Deze Verwerkersovereenkomst (hierna: “Overeenkomst”), die is bedoeld voor de klanten (hierna ook: ”Afnemer”) van Vesting Accountants B.V. (hierna ook: “Vesting”), regelt de verwerking en beveiliging van persoonsgegevens door Vesting Accountants B.V. als onderdeel van haar dienstverlening, zoals vereist op grond van artikel 28 van de Algemene Verordening Gegegevensbescherming (hierna ook: “AVG”).
De verwerking door Vesting van persoonsgegevens van Afnemer dan wel van personeel van Afnemer, gebeurt ten behoeve van Afnemer, in het kader van de opdracht (hierna: “Onderliggende opdracht”) die Afnemer aan Vesting verleent, zoals is vastgelegd in de opdrachtbevestiging. Daarom beschouwen partijen Afnemer als de verantwoordelijke in de zin van de AVG (hierna ‘Verantwoordelijke”) en beschouwen zij Vesting als de verwerker (hierna: “Verwerker”)
Vesting treedt op als verwerkingsverantwoordelijke indien:
- u een particuliere klant bent;
- Vesting zelf het doel en de middelen bepaalt voor de verwerking;
- Vesting persoonsgegevens verwerkt in het kader van (werkzaamheden voor) een wettelijke plicht;
- Vesting persoonsgegevens verwerkt voor werkzaamheden waarbij zij zich moet houden aan beroeps- en gedragsregels;
In alle andere gevallen treedt Vesting op als verwerker. In dat geval bepaalt u hoe en waarom wij persoonsgegevens betreffende u en uw werknemers mogen verwerken.
Indien Afnemer op grond van de AVG niet de verantwoordelijke is voor de verwerkte persoonsgegevens, maar de verwerker, dan wordt Afnemer aangemerkt als Verwerker, Vesting als Subverwerker, en enige Subverwerker als sub-Subverwerker.
Voor verwerkingen waarvoor Vesting optreedt als verwerker, is deze verwerkersovereenkomst van toepassing.
- Definities
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.Betrokkene Degene op wie een Persoonsgegeven betrekking heeft. Verwerker Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Sub-verwerker Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten. Verwerkingsverantwoordelijke / Verantwoordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Bijzondere Persoonsgegevens Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. Datalek / Inbreuk in verband met persoonsgegevens Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Derden Anderen dan Afnemer en Vesting en haar Medewerkers. Meldplicht Datalekken De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n). Medewerkers Personen die werkzaam zijn bij Afnemer of bij Vesting, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd. Onderliggende opdracht De opdracht zoals beschreven in een separate opdrachtbevestiging Overeenkomst Deze verwerkersovereenkomst. Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die in het kader van de “Onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Persoonsgegevens van gevoelige aard Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude.
Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:- Bijzondere persoonsgegevens
- Gegevens over de financiële of economische situatie van de Betrokkene
- (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene
- Gebruikersnamen, wachtwoorden en andere inloggegevens
- Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Verwerken / Verwerking Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. AVG Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018. - Toepasselijkheid en looptijd
Deze Overeenkomst is van toepassing op iedere Verwerking die door Vesting als Verwerker wordt gedaan op basis van de Onderliggende opdracht, gegeven door Afnemer als Verantwoordelijke.- Deze Overeenkomst treedt in werking op de datum waarop de Onderliggende opdracht van kracht wordt of is geworden en eindigt op het moment dat Vesting geen Persoonsgegevens meer onder zich heeft die zij in het kader van de Onderliggende Opdracht voor Afnemer verwerken. Het is niet mogelijk om deze Overeenkomst tussentijds op te zeggen.
- Artikel 6 en 7 van deze Overeenkomst blijven gelden, ook nadat de Overeenkomst (of de Onderliggende opdracht) is geëindigd.
- Verwerking
- Vesting verwerkt de Persoonsgegevens uitsluitend op de manier die zij met Afnemer heeft afgesproken in de Onderliggende opdracht. Dit Verwerken doet Vesting niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze Onderliggende opdracht. De Verwerking vindt plaats volgens de schriftelijke instructies van Afnemer, tenzij Vesting op grond van de wet- of regelgeving verplicht is om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)). Indien een instructie, naar de mening van Vesting, een inbreuk maakt op de AVG stelt zij Afnemer daarvan onmiddellijk in kennis.
- De Verwerking vindt plaats onder de verantwoordelijkheid van Afnemer. Vesting heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor Afnemer verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan Derden. Afnemer moet er voor zorgen dat zij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de Persoonsgegevens berust nooit bij Vesting. Als Vesting een zelfstandige verplichting mocht hebben op basis van wettelijke voorschriften of de voor accountants geldende beroeps- en gedragsregels met betrekking tot Verwerking van Persoonsgegevens, dan leven zij deze verplichtingen na. Een overzicht van deze beroeps- en gedragsregels kunt U vinden op de website van de Nederlandse Beroepsorganisatie van Accountants (www.nba.nl).
- Afnemer is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient Afnemer vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Vesting zorgt ervoor dat zij voldoen aan de op haar als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in deze Overeenkomst.
- Vesting zorgt ervoor dat alleen haar Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is opgenomen in artikel 3.5. Vesting beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Zij zorgen er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
- Vesting schakelt andere verwerkers (Sub-verwerkers) in bij het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht. Vesting zal Afnemer vooraf informeren over de lijst (zie bijlage 1) van Sub-verwerkers. Deze lijst wordt minimaal jaarlijks bijgewerkt en op verzoek van Afnemer ter beschikking gesteld. Afnemer kan binnen tien (10) werkdagen na kennisgeving bezwaar maken tegen het gebruik van een specifieke Sub-verwerker.
- Voor zover mogelijk verleent Vesting Afnemer bijstand bij het vervullen van de verplichtingen van Afnemer om verzoeken om uitoefening van rechten van Betrokkenen af te handelen. Als Vesting (rechtstreeks) verzoeken ontvangt van Betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van Persoonsgegevens), dan zendt Vesting deze verzoeken door naar Afnemer. Afnemer handelt deze verzoeken zelf af, waarbij Vesting natuurlijk behulpzaam kan zijn als zij in het kader van de Onderliggende opdracht toegang heeft tot deze Persoonsgegevens. Hiervoor kunnen, in overleg, kosten in rekening gebracht worden.
- Vesting zal de Persoonsgegevens opslaan en verwerken binnen de Europese Economische Ruimte (verder EER). Indien er Persoonsgegevens uitgewisseld moeten worden voor een juiste
uitvoering van de Overeenkomst buiten de EER zal dit geschieden op basis van adequaatheidsbesluiten of passende waarborgen conform artikel 45, 46 AVG.Als Vesting een verzoek krijgt om Persoonsgegevens ter beschikking te stellen dan doet Vesting dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordeelt Vesting eerst of zij van mening is dat het verzoek bindend is, of dat zij op grond van gedrags- en beroepsregels aan het verzoek moet voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt Vesting Afnemer op de hoogte van het verzoek. Vesting probeert dat op zodanig korte termijn te doen, dat het voor Afnemer mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de Persoonsgegevens in te stellen. Als Vesting Afnemer op de hoogte mag stellen dan zal Vesting ook met Afnemer overleggen over de wijze waarop en welke gegevens Vesting ter beschikking zal stellen.
- Beveiligingsmaatregelen
- Vesting heeft de beveiligingsmaatregelen genomen die zijn genoemd in Bijlage 2 van deze Overeenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.
- Afnemer heeft zich goed geïnformeerd over de beveiligingsmaatregelen die Vesting heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico’s van de Verwerking.
- Vesting biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Als Afnemer de wijze waarop Vesting de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan Afnemer hiertoe een verzoek aan Vesting doen. Hierover zullen gezamenlijk afspraken gemaakt maken. De kosten van een inspectie zijn voor rekening van Afnemer. Afnemer stelt aan Vesting een kopie van het inspectierapport ter beschikking.
- Datalekken
- Vesting stelt Afnemer binnen 48 uur na ontdekking van een Datalek op de hoogte, zoals vermeld in Artikel 11 van deze Overeenkomst. Afnemer verplicht zich om binnen 24 uur na ontvangst van de melding te reageren en de benodigde acties in gang te zetten. Vesting biedt Afnemer de nodige informatie om de melding aan de Autoriteit Persoonsgegevens of de Betrokkene(n) te doen.
- De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de eigen verantwoordelijkheid van Afnemer.
- Het (bij)houden van een register van (mogelijke) Datalekken is altijd de eigen verantwoordelijkheid van Afnemer.
- Geheimhoudingsplicht
- Vesting houdt de van Afnemer verkregen Persoonsgegevens geheim en verplicht haar Medewerker en eventuele Sub-verwerkers ook tot geheimhouding. Accountants en belastingadviseurs nemen met betrekking tot de aan hen toevertrouwde Persoonsgegevens geheimhouding in acht zoals deze voor accountants en belastingadviseurs geldt op basis hun beroeps- en gedragsregels. Een overzicht van deze beroeps- en gedragsregels kan Afnemer vinden op de website van de Nederlandse
Beroepsorganisatie van Accountants (www.nba.nl) of de Nederlandse Orde van Belastingadviseurs (www.nob.net).
- Vesting houdt de van Afnemer verkregen Persoonsgegevens geheim en verplicht haar Medewerker en eventuele Sub-verwerkers ook tot geheimhouding. Accountants en belastingadviseurs nemen met betrekking tot de aan hen toevertrouwde Persoonsgegevens geheimhouding in acht zoals deze voor accountants en belastingadviseurs geldt op basis hun beroeps- en gedragsregels. Een overzicht van deze beroeps- en gedragsregels kan Afnemer vinden op de website van de Nederlandse
- Aansprakelijkheid
- Afnemer staat ervoor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
- Vesting is niet aansprakelijk voor schade die het gevolg is van het door Afnemer niet naleven van de AVG of andere wet- of regelgeving. Afnemer vrijwaart Vesting ook voor aanspraken van Derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel) maar ook voor de kosten die Vesting in verband daarmee moet maken, bijvoorbeeld in een eventuele juridische procedure en de kosten van eventuele boetes die aan Vesting worden opgelegd ten gevolge van handelen door Afnemer.
- De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Vesting blijft onverminderd van kracht. In geval van meerdere schadevorderingen uit hoofde van deze Overeenkomst en/of de Onderliggende opdracht, zal de aansprakelijkheid nimmer hoger zijn dan het maximumbedrag overeengekomen in de algemene voorwaarden van Vesting, tenzij expliciet schriftelijk anders overeengekomen.
- Overdraagbaarheid Overeenkomst
- Het is voor Afnemer en Vesting, behalve als zij gezamenlijk schriftelijk anders afspreken, niet toegestaan om deze Overeenkomst en de rechten en de plichten die samenhangen met deze Overeenkomst over te dragen aan een ander.
- Beëindiging en teruggave / vernietiging Persoonsgegevens
- Na beëindiging van de Onderliggende opdracht zal Vesting de door Afnemer aan Vesting verstrekte Persoonsgegevens terug overdragen of, indien Afnemer daarom verzoekt, vernietigen. Vesting zal een schriftelijk bewijs van de voltooide vernietiging verstrekken aan Afnemer. Vesting behoudt enkel een kopie van de Persoonsgegevens indien zij daartoe wettelijk verplicht is.
- De kosten van het verzamelen en overdragen van Persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van Afnemer. Datzelfde geldt voor de kosten van de vernietiging van de Persoonsgegevens. Als Afnemer daarom vraagt dan geeft Vesting vooraf een kosteninschatting.
- Aanvullingen en wijziging Overeenkomst
- Aanvullingen en wijzigingen op deze Overeenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
- Een wijziging in de verwerkte Persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of de eisen van Afnemer kan aanleiding zijn om deze Overeenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de onderliggende opdracht, of wanneer Vesting niet kan voorzien in een passend niveau van bescherming, kan dit voor Vesting reden zijn om de Onderliggende opdracht te beëindigen.
- Slotbepalingen
- Op verzoek van Afnemer stelt Vesting aan Afnemer alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen. Vesting maakt audits mogelijk, waaronder inspecties, door Afnemer of een door Afnemer gemachtigde controleur en draagt er aan bij. De kosten van dergelijke verzoeken, audits of inspecties zijn voor rekening van Afnemer. Ook eventuele audits bij Sub-verwerkers van Vesting zijn voor rekening van Afnemer.
- Partijen werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
- Op deze Overeenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Overeenkomst.
- Deze Overeenkomst is hoger in rang dan andere door Vesting met Afnemer gesloten overeenkomsten. Als Afnemer algemene voorwaarden gebruikt dan zijn deze niet van toepassing op deze Overeenkomst. De bepalingen uit deze Overeenkomst gaan boven de bepalingen in de algemene voorwaarden van Vesting, tenzij expliciet naar een bepaling in de algemene voorwaarden wordt verwezen.
- Als één of meerdere bepalingen in deze Overeenkomst niet geldig blijken te zijn, dan heeft dit geen gevolgen voor de geldigheid van de andere bepalingen in deze Overeenkomst. Vesting treedt dan met Afnemer in overleg om Gezamenlijk een nieuwe bepaling op te stellen. Deze bepaling zal zoveel als mogelijk in de geest zijn van de ongeldige bepaling, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
Naarden, 18 november 2024
Bijlage 1: Persoonsgegevens, doeleinden, categorieën van betrokkenen en subverwerkers
Doeleinden en persoonsgegevens
De Verwerkingsverantwoordelijke laat de Verwerker onder meer onderstaande persoonsgegevens door Verwerker verwerken in het kader van de Overeenkomst die met Verwerkingsverantwoordelijke is overeengekomen:
Doeleinden
Verwerker zal de persoonsgegevens verwerken voor de volgende doeleinden conform de Overeenkomst:
Algemeen
Het onderhoud, waaronder updates en releases van het door Verwerker dan wel sub-verwerker aan Verwerkingsverantwoordelijke ter beschikking gestelde systeem.
Salarisadministratie/HR
Uitvoeren van specifiek overeengekomen salariswerkzaamheden op basis van door Verwerkingsverantwoordelijke verstrekte gegevens.
Persoonsgegevens (niet uitputtend):
- NAW-gegevens
- Contactgegevens (telefoonnummer, e-mailadres, etc.)
- BSN
- Salarisgegevens
- Functie
- Opleidingsgegevens
- Geboortedatum
- Nationaliteit
- Pensioengegevens
- Loonheffingen
- Burgerlijke staat
Financiële administratie en accountancy
Opdrachten tot het verrichten van specifiek overeengekomen werkzaamheden m.b.t. financiële informatie;
Uitvoering van de financiële administratie waarbij Verwerker enkel een boekhoudpakket ter beschikking stelt.
Persoonsgegevens (niet uitputtend):
- NAW-gegevens
- Contactgegevens (telefoonnummer, e-mailadres, etc.)
- Geboortedatum
- Beroep
- Financiële gegevens
- Salarisgegevens
- BTW-nummer
- Kentekengegevens
Fiscale werkzaamheden
Uitvoeren van specifiek overeengekomen fiscale werkzaamheden op basis van door Verwerkingsverantwoordelijke verstrekte gegevens.
Persoonsgegevens (niet uitputtend):
- NAW-gegevens
- Contactgegevens (telefoonnummer, e-mailadres, etc.)
- Geboortedatum
- BSN
- Beroep
- Fiscale nummers
- Financiële gegevens van natuurlijke personen
- Loonheffingen
- Burgerlijke staat
Advies en dashboarding
Verstrekken van advies over, alsmede visualisatie van financiële, fiscale, salaris- en organisatorische zaken, inclusief het genereren van managementinformatie via data-analyse en dashboarding.
Persoonsgegevens (niet uitputtend):
- NAW-gegevens
- Contactgegevens (telefoonnummer, e-mailadres, etc.)
- Financiële gegevens
- Salarisgegevens
- Persoonsgegevens en dossier
- Afhankelijk van de specifieke opdracht en de door Verwerkingsverantwoordelijke verstrekte gegevens in het bronsysteem
Categorieën van betrokkenen
De Persoonsgegevens die verwerkt kunnen worden betreffen de volgende categorieën van betrokkenen, afhankelijk van de opdracht:
- Opdrachtgever
- Personeel van opdrachtgever
- Sollicitanten van opdrachtgever
- Leveranciers van opdrachtgever
- Klanten van opdrachtgever
Afnemer bepaalt welke Persoonsgegevens worden verwerkt en op welke wijze, afnemer is Verantwoordelijke voor deze verwerking.
Sub-verwerker
Vesting schakelt deze derden (Sub-verwerkers) in bij het uitvoeren van de Onderliggende opdracht.
Daarbij is aangegeven of de verwerking plaatsvindt binnen of buiten de EER. Indien de verwerking buiten de EER plaatsvindt is aangegeven of dit op basis van een adequaatheidsbesluit is of welke passende waarborg conform artikel 45, 46 AVG.
Zodra Vesting een nieuwe sub-verwerker inschakelt zal deze lijst worden bijgewerkt.
Categorie (sub) verwerker | Toelichting | Locatie gegevens |
---|---|---|
Beheer Cloud- en IT-diensten | IT-systemen, documentmanagementsysteem en werkplekken | EER |
Belastingaangiften | Verzorgen van fiscale aangiften | EER |
CRM | Dossiervorming en relatiebeheer | EER |
Digitale Ondertekening | Accordering van documenten | EER |
Factuurherkenning | Scannen en herkennen van facturen voor de financiële administratie | Buiten EER op basis van passende waarborg |
Financiële Administratie | Verzorgen en ondersteunen van de financiële administratie | EER |
Klantenportaal en Documentbeheer | Versturen van beveiligde berichten, accordering en het delen van bestanden | EER |
Papiervernietiging | Fysieke vernietiging gevoelige documenten | EER |
Salarisadministratie en HR | Personeels- en salarisadministratie | EER |
Samenstelsoftware | Opstellen van de jaarrekening en controlewerkzaamheden | EER |
VOIP en Telecom | Telefoniesysteem | EER |
Bijlage 2: Beveiligingsmaatregelen
Vesting neemt de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking:
- Inzet van Microsoft passwordless authenticatie voor veilige toegang tot systemen.
- Gebruik van Microsoft Sentinel en XDR endpoint beveiliging voor continue monitoring en bescherming tegen dreigingen.
- Implementatie van Single Sign-On (SSO) via Microsoft Login.
- Toepassing van Multi-Factor Authenticatie (MFA) en het gebruik van complexe wachtwoorden waar mogelijk.
- Dagelijkse back-ups van gegevens om dataverlies te voorkomen.
- Verzending van privacygevoelige documenten via een beveiligde omgeving.
- Vernietiging van papieren documenten met privacygevoelige informatie door een gecertificeerde externe partij.
- Trainen van personeel over de gevaren van online werken – Voorlichting geven over verwerken data/ it-gevaren en veilig online werken.