FAQ Algemene Verordening Gegevensbescherming

Wat is de AVG?

AVG is de afkorting van Algemene Verordening Gegevensbescherming, die op 25 mei 2018 van kracht is gegaan. Deze wetgeving heeft de vorige Nederlandse Wet bescherming persoonsgegevens (Wbp) vervangen. Visma | Raet voldoet uiteraard aan deze Europese privacywetgeving.

Wat is het verschil tussen de AVG en GDPR?

GDPR staat voor General Data Protection Regulation en is de Engelstalige aanduiding van Algemene Verordening Gegevensbescherming.

Wat zijn de belangrijkste pijlers van het AVG/GDPR?

• In de AVG/GDPR hebben burgers veel rechten als het gaat om privacy.
• Tegelijkertijd hebben organisaties meer verantwoordelijkheden: zij moeten kunnen aantonen dat zij zich aan de privacywet houden.
• Toezichthouders hebben bevoegdheden om (hoge) boetes op te leggen aan organisaties die de regels onvoldoende naleven. 

Kunt u aangeven hoe Visma | Raet  voldoet aan de AVG?

Visma | Raet is met ingang van 25 mei 2018 compliant met de AVG. Het blijven voldoen aan wet- en regelgeving is een integraal onderdeel van de bedrijfsprocessen van Visma | Raet.

Op onze trustsite hebben wij onder 'Privacy' meer details opgenomen over onze rol als verwerker in relatie tot de AVG.

Waar kan ik meer informatie vinden over de AVG met betrekking tot Youforce of Visma | Raet ?

Op onze trustsite hebben wij onder 'Privacy' meer details opgenomen over onze rol als verwerker in relatie tot de AVG. Ook bevat het Visma Trustcentre aanvullende informatie

Wat als ik nog vragen heb en het antwoord niet kan vinden op trustsites?

We hebben getracht zo compleet mogelijk te zijn in het beantwoorden van mogelijke vragen. Mocht  het antwoord op uw vraag er niet bij staan, dan kunt u contact opnemen met uw accountmanager. En indien nodig zal onze Functionaris Gegevensbescherming contact met u opnemen.

Welke verantwoordelijkheden heb ik als opdrachtgever?

Visma | Raet ziet het voldoen aan de AVG als een gedeelde verantwoordelijkheid met u als opdrachtgever.

Als opdrachtgever bent u namelijk ‘verantwoordelijke’ in de zin van de AVG. U bepaalt de doeleinden en de middelen voor de verwerking van uw persoonsgegevens. In het kader van de dienstverlening verwerkt Visma | Raet  deze namens u. Visma | Raet is daarmee ‘verwerker’ in de zin van de AVG. Deze verwerking moet bij overeenkomst zijn geregeld. Meestal wordt dit in een verwerkersovereenkomst geregeld. 

Als verantwoordelijke bent u eveneens verantwoordelijk voor het nemen van de technische en organisatorische maatregelen die nodig zijn om de gegevensverwerking aantoonbaar uit te voeren in overeenstemming met de AVG. 

De informatie op deze website mag niet worden opgevat als juridisch advies of als vervanging van juridisch advies. Daarom adviseren we u om ook onafhankelijk advies over uw status en verplichtingen onder de AVG bij een jurist in te winnen. 

Wanneer verwerkt Visma | Raet mijn gegevens?

Visma | Raet verwerkt uw persoonsgegeven uitsluitend in overeenstemming met uw schriftelijke verwerkingsinstructies. Deze instructies kunnen volgen uit specifieke verzoeken of in overeenstemming zijn met de verplichtingen uit de hoofdovereenkomst of de toepasselijke verwerkersovereenkomst.

Hoe helpt Visma | Raet mij compliant te zijn met de AVG?

Visma | Raet zorgt ervoor dat haar diensten en software zullen voldoen aan de vereisten van de AVG. Daarnaast is Visma | Raet beschikbaar voor al uw vragen.

Tevens zal zij u ondersteunen in het voldoen van uw verplichtingen onder de AVG, zoals aangegeven in de meest recente standaardverwerkersovereenkomst.

Wat is een verwerkersovereenkomst?

De verwerkingen door Visma | Raet moeten bij overeenkomst zijn geregeld. Meestal wordt dit in een verwerkersovereenkomst geregeld. De meest recente standaardverwerkersovereenkomst van Visma | Raet die in overeenstemming is met de AVG is beschikbaar onze trustsite.

Is de verwerkersovereenkomst een onderdeel van de hoofdovereenkomst?

Ja, indien u deze tekent, dan wordt deze een bijlage bij de hoofdovereenkomst.

Wat gebeurt er met privacyafspraken die wij al eerder met Visma | Raet  hebben gemaakt?

Deze blijven van kracht. Dit is enkel anders indien daar in de meest recente standaardverwerkersovereenkomst van wordt afgeweken (en u vanzelfsprekend akkoord bent gegaan met deze standaardverwerkersovereenkomst). In dat geval gaat de bepaling van de meest recente standaardverwerkersovereenkomst voor.

Welke persoonsgegevens zijn betrokken bij de verwerking door Visma | Raet ?

Deze informatie is onderdeel van de standaardverwerkersovereenkomst van Visma | Raet , zie bijlage 1. Per (categorie) Persoonsgegevens wordt aangegeven in welke risicoklasse deze vallen. U kunt door middel van het aanvinken van de juiste informatie aangeven of dit voor uw specifieke geval van toepassing is.

Wie zijn bij de dienstverlening aan te merken als Betrokkenen? Deze informatie is onderdeel van de standaardverwerkersovereenkomst van Visma | Raet , zie bijlage 1. Afhankelijk van de dienstverlening kan dit de volgende personen betreffen: huidige en oud-medewerkers (waaronder inbegrepen werknemers, zzp’ers, vrijwilligers en ander personeel niet in loondienst), huidige en oud-uitkeringsgerechtigden.

Wie hebben er bij Visma | Raet  toegang tot de persoonsgegevens?

Zie hiervoor bijlage 1 van de standaardverwerkersovereenkomst.

Voldoet de beveiliging van Visma | Raet aan de AVG?

Ja. Visma | Raet neemt conform de AVG passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen. Visma | Raet levert u een zo veilig mogelijke dienst door over de hele linie de verantwoordelijkheid voor de beveiliging van systemen en gegevens te nemen. Onze visie is vastgelegd in het Visma | Raet Informatiebeveiligingsbeleid, dat is opgesteld volgens de internationale norm ISO27001. Daarnaast laat zij haar beheersmaatregelen jaarlijks toetsen. Zie voor meer informatie over de beveiliging van Visma | Raet trustsite.

Heeft Visma | Raet een gegevensbeschermingsbeleid en kan ik dat inzien?

Visma | Raet heeft een gegevensbeschermingsbeleid (information security policy) dat op basis van de ISO27001 standaard gecertificeerd is.  Het certificaat is beschikbaar op www.raet.nl/trust. De bijbehorende Verklaring van Toepasselijkheid (Statement of Applicability) is op aanvraag beschikbaar.

Hoe laat Visma | Raet haar beheersmaatregelen toetsen?

Visma | Raet beheerst haar processen door middel van een stelsel van beheersmaatregelen op de invoer, het verwerkingsproces en de uitvoer. Daarnaast worden ook de IT-processen met een stelsel van beheersmaatregelen beheerst. Deze maatregelen zijn vastgelegd in een beheersraamwerk. De beheersmaatregelen worden jaarlijks getoetst door een onafhankelijke auditor en vastgelegd in een ISAE3402 type II mededeling. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de conclusies van deze toetsing ter beschikking stellen, na het overeenkomen van een hiervoor specifiek opgestelde NDA (geheimhoudingsovereenkomst).

Maakt Visma | Raet gebruik van encryptie?

Voor het elektronisch transport maakt Visma | Raet gebruik van encryptie op basis van SSL.

Informatie wordt daarnaast versleuteld bij opslag op externe media (offsite back-up). Informatie met een hoog beschermingsniveau wordt zowel tijdens transport als bij elektronische opslag versleuteld.

Volgens de AVG heeft onze organisatie een auditrecht. Klopt dat?

Ja dat klopt, onder de voorwaarden zoals genoemd in de standaardverwerkersovereenkomst Visma | Raet (zie artikel 6.5).

Wat zijn subverwerkers?

Subverwerkers zijn externe leveranciers die Visma | Raet inschakelt om haar te assisteren bij het verwerken van uw persoonsgegevens. Denk bijvoorbeeld aan KPN en Microsoft voor hostingdiensten, of Paragon voor het versturen van uw post.

Maakt Visma | Raet gebruik van subverwerkers?

Ja. Welke kan variëren van de soort dienstverlening. Doorgaans zal Visma | Raet altijd gebruik maken van subverwerkers voor hosting- en storagediensten, maar ook voor betalingsdiensten en incidentregistratie.

Visma | Raet is verantwoordelijk voor de subverwerkers die zij inschakelt.

Hoe selecteert Visma | Raet haar subverwerkers?

Alle subverwerkers ondergaan  een strenge selectieprocedure, zodat we zeker weten dat ze de vereiste technische expertise hebben en het juiste niveau van beveiliging en privacy kunnen bieden. En met alle subverwerkers zal Visma | Raet een subverwerkersovereenkomst sluiten, die voldoet aan de vereisten van de AVG.

Vraagt Visma | Raet toestemming om subverwerkers in te schakelen?

Ja. Dit zal enkel toegestaan zijn indien dit is overeengekomen in de verwerkersovereenkomst of de hoofdovereenkomst, of met uw voorafgaande goedkeuring. Zie hiervoor verder de standaardverwerkersovereenkomst.

Toetst Visma | Raet haar subverwerkers?

We toetsen jaarlijks of wordt voldaan aan de eisen door subverwerkers in het productieproces en rapporteren hierover in ons ISAE3402 type 2 rapport.

Uiteraard hebben we met onze subverwerkers ook afspraken gemaakt over continuïteit van de dienstverlening.

Hoe voldoet Visma | Raet aan de beginselen van privacy by design en privacy by default?

Als integraal onderdeel van het software ontwikkelingsproces maakt Visma | Raet gebruik van standaarden op het gebied van beveiliging. Deze standaarden zijn bij Visma opgenomen in het Visma Security Programma (VASP). Dit borgt dat in alle fasen van het ontwikkelproces informatiebeveiliging en privacy voorop staan.

Op welke wijze wordt rekening gehouden met dataportabiliteit in relatie tot de AVG?

Met onze self-servicefunctionaliteit bieden wij betrokkenen op eenvoudige wijze de mogelijkheid hun persoonsgegeven in te zien en digitaal op te slaan. Op die manier kunnen betrokkenen deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook kunnen ze zo de gegevens doorgeven aan een andere organisatie.

Daarnaast hebben we functionaliteit die het de verwerkingsverantwoordelijke mogelijk maakt om betrokkenen te informeren over de (salaris)gegevens die opgeslagen zijn. Dit doen we bijvoorbeeld m.b.v. onze rapportagefunctionaliteiten.

Na beëindiging van het contract met Visma | Raet  krijgt de verwerkingsverantwoordelijke de data terug, volgens de contractueel vastgelegde procedure. We kunnen data ter beschikking stellen in een gangbaar bestandsformaat en op een gangbaar medium. Standaard hanteert Visma | Raet een ‘comma separated’ (.csv) bestandsformaat.

Welke bewaartermijn geldt voor mijn persoonsgegevens?

Voor sommige gegevens uit uw personeelsdossier geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst de werkgever verplicht om die gegevens een bepaalde periode te bewaren. Voorbeelden hiervan zijn de loonbelastingverklaring en een kopie van het identiteitsbewijs. Deze moet de werkgever 7 jaar bewaren nadat de betrokkene uit dienst is. Voor andere gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens is de richtlijn: een bewaartermijn van 2 jaar nadat betrokkene uit dienst is. Het is echter gebruikelijk dat organisaties sollicitatiegegevens verwijderen uiterlijk 4 weken na het einde van de sollicitatieprocedure. Na toestemming van de betrokkene kan dit worden verlengt tot 1 jaar. Visma | Raet zal alleen persoonsgegevens bewaren indien er sprake is van een dienstverleningsovereenkomst

Hebben jullie een Functionaris Gegevensbescherming (FG)? En hoe kan ik die bereiken?

Ja, de Functionaris Gegevensbescherming (FG) is er in eerste instantie om de interne organisatie te adviseren.

Wij verzoeken u om uw vragen altijd eerst via de reguliere contacten te laten verlopen, zoals uw accountmanager of onze servicedesk. U kunt ook onze trustsite bezoeken: trustsite. Mocht uw vraag niet (voldoende) beantwoord zijn, dan zal onze Functionaris Gegevensbescherming contact met u opnemen.

Heeft Visma | Raet  als verwerker van onze persoonsgegevens een register van de verwerkingsactiviteiten?

Ja, conform de AVG wetgeving heeft Visma | Raet een verwerkingsregister. Dit register is bedoeld voor intern gebruik en om de Autoriteit Persoonsgegevens te kunnen informeren.

Kan Visma | Raet voor mij een DPIA of PIA uitvoeren voor Youforce?

Het maken van een Data Privacy Impact Assessment (DPIA) is uw eigen verantwoordelijkheid als  verwerkingsverantwoordelijke.

Uiteraard zullen we u  daarin ondersteunen door het leveren van informatie via onze trustsite. Waar nodig zal Visma | Raet deze informatie voor u aanvullen.

Voor het maken van een DPIA heb ik het verwerkingsregister van Visma | Raet nodig. Kunnen jullie dit delen?

Visma | Raet  heeft de informatie die haar klanten kunnen gebruiken voor het uitvoeren van een Data Privacy Impact Assessment (DPIA) beschikbaar gesteld via de trust-pagina en onze ‘Visma | Raet in Control’ brochure. Het verwerkingsregister zelf is bedoeld voor intern gebruik en om de Autoriteit Persoonsgegevens te kunnen informeren, en wordt dus niet met klanten gedeeld.