Wij werken volgens de voorwaarden van NLdigital
Als je vanaf 25 mei 2018 gebruik maakt van onze dienstverlening is daarnaast onderstaande Verwerkersovereenkomst van toepassing. Hiermee voldoen wij aan de wettelijke verplichting van de Algemene verordening gegevensbescherming.
DIFFERIT verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst met DIFFERIT heeft. DIFFERIT en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Omdat DIFFERIT standaard dienstverlening (DIFFERIT Support/Consultancy) levert, heeft DIFFERIT de verwerkingsovereenkomst opgenomen in de Algemene Voorwaarden en SLA. DIFFERIT is in deze de ‘verwerker’ en de klant de ‘verwerkingsverantwoordelijke’. DIFFERIT en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. DIFFERIT zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.
De verwerking bestaat uit het beschikbaar stellen van de DIFFERIT applicaties met de door de klant ingevoerde en gegenereerde data. DIFFERIT zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek of via de applicatie worden gegeven.
Binnen de applicaties, die DIFFERIT beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. DIFFERIT is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat DIFFERIT deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die DIFFERIT doet.
DIFFERIT is zich bewust dat de informatie die de klant met DIFFERIT deelt en opslaat binnen AFAS Online, een geheim en bedrijfsgevoelig karakter heeft. Alle DIFFERIT medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.
Systeembeheerders van DIFFERIT Online hebben volledige toegang tot de klantgegevens voor:
Consultants, Supportmedewerkers en andere DIFFERIT medewerkers hebben alleen toegang tot de klantgegevens indien zij toestemming daarvoor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant. De klant is via de eigen autorisatietool binnen de applicatie daar zelf verantwoordelijk voor.
DIFFERIT neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Daarnaast werkt DIFFERIT met de software van AFAS en deze softwareleverancier is ISO27001 gecertificeerd. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. Meer informatie hierover is te vinden op de speciale AFAS Online pagina in de klantportal. De klant is gerechtigd om in overleg met DifferIT tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.
Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven dient de klant DIFFERIT direct op de hoogte stellen van deze bindende aanwijzing. DIFFERIT zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als DIFFERIT niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van DIFFERIT , dan geldt de toepasselijke aansprakelijkheidsbeperking als hiervoor genoemd in het hoofdstuk Aansprakelijkheid niet.
DIFFERIT heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal DIFFERIT de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
DIFFERIT zal wel, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V. op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle mogelijke informatie beschikbaar stellen aan de betreffende organisatie.
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. DIFFERIT zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. DIFFERIT zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. DIFFERIT zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal DIFFERIT de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij DIFFERIT, zonder dat de klant dit vooraf heeft besproken met DIFFERIT, dan is de klant aansprakelijk voor door DIFFERIT geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Voor het bepalen van een datalek, gebruikt DIFFERIT de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Indien blijkt dat bij DIFFERIT sprake is van een beveiligingsincident of datalek zal DIFFERIT de klant daarover zo spoedig mogelijk informeren nadat DIFFERIT bekend is geworden met het datalek. Om dit te realiseren zorgt DIFFERIT ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht DIFFERIT van haar opdrachtnemers dat zij DIFFERIT in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van DIFFERIT, dan meldt DIFFERIT dit uiteraard ook. DIFFERIT is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van DIFFERIT.
In eerste instantie zal DIFFERIT de contactpersoon van het abonnement informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan kan dat aangepast worden via de klantportal op de pagina ‘Contactpersonen’. Voeg een nieuwe contactpersoon toe of verwijder een bestaande contactpersoon.
DIFFERIT probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreed zal DIFFERIT de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door DIFFERIT ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.
DIFFERIT zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. DIFFERIT maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt DIFFERIT de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
DIFFERIT registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.
DIFFERIT zal, na afloop van de overeenkomst, alle klant gegevens verwijderen zoals beschreven staat bij ‘Beëindiging van de overeenkomst’. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. DIFFERIT verplicht zich daar gehoor aan te geven.