
Visma | Raet hanteert verschillende maatregelen om de privacy van uw data te waarborgen en uw persoonsgegevens te beschermen.
Onze verwerking van persoonsgegevens voldoet aan de Nederlandse en Europese privacywetgeving en -richtlijnen. De Algemene Verordening Gegevensbescherming (AVG) is de basis voor ons informatiebeveiligingsbeleid.
De AVG duidt Visma | Raet t aan als ‘verwerker’, omdat onze dienstverlening erop gericht is om persoons-, salaris- en daaraan gerelateerde gegevens te verwerken voor opdrachtgevers, de verwerkingsverantwoordelijken. De AVG stelt eisen aan de vorm en inhoud van afspraken met opdrachtgevers en leveranciers. Daarnaast stelt deze wet ook een aantal zelfstandige verplichtingen en beperkingen aan Visma | Raet als verwerker. Op basis van de AVG zorgen wij ervoor dat:
Bovengenoemde aspecten maken onderdeel uit van ons normenkader en informatiebeveiligingsbeleid, zodat wij dit kunnen laten toetsen op basis van ISAE3402 en ISO27001 standaarden.
Naast de toetsing op de ISAE3402- en ISO27001-kaders is Visma | Raet gecertificeerd voor de Data Pro Code.
Deze code concentreert zich op invulling van de vereisten zoals opgenomen in artikel 28 van de AVG.
De Data Pro Code is een, door de Autoriteit Persoonsgegevens goedgekeurde, gedragscode volgens artikel 40 van de AVG in Nederland. Deze gedragscode is geïnitieerd door de IT-brancheorganisatie NLdigital. Alle organisaties die het Data Pro-certificaat hebben verkregen zijn geregistreerd in het Data Pro Register. De Data Pro Code is goedgekeurd door de Nederlandse privacy toezichthouder Autoriteit Persoonsgegevens.
Het data Pro certificaat kunt u hier downloaden. Ons Data Pro Statement kunt u hier downloaden.
We gebruiken cryptografische maatregelen (encryptie of versleuteling) om de vertrouwelijkheid van gevoelige en geheime informatie te beschermen en om de authenticiteit van gebruikers te kunnen vaststellen. Informatie kunnen we classificeren als 'Normaal' (risicoklasse 2) en 'Hoog' (risicoklasse 3).
Voor het elektronisch transport maakt Visma | Raet altijd gebruik van encryptie op basis van SSL. Informatie wordt daarnaast ook versleuteld bij opslag op externe media (offsite back-up). Informatie met een hoog beschermingsniveau wordt zowel tijdens transport als bij elektronische opslag versleuteld.
Visma | Raet beschikt over data van klanten om deze klanten de afgesproken diensten te kunnen leveren. We gebruiken herleidbare klantgegevens niet voor andere doeleinden, tenzij u daar expliciet toestemming voor geeft en dit binnen de kaders van wet- en regelgeving toegestaan is. Binnen Visma | Raet stellen we daarom eisen aan hoe we omgaan met klantdata.
Gegevens worden door Visma | Raet op basis van het informatiebeveiligingsbeleid en hun classificatie beveiligd. Het informatiebeveiligingsbeleid is opgesteld op basis van de ISO27000 standaarden en best practices. De beveiligingsmaatregelen zijn vastgesteld op basis van de plan-do-act-cyclus van ons gecertificeerde informatiebeveiligingssysteem en de richtsnoeren Beveiliging van Persoonsgegevens van de Nederlandse Autoriteit Persoonsgegevens.
Bij het uitvoeren van de werkzaamheden die wij, als verwerker in opdracht van u als verwerkingsverantwoordelijke verrichten, kunnen verschillende soorten persoonsgegevens betrokken zijn. Welke dit zijn, is afhankelijk van de dienstverleningsovereenkomst en de daaraan gekoppelde verwerkersovereenkomst. In de verwerkersovereenkomst zijn daarom verschillende soorten persoonsgegevens opgenomen gekoppeld aan de risicoklassen 'Normaal' en 'Hoog', oftewel risicoklasse 2 of 3.
Ten behoeve van de bescherming van gegevens met een classificatie 'Hoog' hanteren wij een aanvullend beschermingsniveau, omdat ongeautoriseerde kennisname van deze gegevens significante risico’s kan hebben voor de betrokkene. Aanvullende maatregelen hebben in deze gevallen betrekking op de beperking van het gebruik van de gegevens, multi-factor authenticatie of extra versleuteling. In de verklaring van toepasselijkheid die bij het ISO27001 certificaat is gevoegd is vastgelegd welke dat zijn.
Regels en eisen over de omgang met klantdata zijn vastgelegd in de interne ‘Richtlijn gebruik klantdata’. Deze richtlijn is opgesteld conform de eisen van de AVG en de richtlijnen van de Nederlandse Autoriteit Persoonsgegevens. Voor het testen van informatiesystemen met persoonsgegevens gebruiken we uitsluitend gegevens van fictieve personen.
Na beëindiging van de verwerkersovereenkomst zal Visma | Raet alle gegevens op verzoek binnen redelijke termijn overdragen en/of verwijderen van de operationele systemen. Om technische redenen is het niet mogelijk de data van reeds opgeslagen back-ups te verwijderen. Wel kunnen we in het contract afspraken maken over het bewaren van data voor latere opvraag, bijvoorbeeld voor de fiscus.
Data kan ter beschikking gesteld worden in een gangbaar bestandsformaat en op een gangbaar medium. Standaard hanteert Visma | Raet een ‘comma separated’ (.csv) bestandsformaat op DVD of een andere geschikte gegevensdrag.
De meldplicht datalekken in de AVG eist dat eventuele datalekken gemeld worden aan de toezichthouder. De “Beleidsregels meldplicht datalekken” van de Nederlandse Autoriteit Persoonsgegevens geven hierover nadere informatie. Wij zullen u als verwerkingsverantwoordelijke tijdig, juist en volledig informeren over relevante incidenten, zodat u aan de wettelijke vereisten kunt voldoen.
Voor de verwerking van data maakt Visma | Raet gebruik van meerdere Europese datacenter. Alle datacenter en dataopslag voldoen aan strenge Nederlandse en Europese wetgeving met betrekking tot privacy, logische- en fysieke toegangsbeveiliging en continuïteit.
De systemen worden beschermd door middel van 'hardening' zoals onder andere vastgelegd in de ICT-beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum.
Visma | Raet toetst jaarlijks of wordt voldaan aan de eisen aan leveranciers in het productieproces (sub-verwerkers) en rapporteert hierover in een ISAE3402 type 2 rapport. Uiteraard heeft Visma | Raet met alle subverwerkers een verwerkersovereenkomst conform de AVG-wetgeving afgesloten.
Voor de verwerking van de Youforce-toepassingen en opslag van data maakt Visma | Raet gebruik van datacenters van leveranciers KPN en Microsoft. Youforce maakt gebruik van meerdere applicatie-, data- en webservers en heeft verschillende hardwarecomponenten. Alle toepassingen zijn voor gebruikers via internet beschikbaar. Voor de verwerking van persoonsgegevens wordt gebruik gemaakt van datacenterlocaties in Nederland van zowel NorthC (geleverd via KPN) als Microsoft Azure. Er zijn expliciete contractuele afspraken gemaakt voor opslag van gegevens binnen de Europese Economische Ruimte (EER).
KPN datacenters:
Voor de dienstverlening die KPN levert wordt gebruik gemaakt van twee NorthC datacenters:
Aalsmeer: productieomgeving en opslaglocatie van klantdata
Almere: uitwijkomgeving met gerepliceerde klantdata en acceptatieomgeving
Het datacenter in Aalsmeer is het primaire datacenter waar gebruikers via internet toegang hebben tot de toepassingen. In geval van calamiteiten wordt gebruik gemaakt van een tweede datacenter in Almere. Om risico’s als gevolg van omgevingsfactoren te beperken is deze locatie bewust op ruime afstand van Aalsmeer. Door middel van replicatie wordt deze uitwijkomgeving voortdurend gelijk gehouden aan de productieomgeving. De systemen in de uitwijkomgeving worden deels ook gebruikt voor acceptatietesten. Uiteraard maken we hierbij geen gebruik van klantdata en zijn de productiegegevens fysiek gescheiden van de testgegevens.
De systemen en opslagruimte die Visma | Raet gebruikt in de datacenters van NorthC zijn fysiek gescheiden van de dienstverlening aan andere organisaties. NorthC datacenters hebben hoge betrouwbaarheid en zijn gecertificeerd op het gebied van kwaliteit en informatiebeveiliging. Voor alle gebruikte datacenters is minimaal een ISO9001- en ISO27001-certificering van toepassing.
Microsoft datacenters:
Visma | Raet maakt voor de ontwikkel- en testomgeving al gebruik van Microsoft Azure. Ook de productieomgeving van HR Core Business Global wordt gehost op het Azure-platform. Gefaseerd gaat Microsoft Azure ook gebruikt worden voor de productieomgeving van andere Youforce apps. Bij de inrichting wordt gekozen voor de Azure regio ‘West Europe’, welke bestaat uit meerdere datacenters gevestigd in Nederland. Dit houdt in dat gegevens contractueel opgeslagen worden in datacenters binnen de EER. Zie voor datacenterlocaties: https://www.microsoft.com/en-us/trust-center/privacy/data-location.
De clouddienstverlening van Microsoft is gebaseerd op vier uitgangspunten:
Security
Privacy
Compliance
Transparantie
Door de wijze waarop Microsoft haar clouddienstverlening heeft ingericht en de contractuele vastlegging tussen Microsoft en Visma|Raet voldoen we aan de vereisten in het kader van de AVG. Mocht u toch een extra waarborg willen voor de verwerking van de persoonsgegevens van uw medewerkers dan kunt u ons machtigen om namens uw organisatie een modelcontract (zoals bedoeld in artikel 46 lid 2 of 3 AVG) met Microsoft overeen te komen.
Overigens is een dergelijke machtiging niet nodig als uw organisatie zelf al model clauses heeft met Microsoft. Deze model clauses zijn een integraal onderdeel van de Online Service Terms (OST) van Microsoft, die horen bij alle online dienstverlening door Microsoft. Dit is ook bevestigd door Microsoft. U dient nog wel zelf te beoordelen of u al gebruik maakt van online dienstverlening van Microsoft en heeft ingestemd met de OST.
Indien u nog niet beschikt over een model clause met Microsoft kunt u een verzoek voor het machtigen van Visma | Raet sturen naar privacy.raet@visma.com. Vervolgens ontvangt u van ons een volmacht-formulier om deze machtiging te verstrekken.
Meer informatie over de overstap naar Microsoft Azure datacenters vindt u in onze Q&A.
Visma | Raet ondersteunt klanten met behulp van een service managementsysteem voor incidentregistratie en communicatie dat gehost wordt door Amazon Web Services (AWS). Ook voor Werving en Selectie en Visma .net HR en Payroll vindt verwerking plaats in datacenters van AWS. AWS datacenters hebben een zeer hoge betrouwbaarheid op de aspecten veiligheid, beschikbaarheid en continuïteit en voldoen aan erkende industrienormen voor fysieke en informatiebeveiliging . AWS is gecertificeerd voor ISO27001 en verstrekt zowel ISAE3402 als SOC2 rapportages.
Datacenter | Land Verwerking | Certificering |
KPN | Nederland | ISO9001; ISO27001; ISAE3000 |
Microsoft Azure |
Europa | ISO9001; ISO27001; ISAE3402 SOC1, SOC2 |
AWS | Europa | ISO9001; ISO27001; ISAE3402 SOC1, SOC2 |
Youforce wordt beschermd tegen misbruik door malware en met virusprotectie zorgen we ervoor dat aangesloten gebruikers niet besmet worden met virussen.
We controleren door gebruikers vastgelegde gegevens en eventuele bijlagen niet op virussen, omdat deze data niet als softwareprogrammatuur wordt uitgevoerd. Hierdoor kan er geen schade worden toegebracht aan Youforce. Voor de bescherming van uw eigen gegevens, gaan we ervan uit dat u gebruik maakt van virusdetectie en malware-protectie op uw eigen systemen.
Visma | Raet maakt voor een aantal onderdelen van haar software en services gebruik van leveranciers. Welke leveranciers voor uw organisatie van toepassing zijn is afhankelijk van de diensten die u bij ons afneemt. In het leveranciersoverzicht kunt u informatie vinden over de leveranciers die Visma | Raet inzet.
Als Visma | Raet ‘in control’ is, bent u in control. Dit document laat u zien hoe Visma | Raet hier invulling aan geeft.