VERWERKERS- OVEREENKOMST
VERWERKERS- OVEREENKOMST
LUCRASOFT SYSTEMS B.V.
Bestaande uit:
Deel 1. Data Pro Statement
Deel 2. Standaardclausules voor verwerkingen
Versie 4-2021
DEEL 1: DATA PRO STATEMENT
Dit Data Pro Statement vormt samen met de Standaardclausules voor verwerkingen de verwerkersovereenkomst voor het product of de dienst van het bedrijf dat dit Data Pro Statement heeft opgesteld.
ALGEMENE INFORMATIE
1 Dit Data Pro Statement is opgesteld door:
Lucrasoft Systems B.V. - Xx Xxxxxxx 0, 0000XX Xxxxxxx Xxx Xxxxxxx handelsnamen/merken: SimplrIT, Lucrasoft ICT Beheer
Voor vragen over dit Data Pro Statement of dataprotectie kan contact opgenomen worden met:
Xxxxxx xxx Xxxxxxxxxx – xxxxxx@xxxxxxxxx.xx – 078-6811505
2 Dit Data Pro Statement geldt vanaf 01-04-2021
De in dit Data Pro Statement omschreven beveiligingsmaatregelen passen wij regelmatig aan om ten aanzien van data protectie steeds voorbereid en actueel te blijven. Wij houden u op de hoogte van nieuwe versies via onze normale kanalen.
3 Dit Data Pro Statement is van toepassing op de volgende producten en diensten van data processor:
Cloud Server / Cloud werkplek Systeembeheer en onderhoud Lucrasoft Cloud Backup
DNS en domein hosting Spamfilter
Website hosting
DUO multifactor authentication Office / Microsoft 365 Microsoft Azure
Webroot Antivirus ESET Antivirus
Lucrasoft VOIP, breedband verbindingen en mobiele data abonnementen Exclaimer outlook handtekeningen beheer
Letsignit office365 handtekeningen beheer
Skykick Backup – Office365 (Email, SharePoint en OneDrive) AvePoint Backup - Office365 (Email, Teams, SharePoint en OneDrive) SSL-Certificaat
Zyxel Cloud Nebula
4 Omschrijving product/dienst
4.1 Cloud Server / Cloud werkplek dienst
Cloud Server / Cloud werkplek is een cloud oplossing voor het MKB waarbij een server omgeving ter beschikking wordt gesteld waarin klanten kunnen werken met data en in pakketten.
4.2 Systeembeheer en onderhoud
Het dagelijks beheer en onderhoud & ondersteuning van de gehele ICT-omgeving van de klant. Met als doel de klant in staat te stellen om te excelleren in het vak.
4.3 Lucrasoft Cloud Backup
Het maken en opslaan, in de cloud, van back-ups van server en data.
4.4 DNS en Domein hosting
Het registreren van domein namen bij de juiste instantie en het afhandelen van DNS aanvragen.
4.5 Spamfilter
Het filteren van inkomende email met als doel het ongewenste email gehalte substantieel te verlagen.
4.6 Website hosting
Ruimte aanbieden voor het opslaan van informatie, afbeeldingen en andere inhoud die toegankelijk is via een website.
4.7 DUO Multifactor Authenticatie
Het resellen van een gebruikers verificatie (MFA) dienst door middel van een mobiele App, een sms-code of een telefoongesprek.
4.8 Office/Microsoft 365
Het resellen van diensten van Microsoft uit de 365 suite.
Office/Microsoft 365 is een cloud oplossing van Microsoft die als doel heeft alle basisbehoeften van data van een bedrijf te faciliteren. Dit omvat o.a. email, opslag, chat en samenwerking functionalist.
4.9 Microsoft Azure
Het resellen van diensten van Microsoft vanuit de Azure cloud.
4.10 Webroot Antivirus
Het resellen van Webroot Anti-virus oplossing. Webroot is een cloud based Thread
Intelligence oplossing, die door middel van Artificial Intelligence (vanuit de Bright Cloud) kan bepalen of iets kwaadaardig is.
4.11 ESET Antivirus
Het resellen van ESET Anti-virus oplossing.
4.12 Lucrasoft VOIP-telefonie, breedband verbindingen en mobiele data abonnementen. Het resellen van VOIP-telefonie, breedband verbindingen en mobiele data abonnementen van RoutIT. RoutIT biedt white-labeled VOIP-telefonie, breedband verbindingen en mobiele data abonnementen aan voor partners.
4.13 Exclaimer Cloud – Handtekening beheer
Het resellen van Exclaimer Cloud – Signatures pakketten welke het automatisch toevoegen van handtekeningen in Cloud email producten (zoals Office365 en Gmail) verzorgen.
4.14 Letsignit – Office365 Handtekening beheer
Het resellen van Letsignit welke het automatisch toevoegen van handtekeningen in Cloud email producten (zoals Office365 en Gmail) verzorgt.
4.15 Skykick Backup
Het resellen van Skykick Backup diensten. Met deze software wordt automatisch, meerdere malen per dag, een backup gemaakt van data in de Office 365 cloud (zoals oa Email, Sharepoint en Onedrive).
4.16 Avepoint backup
Het resellen van Avepoint Backup diensten. Met deze software wordt automatisch, meerdere malen per dag, een backup gemaakt van data in de Office 365 cloud (zoals oa Email, Teams, Sharepoint en Onedrive).
4.17 SSL-Certificaat
Het aanbieden van SSL-certificaten t.b.v. beveiligde verbindingen voor o.a. websites en andere diensten.
4.18 Zyxel Nubula Cloud
Het beheren van Zyxel Cloud producten vanuit de Nebula Cloud van Zyxel.
5 Beoogd gebruik
Product/dienst is ontworpen en ingericht om er de volgende soort gegevens mee te verwerken:
5.1 Cloud Server / Cloud werkplek
Complete klantgegevens. Alle data die een klant wenst te gebruiken op een cloud server.
5.2 Systeembeheer en onderhoud
Complete klantgegevens. Alle data die een klant wenst te gebruiken binnen de ICT- omgeving.
5.3 Lucrasoft Cloud Backup
Alle data die een klant wenst te backuppen. In de meeste gevallen een volledige server.
5.4 DNS- en Domein hosting
Domeinnaam en bedrijfs contact gegevens
5.5 Spamfilter
Alle email data die als spam gemarkeerd wordt en alle metadata van e-mails (Zender, Ontvanger, ontvangstdatum, doorstuurdatum), en logs files van verbindingen voor maximaal 60 dagen.
5.6 Website hosting
Alle data die een website nodig heeft om inhoud weer te geven.
5.7 DUO Multifactor authenticatie
Volledige naam, Aanmeldnaam, email adres, mobiel apparaat identificatie, mobiele nummer, IP-adres.
5.8 Office/Microsoft 365
Persoonsgegevens gekoppeld aan een tenant. Email, Email archief, OneDrive & SharePoint data, documenten, chat gesprekken en alles wat in de Microsoft cloud wordt opgeslagen.
5.9 Microsoft Azure
Persoonsgegevens gekoppeld aan een tenant alsmede alle data die geüpload wordt naar Azure.
5.10 Webroot Antivirus
Diagnostische data van processen. In enkele gevallen ook hele files met als doel aan de hand van karakteristieken het risico in kaart te brengen.
5.11 ESET Antivirus
Diagnostische data van processen. In enkele gevallen ook hele files met als doel aan de hand van karakteristieken het risico in kaart te brengen.
5.12 Lucrasoft VOIP, breedband verbindingen en mobiele abonnementen.
Klant adres en contact gegevens. Gespreksgegevens zoals wie je of jou belt en hoelang je belt.
5.13 Exclaimer Cloud – centraal handtekening beheer
Klantgegevens welke op de handtekening dienen te komen (o.a. Naam, email, telefoon, etc).
5.14 Letsignit Office365 - centraal handtekening beheer
Klantgegevens welke op de handtekening dienen te komen (o.a. Naam, email, telefoon, etc).
5.15 SkyKick Backup
Backup data van Office 365 Email, Teams, Onedrive en Sharepoint.
5.16 Avepoint Backup
Backup data van Office 365 Email, Teams, Onedrive en Sharepoint.
5.17 SSL-Certificaat
Klant contact gegevens inclusief adres, postcode, woonplaats, telefoonnummer en email adres.
5.18 Zyxel Nebula Cloud
beheer gegevens van de firewall (zoals o.a. IP-adressen, data verbruik, traffic patronen, firewall regels, etc), klantnaam en locatie.
6. Data processor heeft bij het ontwerpen van het product/de dienst privacy by design op de volgende wijze toegepast:
6.1 Cloud Server / Cloud werkplek
Klanten uploaden zelf hun gegevens en kunnen deze gegevens wijzigingen en verwijderen. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.2 Systeembeheer en onderhoud
Data processor controleert de gegevens niet en zal de gegevens alleen muteren op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.3 Lucrasoft Cloud Backup
Het uploaden gaat middels een geautomatiseerd proces. Klanten hebben zelf toegang tot de data en kunnen die naar gelang inzien en verwijderen. Data processor controleert de gegevens niet en zal gegevens alleen muteren op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.4 DNS- en Domein hosting
Onze formulieren bevatten alleen die velden die nodig zijn om het product te registreren.
6.5 Spamfilter
Klanten uploaden zelf hun gegevens. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden. De gegevens worden automatisch na 60 dagen verwijderd.
6.6 Website hosting
Klanten uploaden zelf hun gegevens en kunnen deze gegevens wijzigingen en verwijderen. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.7 DUO Multifactor authenticatie
Er worden enkel velden opgeslagen die nodig zijn voor de juiste werking van de dienst. Klanten uploaden zelf de mobiele gegevens.
6.8 Office/Microsoft 365
Klanten uploaden zelf hun gegevens en kunnen deze gegevens wijzigingen en verwijderen. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.9 Microsoft Azure
Klanten uploaden zelf hun gegevens en kunnen deze gegevens wijzigingen en verwijderen. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.10 Webroot Anti-Virus
Er is enkel data opgeslagen die nodig zijn voor de juiste werking van de dienst. Dit gebeurt
d.m.v. een volautomatisch proces. Data processor controleert de gegevens niet en kan deze ook niet inzien.
6.11 ESET Anti-Virus
Er is enkel data opgeslagen die nodig zijn voor de juiste werking van de dienst. Dit gebeurt
d.m.v. een volautomatisch proces. Data processor controleert de gegevens niet en kan deze ook niet inzien.
6.12 Lucrasoft VOIP, breedband verbindingen en mobiele abonnementen
Onze formulieren bevatten alleen die velden die nodig zijn om het product of de dienst te registreren.
6.13 Exclaimer Cloud – centraal handtekening beheer
Er worden enkel velden opgeslagen die nodig zijn voor de juiste werking van de dienst. Dit gebeurt d.m.v. een volautomatisch proces. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.14 Letsignit – Office365 centraal handtekening beheer
Er worden enkel velden opgeslagen die nodig zijn voor de juiste werking van de dienst. Dit gebeurt d.m.v. een volautomatisch proces. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.15 SkyKick Backup
Er is enkel data opgeslagen die nodig zijn voor de juiste werking van de dienst. Dit gebeurt
d.m.v. een volautomatisch proces. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.16 Avepoint backup
Er is enkel data opgeslagen die nodig zijn voor de juiste werking van de dienst. Dit gebeurt
d.m.v. een volautomatisch proces. Data processor controleert de gegevens niet en zal gegevens alleen inzien op verzoek van klant. Bijvoorbeeld als dat nodig is om een vraag van de klant te beantwoorden.
6.17 SSL-certificaat
Er wordt enkel data opgeslagen die nodig is voor de juiste werking van de dienst.
6.18 Zyxel Nubula Cloud
Er wordt enkel data opgeslagen die nodig is voor de juiste werking van de dienst.
7 Data processor gebruikt de Data Pro Standaardclausules voor verwerkingen, welke zijn verwoord in Hoofstuk 2 van de NLdigital Voorwaarden 2020.
8 Data processor verwerkt de persoonsgegevens van zijn opdrachtgevers binnen de EU/EER. Met uitzondering van Webroot en DUO MFA.
9 Data processor maakt gebruik van de volgende sub-processors:
Sub-procesor | Binnen de EU/EER | Privacy statement |
Webroot | Nee, Verenigde Staten | xxxxx://xxx.xxxxxxx.xxx/Xxxxxxx_XxxxxxXxxxxxxx_Xxxxxxx_Xxxxxxxxx |
ESET | Ja | |
DUO Security | Nee, Verenigde Staten | xxxxx://xxx.xxx/xxxxx/xxxxxxx |
Microsoft (Office 365, Azure) | Ja | xxxxx://xxxxxxxx.xxxxxx.xxx/xx-xx/xxxxxxxx/xxxxxx-000-xxxxx-xxxxxx-xxxxxxx xxxxx://xxxxxxxx.xxxxxx.xxx/xx-xx/xxxxxxxx/xxxxxx-000-xxxxx-xxxxxx-xxxxxxx |
Acronis | Ja | |
SIDN | Ja | |
Xxxxxxxxxxx.xx | Ja | <niet bekend> |
Networking4all | Ja | |
RoutIT | Ja | xxxxx://xxxxxx.xx/xxxxxxx/ |
Exclaimer | Ja | |
Letsignit | Ja | xxxxx://xxxx.xxxxxxxxx.xxx/xx/xxxxxxxx/0000000-xxxx-xxx-xxxxxxxxx-xxxxxxxx-x |
Skykick | Ja | |
AvePoint | Ja | |
Leaseweb NL | Ja | xxxxx://xxx.xxxxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/Xxxxx/XXX_XX_X0X_x0XXX00 |
Dataplace | Ja | xxxxx://xxxxxxxxx.xxx/xx/xxxxxxx-xxxxxxxxx |
10 Data processor ondersteunt opdrachtgever op de volgende manier bij verzoeken van betrokkenen:
In geval van een inzage, correctie- of verwijderverzoek kan dit gestuurd worden naar xxxxxxx@xxxxxxxxx.xx. Na ontvangst van het verzoek zullen wij deze binnen 5 werkdagen verwerken en bevestigen.
11 Beëindiging van overeenkomst:
Na beëindiging van de overeenkomst met een opdrachtgever verwijdert data processor de persoonsgegevens die hij voor opdrachtgever verwerkt in principe binnen 3 maanden (of op uitdrukkelijk verzoek eerder) op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn (render inaccessible).
Retentie in backups zorgt ervoor dat na 3 maanden de data daadwerkelijk verwijderd is. Omdat het hier een geautomatiseerd proces betreft is handmatig of eerder niet mogelijk.
BEVEILIGINGSBELEID
12 Data processor heeft de volgende beveiligingsmaatregelen genomen ter beveiliging van zijn product of dienst:
a. De datacenters (Databarn Rivium & Databarn Amsterdam), waar servers van Lucrasoft ICT Groep geplaatst zijn, zijn voorzien van een camera beveiligingssysteem en bezoekers registratie en zijn ISO:27001:2013 gecertificeerd.
b. Toegang tot de servers is alleen mogelijk vanuit Lucrasoft vertrouwde netwerklocaties.
c. Er zijn procedures opgesteld waardoor alleen geautoriseerd personeel heeft toegang tot de persoonsgegevens. Met een geheimhoudingsverklaring wordt dit ook na uitdiensttreding geborgd.
d. Onze web- en databaseservers worden beveiligd door firewall met het least priviliged principe. Applicaties hebben een eigen database per applicatie. Iedere applicatie heeft uitsluitend toegang tot zijn database.
e. Alle data binnen diensten van Lucrasoft zal zo veilig mogelijk worden opgeslagen. Waar, in rust, encryptie mogelijk is, zal dit worden toegepast.
f. Alle data zal met de hoogst mogelijke encryptie vorm die ondersteund wordt verstuurd worden.
g. Onze webservers worden maandelijks gepatched naar de laatste Windows updates.
h. Alle mobiele data dragers (denk aan o.a. laptops, USB-sticks en portable HD’s) van Lucrasoft Systems B.V. worden versleuteld.
.
DATALEKPROTOCOL
13 In geval er toch iets misgaat, hanteert data processor het volgende datalekprotocol om ervoor te zorgen dat opdrachtgever op de hoogte is van incidenten:
De Functionaris gegevens bescherming (of DPO) zal ingelicht worden m.b.t. het mogelijke datalek. Hiervoor is een interne procedure. Hij zal een team samenstellen om de oorzaak, impact en getroffen klanten te analyseren. Al naar gelang de uitkomst hiervan zullen klanten, binnen 24 uur, op de hoogte gesteld worden door een email naar de technisch contactpersoon.
Lucrasoft Systems B.V. levert zo veel mogelijk relevante gegevens aan over:
a. Aard van de inbreuk: waaronder omschrijving van het incident, aard persoonsgegevens c.q. categorieën van betrokken data subjects, schatting van aantal betrokken data subjects en mogelijk betrokken databases, indicatie wanneer incident heeft plaatsgevonden;
b. Reeds genomen maatregelen door Lucrasoft Systems B.V. om de inbreuk te stoppen;
c. Te nemen maatregelen door de controller dan wel betrokken data subjects (wat kunnen betrokken data subjects zelf doen, bijvoorbeeld “houdt mail in de gaten, wijzig passwords”
d. Te nemen maatregelen door Lucrasoft Systems B.V. om de inbreuk voortaan te voorkomen
Meldingen worden indien mogelijk binnen 24 uur gedaan aan opdrachtgevers. Lucrasoft Systems B.V. is zelf geen eigenaar van de data en kan zelf geen meldingen doen aan Autoriteit Persoonsgegevens of Data subjects. De data processor zal de opdrachtgever of de controller desgewenst ondersteunen bij het meldproces.
DEEL 2: STANDAARDCLAUSULES
VOOR VERWERKINGEN
Versie: april 2021
De Standaardclausules voor verwerkingen zijn opgenomen in hoofdstuk 2 van de NLdigital Voorwaarden 2020 en vormt samen met het Data Pro Statement de verwerkersovereenkomst. Het Data Pro Statement en de NLdigital Voorwaarden 2020 behoren standaard tot de bijlagen van een Overeenkomst.
AKKOORDVERKLARING
VERWERKERSOVEREENKOMST
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (de Avg) van toepassing. De Avg vervangt de Wet bescherming persoonsgegevens (Wbp).
Organisaties die in opdracht van een ander persoonsgegevens verwerken, zoals wij als uw ICT- leveranciers, heten onder de Avg ‘data processors’. Zij moeten op basis van de Avg met hun klanten schriftelijke afspraken maken. Het document waarin deze afspraken worden vastgelegd wordt een ‘verwerkersovereenkomst’ genoemd.
U verklaart hierbij akkoord te gaan met de Verwerkersovereenkomst Lucrasoft Systems B.V., Versie 4-2021.
Akkoord | Akkoord | |
Bedrijfsnaam | Lucrasoft Systems B.V. | |
Contactpersoon | Xxxxxx xxx Xxxxxxxxxx | |
Datum | 1-4-2021 | |
Handtekening |