Privacy beleid in het kader van het verwerken van Persoonsgegevens als bedoeld in de Algemene Verordening Gegevensbescherming

De ondertekenden:

  1. YVI Application Family B.V., gesvestigd op het adres Boschdijk 762 postcode 5624 CL te Eindhoven, KvK-nummer 17086953 hierna te noemen: “Verwerker”;
  2. “Verwerkingsverantwoordelijke”: hierna gezamenlijk aan te duiden als: “Partijen”;

 

Overwegende dat:

  1. De Verwerkingsverantwoordelijke beschikt over Persoonsgegevens van diverse Betrokkenen;
  2. De Verwerkingsverantwoordelijke bepaalde vormen van Verwerking van deze Persoonsgegevens wil laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke doel en middelen aanwijst;
  3. Dat Partijen een overeenkomst hebben gesloten of willen gaan sluiten, met betrekking tot de levering van het SOFTWAREPRODUCT van Verwerker aan Verwerkingsverantwoordelijke (hierna: “Onderliggende Overeenkomst”);
  4. De Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming (AVG) na te komen, voor zover dit binnen zijn macht ligt;
  5. Partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun rechten en plichten Schriftelijk wensen vast te leggen;

 

Artikel 1. Definities

In dit Privacy beleid worden de volgende met hoofdletter geschreven begrippen de in dit artikel opgenomen betekenis. Waar de definitie in enkelvoud is opgenomen, wordt ook het meervoud daaronder begrepen en vice versa, tenzij uitdrukkelijk anders vermeld of uit de context anders blijkt.

  1. AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
  2. Betrokkene: de geïdentificeerde of identificeerbare natuurlijke personen op wie Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 onder 1) AVG.
  3. Bijlage: een bijlage bij dit Privacy beleid, die een integraal onderdeel vormt van dit Privacy beleid.
  4. Bijzondere categorieën Persoonsgegeven: Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, zoals bedoeld in artikel 9 AVG.
  5. Derde: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om Persoonsgegevens te verwerken, zoals bedoeld in artikel 4 onder 10) AVG.
  6. Inbreuk in verband met Persoonsgegevens (“Datalek”): een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, zoals bedoeld in artikel 4 onder 12) AVG.
  7. Onderliggende Overeenkomst: de overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke met betrekking tot de levering van YVI Corpex en YVI Ruby.
  8. Persoonsgegeven: alle informatie over een Betrokkene; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon, zoals bedoeld in artikel 4 onder 1) AVG.
  9. PIA: de gegevensbeschermingseffectbeoordeling (privacy impact assessment) die vóór de Verwerking ten aanzien van het effect van de beoogde verwerkingsactiviteiten op de bescherming van Persoonsgegevens wordt uitgevoerd, zoals bedoeld in artikel 35 AVG.
  10. Schriftelijk: op schrift gesteld of langs de elektronische weg, zoals bedoeld in art. 6:227a van het Burgerlijk Wetboek.
  11. Sub-verwerker: een andere verwerker, die de Verwerker inschakelt ten behoeve van de Verwerking van Persoonsgegevens voor Verwerkingsverantwoordelijke.
  12. Toezichthoudende autoriteit: één of meer onafhankelijke overheidsinstanties die verantwoordelijk is of zijn voor het toezicht op de toepassing van de AVG, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de Verwerking van hun Persoonsgegevens te beschermen en het vrije verkeer van Persoonsgegevens binnen de Unie te vergemakkelijken, zoals bedoeld in artikel 4 onder 21) en artikel 51 AVG. In Nederland is dit de Autoriteit Persoonsgegevens.
  13. Privacy beleid: de onderhavige overeenkomst inclusief Bijlagen, zoals bedoeld in artikel 28 lid 3 AVG.
  14. Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
  15. Verwerking/Verwerken: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals bedoeld in artikel 4 onder 2) AVG.
  16. Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

Artikel 2. Voorwerp van dit Privacy beleid

  1. Verwerker verbindt zich onder de voorwaarden van dit Privacy beleid in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te Verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de levering van goederen en diensten in het kader van de Onderliggende Overeenkomst en de doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
  2. Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld en is gespecificeerd in Bijlage 1. Verwerkingsverantwoordelijke zal Verwerker Schriftelijk op de hoogte stellen van het onderwerp en de duur van de verwerking, de aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen, en de rechten en verplichtingen van de Verwerkingsverantwoordelijke jegens Betrokkenen, zoals bedoeld in artikel 28 lid 3 AVG, voor zover deze gegevens niet reeds in dit Privacy beleid of Onderliggende Overeenkomst zijn genoemd.
  3. Verwerker verwerkt de Persoonsgegevens uitsluitend op basis van Schriftelijke instructies van de Verwerkeringsverantwoordelijke.
  4. Indien een instructie zoals bedoeld in het derde lid naar het oordeel van de Verwerker in strijd is met een wettelijk voorschrift op grond van de AVG of andere wetgeving inzake bescherming van Persoonsgegevens, stelt hij Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis.
  5. Indien Verwerkingsverantwoordelijke verplicht is een PIA uit te voeren, verleent Verwerker hierbij de benodigde bijstand aan Verwerkingsverantwoordelijke en verstrekt Verwerker de benodigde informatie aan Verwerkingsverantwoordelijke.
  6. De in opdracht van Verwerkingsverantwoordelijke te verwerken Persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en / of de betreffende Betrokkenen.

Artikel 3. Verplichtingen Verwerker

  1. Ten aanzien van de in artikel 2 genoemde Verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens.
  2. De verplichtingen van de Verwerker die uit dit Privacy beleid voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
  3. Het is de Verwerker toegestaan om Sub-verwerkers in te schakelen. De Verwerkingsverantwoordelijke zal hiervan vooraf schriftelijk op de hoogte worden gesteld. In Bijlage 2 zijn de ten tijde van ondertekening van dit Privacy beleid bekende Sub-verwerkers opgenomen.
  4. Indien Verwerker na toestemming van Verwerkingsverantwoordelijke een Sub-verwerker inschakelt, zorgt Verwerker dat de Sub-verwerker de verplichtingen uit dit Privacy beleid opgelegd krijgt en naleeft.

Artikel 4. Doorgifte van Persoonsgegevens

  1. Verwerker mag de Persoonsgegevens Verwerken in landen binnen de Europese Economische Ruimte. Doorgifte naar landen buiten de Europese Economische Ruimte is verboden, tenzij Verwerkingsverantwoordelijke daar Schriftelijke toestemming voor geeft.
  2. Verwerker zal Verwerkingsverantwoordelijke melden om welk land of landen het gaat.

Artikel 5. Verdeling van verantwoordelijkheid

  1. De toegestane Verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
  2. Verwerker is louter verantwoordelijk voor de Verwerking van de Persoonsgegevens onder dit Privacy beleid, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind) verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door de Verwerkingsverantwoordelijke, Verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, Verwerkingen door Derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
  3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in dit Privacy beleid, niet onrechtmatig is en geen inbreuk maken op enig recht van Betrokkenen of Derden. Verwerkingsverantwoordelijke vrijwaart Verwerker van alle aanspraken van Betrokkenen of Derden die door of vanwege deze Verwerking(en) ontstaan.

Artikel 6. Beveiliging

  1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen zoals bedoeld in artikel 32 AVG te nemen met betrekking tot de te verrichten Verwerkingen van Persoonsgegevens, met het oog op bescherming van Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige Verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de Persoonsgegevens).
  2. Verwerker heeft in ieder geval de volgende maatregelen genomen:
    1. Persoonsgegevens worden opgeslagen in een Microsoft Datacenter dat aan de volgende standaarden voldoet: ISO 27001, ISO 27017 & ISO 27018;
    2. Verbindingen worden beveiligd door een Firewall;
    3. Indien databestanden lokaal worden opgeslagen voor test- en ontwikkeldoeleinden, zijn deze encrypted. Derhalve niet door anderen te openen/ in te zien. Dit geldt eveneens voor overzetten data op locatie middels USB sticks.
    4. Remote desktop log-in: Beveiligd via remote desktop protocol Microsoft
    5. Files worden op werkstations alleen op encrypted locaties geplaatst
    6. Files die worden verstuurd via Teamviewer:

Communicatie met teamviewer via Internet maakt gebruik van SSL/TLS connecties. Alle

SSL connecties komen tot stand, gebruik makend door 2048-bit keys.

  1. Files die worden bewaard in de cloud file storage (Microsoft onedrive for business), Communicatie met OneDrive for Business via Internet maakt gebruik van SSL/TLS connecties. Alle SSL connecties komen tot stand, gebruik makend door 2048-bit keys.
  2. Files die worden verstuurd middels Wetransfer:

Communicatie met wetransfer via Internet maakt gebruik van SSL/TLS connecties. Alle SSL connecties komen tot stand, gebruik makend door 2048-bit keys.

  1. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in dit Privacy beleid ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de Persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
  2. Verwerkingsverantwoordelijke stelt enkel Persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

 

 

 

Artikel 7. Meldplicht Datalekken

  1. In het geval van een beveiligingsinbreuk en/of een Datalek in de zin van artikel 33 AVG zal Verwerker de Verwerkingsverantwoordelijke daarover zonder onredelijke vertraging informeren. In bijlage 3 zijn de specifieke afspraken omtrent de informatieplicht opgenomen.
  2. De Verwerker zal de Verwerkingsverantwoordelijke waar mogelijk bijstaan in het nakomen van zijn verantwoordelijkheden jegens de Toezichthoudende autoriteit en/of Betrokkenen zoals bedoeld in artikel 33 en 34 AVG. Voor deze werkzaamheden zal een redelijke vergoeding in rekening worden gebracht, tenzij in de Onderliggende Overeenkomst anders is overeengekomen.
  3. Het melden van een Datalek aan de Toezichthoudende autoriteit en/of Betrokkenen zoals bedoeld in artikel 33 en 34 AVG is de verantwoordelijkheid van de Verwerkingsverantwoordelijke.

Artikel 8. Rechten van betrokkenen

  1. In het geval dat een Betrokkene een beroep doet op een of meerdere rechten zoals bedoeld in de artikelen 15 – 22 AVG en het bijbehorende verzoek richt aan Verwerker, zal Verwerker het verzoek zelf afhandelen voor zo ver hij dit zelf kan doen. Hij zal Verwerkingsverantwoordelijke van het verzoek op de hoogte te stellen.
  2. In het geval dat een Betrokkene een beroep doet op een of meerdere rechten zoals bedoeld in de artikelen 15 – 22 AVG en het bijbehorende verzoek richt aan Verwerkingsverantwoordelijke, verleent Verwerker hierbij de benodigde bijstand aan Verwerkingsverantwoordelijke.
  3. Verwerker mag de kosten voor de afhandeling van het verzoek als bedoeld in lid 1 van dit artikel en de kosten voor het verlenen van bijstand zoals bedoeld in lid 2 van dit artikel doorbelasten aan Verwerkingsverantwoordelijke.

Artikel 9. Geheimhouding en vertrouwelijkheid

  1. Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van dit Privacy beleid, rust een geheimhoudingsplicht jegens Derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
  2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan Derden te verschaffen, indien het verstrekken van de informatie aan Derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van dit Privacy beleid, of indien er een wettelijke verplichting bestaat om de informatie aan een Derde te verstrekken.
  3. Verwerker zal ervoor zorgen dat zijn personeel en ingeschakelde hulppersonen die belast zijn met de Verwerking van Persoonsgegevens zich ertoe verbinden vertrouwelijkheid in acht te nemen.

Artikel 10. Informatieplicht en audit

  1. Verwerker zal de Verwerkingsverantwoordelijke de medewerking verlenen die nodig is voor de in artikel 28 lid 3 onder h AVG bedoelde verantwoordingsplicht. Voor deze werkzaamheden zal een redelijke vergoeding in rekening worden gebracht, tenzij in de Onderliggende Overeenkomst anders is overeengekomen.
  2. Verwerkingsverantwoordelijke heeft het recht om op zijn verzoek een audit te laten uitvoeren door een door Verwerkingsverantwoordelijke gemachtigde (rechts)persoon, ten aanzien van de organisatie van Verwerker, teneinde aan te tonen dat Verwerker aan het bepaalde in de Onderliggende Overeenkomst, dit Privacy beleid, de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet. De kosten voor een audit op verzoek van Verwerkingsverantwoordelijke zijn voor rekening van de Verwerkingsverantwoordelijke.

Artikel 11. Aansprakelijkheid

  1. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van dit Privacy beleid, is per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder dit Privacy beleid over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van de Verwerker voor directe schade zal in totaal nooit meer bedragen dan het bedrag, dat wordt gedekt door de aansprakelijkheidsverzekering van Verwerker.
  2. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
    1. schade direct toegebracht aan stoffelijke zaken (“zaakschade’’) of personen;
    2. redelijke en aantoonbare kosten om de Verwerker er toe te manen dit Privacy beleid (weer) deugdelijk na te komen;
    3. redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals in dit artikel bedoeld.
  3. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is. Onder indirecte schade valt in ieder geval gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of schade door verlies, verminking of vernietiging van gegevens of databestanden.
  4. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
  5. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
  6. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van zes (6) maanden na het ontstaan van de vordering.
  7. Verwerker zal zich gedurende dit Privacy beleid adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel. De relevante verzekeringsvoorwaarden hiertoe kunnen op verzoek worden ingezien.

Artikel 12. Duur en beëindiging

  1. Dit Privacy beleid komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.
  2. Dit Privacy beleid wordt aangegaan voor de duur van de Onderliggende Overeenkomst en eindigt zodra de Onderliggende Overeenkomst eindigt.
  3. Zodra dit Privacy beleid, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle Persoonsgegevens van Verwerkingsverantwoordelijke die bij haar aanwezig zijn en eventuele kopieën daarvan binnen redelijke termijn terugbezorgen of vernietigen, naar keuze van de Verwerkingsverantwoordelijke. Vernietiging van Persoonsgegevens vindt alleen plaats met inachtneming van wettelijke verplichtingen en bewaartermijnen. Deze verplichting blijft bestaan na beëindiging van dit Privacy beleid.
  4. Partijen mogen deze overeenkomst alleen wijzigen met wederzijdse instemming.

Artikel 13. Slotbepalingen

  1. De gehele of gedeeltelijke ongeldigheid van een of meer bepalingen van dit Privacy beleid brengt niet de nietigheid of vernietigbaarheid van dit gehele Privacy beleid met zich mee. Voor zover de bedoelde ongeldigheid betrekking heeft op een wezenlijk onderdeel van de relatie tussen partijen, zullen Partijen in overleg vaststellen welke wijzigingen in dit Privacy beleid noodzakelijk uit die ongeldigheid voortvloeien, waarbij zoveel mogelijk aansluiting gezocht zal worden bij de bedoeling van Partijen zoals die uit dit Privacy beleid blijkt.
  2. De bepalingen uit dit Privacy beleid hebben in geval van strijdigheid met bepalingen uit andere van toepassing zijnde overeenkomsten en/of algemene voorwaarden voorrang.
  3. Dit Privacy beleid en de uitvoering daarvan worden beheerst door Nederlands recht.
  4. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met dit Privacy beleid, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.

Bijlage 1 Specificatie persoonsgegevens

Verwerker verwerkt voor Verwerkingsverantwoordelijke persoonsgegevens. Hieronder wordt de Verwerking gespecificeerd.

 

Beschrijving van verwerkingsactiviteiten door Verwerker:

Support – en testwerkzaamheden.

 

Aard en doel van de Verwerking:

Verwerker gebruikt data van de applicatie om support- en testwerk te kunnen verrichten voor de verwerkingsverantwoordelijke. Het gebruik van de deze data is noodzakelijk om specifieke issues  en bedrijfsprocessen van de verwerkingsverantwoordelijke te kunnen nabootsen. Hiervoor wordt de complete database ter beschikking gesteld. In deze database zitten persoonsgegevens opgenomen binnen HRM/Werknemers en het relatiebeheer.

 

Categorieën van Betrokkenen:

Supportmedewerkers

Consultants

Software ontwikkelaars

 

(Categorieën van) Persoonsgegevens:

Alle gegevens binnen de HRM / werknemer gegevens

Alle gegevens binnen het relatiebestand

 

Bewaartermijnen:

 

1 maand

Bijlage 2 Sub-verwerkers

Verwerker maakt ten tijde van het sluiten van deze Privacy beleid gebruik van de volgende Sub-verwerkers:

 

Microsoft, cloud service provider

Wetransfer

Teamviewer

Bijlage 3 Datalekken

Informatie die door Verwerker aan Verwerkingsverantwoordelijke wordt verstrekt in geval van een Datalek:

De datum en het tijdstip van het Datalek

De aard van het Datalek

Welk type Persoonsgegevens het betreft

De Betrokkene(n)

De technische beschermingsmaatregelen van de Persoonsgegevens, indien van toepassing

De waarschijnlijke gevolgen van het Datalek:

De maatregelen die Verwerker heeft voorgesteld of genomen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

 

Deze informatie wordt verstrekt aan:

Verwerkersverantwoordelijke

 

Het melden van een datalek kan via info@yvifamily.nl