FAQ Algemene Verordening Gegevensbescherming

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming van kracht gegaan. We begrijpen dat er met deze wet veel op u afkomt en daarom hebben we de meest gestelde vragen voor u op een rijtje gezet.

De FAQ volgt hieronder en is als volgt opgebouwd:

  • 1. Algemeen
  • 2. Verantwoordelijkheden opdrachtgevers
  • 3. De verwerkersovereenkomst
  • 4. Beveiliging, audits, standaarden en certificaten
  • 5. Subverwerkers
  • 6. Overig

Mocht u het antwoord op uw vraag niet terugvinden, dan kunt u contact opnemen met uw accountmanager. Mocht uw vraag niet (voldoende) beantwoord zijn, dan zal onze Functionaris Gegevensbescherming contact met u opnemen.

1. Algemeen

Wat is de AVG?

AVG is de afkorting van Algemene Verordening Gegevensbescherming, die op 25 mei 2018 van kracht is gegaan. Deze wetgeving vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Visma | Raet voldoet uiteraard aan de Europese privacywetgeving.

Wat is het verschil tussen de AVG en GDPR?

GDPR staat voor General data Protection Regulation en is de Engelstalige aanduiding van Algemene Verordening Gegevensbescherming.

Wat zijn de belangrijkste pijlers van het AVG/GDPR?

  • In de AVG/GDPR krijgen burgers meer rechten als het gaat om privacy.
  • Tegelijkertijd krijgen organisaties meer verantwoordelijkheden: zij moeten kunnen aantonen dat zij zich aan de privacywet houden.
  • Toezichthouders hebben straks meer bevoegdheden om (hoge) boetes op te leggen aan organisaties die de regels onvoldoende naleven. 

Kunt u aangeven hoe Visma | Raet  voldoet aan de AVG?

Visma | Raet is met ingang van 25 mei 2018 compliant met de AVG. Het blijven voldoen aan wet- en regelgeving is een integraal onderdeel van de bedrijfsprocessen van Visma | Raet.

Op onze trustsite hebben wij onder 'Privacy' meer details opgenomen over onze rol als verwerker in relatie tot de AVG.

Waar kan ik meer informatie vinden over de AVG met betrekking tot Youforce of Visma | Raet ?

Op onze trustsite hebben wij onder 'Privacy' meer details opgenomen over onze rol als verwerker in relatie tot de AVG.

Wat als ik nog vragen heb en het antwoord niet kan vinden op trustsite?

We hebben getracht zo compleet mogelijk te zijn in het beantwoorden van mogelijke vragen. Mocht  het antwoord op uw vraag er niet bij staan, dan kunt u contact opnemen met uw accountmanager. En indien nodig zal onze Functionaris Gegevensbescherming contact met u opnemen.

2. Verantwoordelijkheden opdrachtgevers

Welke verantwoordelijkheden heb ik als opdrachtgever?

Visma | Raet ziet het voldoen aan de AVG als een gedeelde verantwoordelijkheid met u als opdrachtgever.

Als opdrachtgever bent u namelijk ‘verantwoordelijke’ in de zin van de AVG. U bepaalt de doeleinden en de middelen voor de verwerking van uw persoonsgegevens. In het kader van de dienstverlening verwerkt Visma | Raet  deze namens u. Visma | Raet is daarmee ‘verwerker’ in de zin van de AVG. Deze verwerking moet bij overeenkomst zijn geregeld. Meestal wordt dit in een verwerkersovereenkomst geregeld. 

Als verantwoordelijke bent u eveneens verantwoordelijk voor het nemen van de technische en organisatorische maatregelen die nodig zijn om de gegevensverwerking aantoonbaar uit te voeren in overeenstemming met de AVG. 

De informatie op deze website mag niet worden opgevat als juridisch advies of als vervanging van juridisch advies. Daarom adviseren we u om ook onafhankelijk advies over uw status en verplichtingen onder de AVG bij een jurist in te winnen. 

Wanneer verwerkt Visma | Raet  mijn gegevens?

Visma | Raet verwerkt uw persoonsgegeven uitsluitend in overeenstemming met uw schriftelijke verwerkingsinstructies. Deze instructies kunnen volgen uit specifieke verzoeken of in overeenstemming zijn met de verplichtingen uit de hoofdovereenkomst of de toepasselijke verwerkersovereenkomst.

Hoe helpt Visma | Raet  mij compliant te zijn met de AVG?

Visma | Raet zorgt ervoor dat haar diensten en software zullen voldoen aan de vereisten van de AVG. Daarnaast is Visma | Raet beschikbaar voor al uw vragen.

Tevens zal zij u ondersteunen in het voldoen van uw verplichtingen onder de AVG, zoals aangegeven in de nieuwe standaardverwerkersovereenkomst.

3. Verwerkersovereenkomst

Wat is een verwerkersovereenkomst?

De verwerkingen door Visma | Raet moeten bij overeenkomst zijn geregeld. Meestal wordt dit in een verwerkersovereenkomst geregeld. De nieuwe standaardverwerkersovereenkomst van Visma | Raet die in overeenstemming is met de AVG is beschikbaar op (trustsite).

Wordt de nieuwe verwerkersovereenkomst een onderdeel van de hoofdovereenkomst?

Ja, indien u deze tekent, dan wordt deze een bijlage bij de hoofdovereenkomst.

Wat gebeurt er met privacyafspraken die wij al eerder met Visma | Raet  hebben gemaakt?

Deze blijven van kracht. Dit is enkel anders indien daar in de nieuwe standaardverwerkersovereenkomst van wordt afgewekend (en u vanzelfsprekend akkoord bent gegaan met de nieuwe standaardverwerkersovereenkomst). In dat geval gaat de bepaling van de nieuwe standaardverwerkersovereenkomst voor.

Welke persoonsgegevens zijn betrokken bij de verwerking door Visma | Raet ?

Deze informatie is onderdeel van de nieuwe standaardverwerkersovereenkomst van Visma | Raet , zie bijlage 1. Per (categorie) Persoonsgegevens wordt aangeven in welke risicoklasse deze vallen. U kunt door middel van het aanvinken van de juiste informatie aangeven of dit voor uw specifieke geval van toepassing is.

Wie zijn bij de dienstverlening aan te merken als Betrokkenen? Deze informatie is onderdeel van de nieuwe standaardverwerkersovereenkomst van Visma | Raet , zie bijlage 1. Afhankelijk van de dienstverlening kan dit de volgende personen betreffen: huidige en oud-medewerkers (waaronder inbegrepen werknemers, zzp’ers, vrijwilligers en ander personeel niet in loondienst), huidige en oud-uitkeringsgerechtigden.

Wie hebben er bij Visma | Raet  toegang tot de persoonsgegevens?

Zie hiervoor bijlage 1 van de nieuwe standaardverwerkersovereenkomst.

4. Beveiliging, audits, standaarden en certificaten

Voldoet de beveiliging van Visma | Raet aan de AVG?

Ja. Visma | Raet neemt conform de AVG passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen. Visma | Raet levert u een zo veilig mogelijke dienst door over de hele linie de verantwoordelijkheid voor de beveiliging van systemen en gegevens te nemen. Onze visie is vastgelegd in het Visma | Raet Informatiebeveiligingsbeleid, dat is opgesteld volgens de internationale norm ISO27001. Daarnaast laat zij haar beheersmaatregelen jaarlijks toetsen. Zie voor meer informatie over de beveiliging van Visma | Raet trustsite.

Heeft Visma | Raet een gegevensbeschermingsbeleid en kan ik dat inzien?

Ja, Visma | Raet heeft een gegevensbeschermingsbeleid (information security policy) dat op basis van de ISO27001 standaard gecertificeerd is. Het beleidsdocument is voor intern gebruik door Visma | Raet. Het certificaat is beschikbaar op www.raet.nl/trust. De bijbehorende Verklaring van Toepasselijkheid (Statement of Applicability) is op aanvraag beschikbaar.

Hoe laat Visma | Raet haar beheersmaatregelen toetsen?

Visma | Raet beheerst haar processen door middel van een stelsel van beheersmaatregelen op de invoer, het verwerkingsproces en de uitvoer. Daarnaast worden ook de IT-processen met een stelsel van beheersmaatregelen beheerst. Deze maatregelen zijn vastgelegd in een beheersraamwerk. De beheersmaatregelen worden jaarlijks getoetst door een onafhankelijke auditor en vastgelegd in een ISAE3402 type II mededeling. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de conclusies van deze toetsing ter beschikking stellen, na het overeenkomen van een hiervoor specifiek opgestelde NDA (geheimhoudingsovereenkomst).

Maakt Visma | Raet gebruik van encryptie?

Voor het elektronisch transport maakt Visma | Raet gebruik van encryptie op basis van SSL.

Informatie wordt daarnaast versleuteld bij opslag op externe media (offsite back-up). Informatie met een hoog beschermingsniveau wordt zowel tijdens transport als bij elektronische opslag versleuteld.

Volgens de AVG heeft onze organisatie een auditrecht. Klopt dat?

Ja dat klopt, onder de voorwaarden zoals genoemd in de nieuwe standaardverwerkersovereenkomst Visma | Raet (zie artikel 6.5).

5. Subverwerkers

Wat zijn subverwerkers?

Subverwerkers zijn externe leveranciers die Visma | Raet inschakelt om haar te assisteren bij het verwerken van uw persoonsgegevens. Denk bijvoorbeeld aan KPN en Microsoft voor hostingdiensten, of Paragon voor het versturen van uw post.

Maakt Visma | Raet gebruik van subverwerkers?

Ja. Welke kan variëren van de soort dienstverlening. Doorgaans zal Visma | Raet altijd gebruik maken van KPN en Microsoft voor hosting- en storagediensten, Paragon voor het versturen van uw post, wordlineEquens voor betalingsdiensten en 4me voor incidentregistratie en het communicatiesyteem dat onze servicedesk gebruikt.

Visma | Raet is verantwoordelijk voor de subverwerkers die zij inschakelt.

Hoe selecteert Visma | Raet haar subverwerkers?

Alle subverwerkers ondergaan  een strenge selectieprocedure, zodat we zeker weten dat ze de vereiste technische expertise hebben en het juiste niveau van beveiliging en privacy kunnen bieden. En met alle subverwerkers zal Visma | Raet een subverwerkersovereenkomst sluiten, die voldoet aan de vereisten van de AVG.

Vraagt Visma | Raet toestemming om subverwerkers in te schakelen?

Ja. Dit zal enkel toegestaan zijn indien dit is overeengekomen in de verwerkersovereenkomst of de hoofdovereenkomst, of met uw voorafgaande goedkeuring. Zie hiervoor verder artikel 4 van de nieuwe standaardverwerkersovereenkomst.

Toetst Visma | Raet haar subverwerkers?

We toetsen jaarlijks of wordt voldaan aan de eisen van subverwerkers in het productieproces en rapporteren hierover in ons ISAE3402 type 2 rapport.

Bovendien hebben we met onze subverwerkers afspraken gemaakt over continuïteit van de dienstverlening. Bij subverwerkers die onderdeel uitmaken van het productieproces, voeren we minimaal jaarlijks uitwijktests uit.

6. Overig

Hoe voldoet Visma | Raet aan de beginselen van privacy by design en privacy by default?

Als integraal onderdeel van het software ontwikkelingsproces maakt Visma | Raet gebruik van standaarden op het gebied van beveiliging. Deze standaarden zijn bij Visma | Raet opgenomen in zogenaamde Non Functional Requirements (NFRs). Deze NFRs borgen dat in alle fases van het ontwikkelproces informatiebeveiliging en privacy voorop staan.

Op welke wijze wordt rekening gehouden met dataportabiliteit in relatie tot de AVG?

Met onze self-servicefunctionaliteit bieden wij betrokkenen op eenvoudige wijze de mogelijkheid hun persoonsgegeven in te zien en digitaal op te slaan. Op die manier kunnen betrokkenen deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook kunnen ze zo de gegevens doorgeven aan een andere organisatie.

Daarnaast hebben we functionaliteit die het de verwerkingsverantwoordelijke mogelijk maakt om betrokkenen te informeren over de (salaris)gegevens die opgeslagen zijn. Dit doen we bijvoorbeeld m.b.v. onze rapportagefunctionaliteiten.

Na beëindiging van het contract met Visma | Raet  krijgt de verwerkingsverantwoordelijke de data terug, volgens de contractueel vastgelegde procedure. We kunnen data ter beschikking stellen in een gangbaar bestandsformaat en op een gangbaar medium. Standaard hanteert Visma | Raet een ‘comma separated’ (.csv) bestandsformaat op DVD.

Welke bewaartermijn geldt er voor mijn persoonsgegevens?

Voor sommige gegevens uit uw personeelsdossier geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst de werkgever verplicht om die gegevens een bepaalde periode te bewaren. Voorbeelden hiervan zijn de loonbelastingverklaring en een kopie van het identiteitsbewijs. Deze moet de werkgever 7 jaar bewaren nadat de betrokkene uit dienst is. Voor andere gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens is de richtlijn: een bewaartermijn van 2 jaar nadat betrokkene uit dienst is. Het is echter gebruikelijk dat organisaties sollicitatiegegevens verwijderen uiterlijk 4 weken na het einde van de sollicitatieprocedure. Na toestemming van de betrokkene kan dit worden verlengt tot 1 jaar.

Hebben jullie een Functionaris Gegevensbescherming (FG)? En hoe kan ik die bereiken?

Ja, de Functionaris Gegevensbescherming (FG) is er in eerste instantie om de interne organisatie te adviseren.

Wij verzoeken u om uw vragen altijd eerst via de reguliere contacten te laten verlopen, zoals uw accountmanager of onze servicedesk. U kunt ook onze trustsite bezoeken: trustsite. Mocht uw vraag niet (voldoende) beantwoord zijn, dan zal onze Functionaris Gegevensbescherming contact met u opnemen.

Heeft Visma | Raet  als verwerker van onze persoonsgegevens een register van de verwerkingsactiviteiten?

Ja, conform de AVG wetgeving heeft Visma | Raet een verwerkingsregister. Dit register is bedoeld voor intern gebruik en om de Autoriteit Persoonsgegevens te kunnen informeren.

Kan Visma | Raet voor mij een DPIA of PIA uitvoeren voor Youforce?

Het maken van een Data Privacy Impact Assessment (DPIA) is uw eigen verantwoordelijkheid als  verwerkingsverantwoordelijke.

Uiteraard zullen we u  daarin ondersteunen door het leveren van informatie hier. Waar nodig zal Visma | Raet deze informatie voor u aanvullen.

Voor het maken van een DPIA heb ik het verwerkingsregister van Visma | Raet nodig. Kunnen jullie die delen?

Visma | Raet  heeft de informatie die haar klanten kunnen gebruiken voor het uitvoeren van een Data Privacy Impact Assessment (DPIA) beschikbaar gesteld via de trust-pagina en onzeVisma | Raet in Control’ brochure. Het verwerkingsregister zelf is bedoeld voor intern gebruik en om de Autoriteit Persoonsgegevens te kunnen informeren, en wordt dus niet met klanten gedeeld.