gezichtsherkenning danwel vingerafdrukscanner;
b. Er wordt binnen Forque geen gebruik gemaakt van USB-sticks om bedrijfsgegevens op te slaan;
c. Er wordt binnen Forque gebruik gemaakt van SharePoint om organisatiegegevens op te slaan, zodat deze gegevens niet lokaal opgeslagen staan, maar opgeslagen zijn op een beveiligde server. Bestanden die toebehoren aan de medewerkers van Forque, zijn ook alleen beschikbaar voor de medewerkers van Forque. Voor sommige bestanden geldt dat deze alleen beschikbaar zijn voor een beperkte groep medewerkers. Verder geldt
voor Sharepoint dat bestanden alleen kunnen worden gedeeld met specifieke personen waaraan een specifiek e-mailadres gekoppeld is. Iedere 30 dagen wordt gecheckt of dit e- mailadres nog in gebruik is en toebehoord aan de juiste persoon. Na 30 dagen vervalt de link die gedeeld is met deze persoon. Na 30 dagen worden gegevens van medewerkers die niet meer in dienst zijn automatisch uit Sharepoint verwijderd.
d. Lastpass: wij maken gebruik van Lastpass om onze wachtwoorden beveiligd op te slaan;
e. N-Central Security Manager AV Defender: deze virusscanner zit op al onze laptops;
f. Intune Bedrijfsportal: hiermee worden mobiele apparaten van medewerkers van Forque beveiligd tegen dataverlies;
g. Bitlocker: dit is geïnstalleerd op al onze laptops voor het beveiligen van de harde schijf, zodat bij verlies van de laptop de gegevens niet van de harde schijf kunnen worden gehaald.
h. Data ten behoeve van PowerBI wordt opgeslagen in Microsoft Azure.
Deze cloudomgeving is slechts toegankelijk met een login en password van mensen die zijn opgenomen in de Active Directory van de Forque Tenant. Toegang van “buiten” op specifieke SQL-databases of SFTP-servers verloopt via een procedure van “whitelisting” van IP-adressen.
3. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Verwerkingsverantwoordelijke.
Wij informeren onze medewerkers periodiek over dataveiligheid en de omgang met privacygevoelige informatie.
Rapportage (artikel ‘Beveiliging en controle’, artikel 6 lid 3 en 4 van de Verwerkersovereenkomst)
Indien gewenst rapporteert Verwerker periodiek aan Verwerkingsverantwoordelijke over de door Verwerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin. U kunt hiervoor contact opnemen met onze helpdesk omtrent beveiligingsincidenten via xxxxxxxxxxxxxxxxxxxxxx@xxxxxx.xx.
Informeren over Datalekken en/of incidenten met betrekking tot beveiliging
Afspraken over het informeren in geval van Xxxxxxxxxx en/of incidenten met betrekking tot beveiliging:
Alle datalekken van persoonsgegevens moeten intern worden gemeld en worden gedocumenteerd door de functionaris gegevensbescherming (hierna FG). Binnen de organisatie is dit Xxxxxxxx Xxxx. De melding kan door iedere medewerker en iedere subverwerker worden gedaan. De melding kan ook door een externe persoon worden gedaan bij een medewerker van Forque. De melding moet direct en telefonisch worden gedaan bij FG en schriftelijk worden vastgelegd. FG meldt het Datalek zo nodig bij de Verwerkingsverantwoordelijke. Het is aan de Verwerkingsverantwoordelijke om af te wegen of er een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens en/of bij betrokkenen.
Ontvangstbevestiging Verwerkingsverantwoordelijke
Is er een melding gedaan bij de Verwerkingsverantwoordelijke, dan ontvangt Forque hiervan een ontvangstbevestiging.
Versie
Versie 7.0 - datum laatste aanpassing: 27 september 2019