AVG (GDPR)

Voor wat betreft de websites van xCore zijn wij ‘verwerkingsverantwoordelijke’ en gebruiken wij een aantal cookies. De wettelijke grondslag voor ons gebruik van al onze cookies is de noodzakelijkheid voor ons gerechtvaardigde belang het gebruik van de website te onderzoeken en te verbeteren. Wij hebben, mede door de meest privacy-vriendelijke instellingen te kiezen, geen toestemming van de bezoeker nodig.

Wij verstrekken in beginsel géén persoonsgegevens aan derden, tenzij dat noodzakelijk is voor het voldoen aan een ambtelijk bevel of wettelijke plicht, bijvoorbeeld bij het onderzoek naar strafbare feiten.

Onze website bevat tevens hyperlinks naar websites van andere partijen, waarover wij geen controle kunnen uitoefenen. Wij aanvaarden daarvoor dan ook geen enkele aansprakelijkheid.

Wij gebruiken Google Analytics 4 om statistieken van bezoekers te verzamelen, waaronder de frequentie van bezoek, hoe lang een bezoeker gemiddeld verblijft op de website, vanuit welke (sociale) media de bezoekers op onze website terecht komen en eventuele demografische gegevens. We gebruiken hiervoor de volgende trackers en cookies: essentiële, functionele en marketingcookies.

Wanneer je een nieuwsbrief van ons ontvangt, dan verwerken wij daarvoor enkel jouw naam en e-mailadres. Het doel is om jou te informeren over onze diensten. Met onze nieuwbriefprovider Mailchimp (The Rocket Science Group LLC d/b/a/ Mailchimp) hebben wij passende afspraken gemaakt in het kader van de beveiliging van aan ons toevertrouwde persoonsgegevens.

De wettelijke grondslag voor ons gebruik van de nieuwsbrief is de noodzakelijkheid voor ons gerechtvaardigde belang om ontvangers op de hoogte te brengen van nieuws in het kader van (de verkoop van) onze dienstverlening en rondom het recht. Het is altijd mogelijk voor ontvangers om zich gemakkelijk uit te schrijven van de nieuwsbrief.

De betreffende persoonsgegevens zullen net zo lang verwerkt worden als dat je staat ingeschreven voor de nieuwsbrief. Schrijf je jezelf uit, dan zullen wij jouw persoonsgegevens enkel nog moeten verwerken om ervoor te zorgen dat je niet opnieuw een nieuwsbrief van ons ontvangt.

Voor wat betreft de diensten die xCore levert aan haar afnemers, heeft xCore de rol van ‘verwerker’. Wij committeren ons aan de hierna volgende verwerkersovereenkomst, die geldt op alle diensten die wij leveren aan afnemers. Als ‘verwerkingsverantwoordelijke’ bepalen onze afnemers zelf de grondslag voor de verwerkingen die wij voor de afnemers uitvoeren.

Wij hanteren intern een privacy-administratie met een register voor verwerkingsactiviteiten en wij passen bij onze ontwikkeling steeds de principes privacy-by-design en privacy-by-default toe. Dat betekent dat wij zo veel mogelijk gegevens pseudonimiseren en anonimiseren en dat de standaardinstellingen privacyvriendelijk zijn. Ook passen wij dataminimalisatie toe door zo min mogelijk privacygevoelige gegevens op te slaan. Uiteraard beveiligen wij alle door ons verwerkte gegevens zorgvuldig conform onze verwerkingsovereenkomst en voeren wij met regelmaat beveiligingstesten uit.

Met onze (sub)verwerkers, zoals leveranciers van telefonie, e-mailsystemen, klanten- en dossierbeheersystemen, boekhouding en facturatiesystemen, hebben wij waar nodig passende verwerkersovereenkomsten gesloten. Een aantal van deze verwerkers zijn internationale partijen, die al dan niet buiten de Europese Unie zijn gevestigd. In die gevallen is er sprake van een gewaarborgd beschermingsniveau en passende verwerkersovereenkomsten.

Wij bewaren klantgegevens standaard vijf (5) jaar vanaf de datum dat wij stoppen met het verlenen van diensten aan de betreffende afnemer, welke termijn slechts verlengd wordt naar twintig (20) jaar in gevallen waarin onze aansprakelijkheid ter discussie staat. Verder bewaren wij administratieve gegevens standaard zeven (7) jaar vanaf de 1^e januari volgend op het verkrijgen van de betreffende gegevens om te voldoen aan wettelijke en fiscale administratieplichten.

Verwerker zal aan Verwerkingsverantwoordelijke op basis van een separate overeenkomst door registratie en activatie van een product(en) en/of dienst(en) binnen het xCore platform, ondertekening van offertes en/of contracten of door het accepteren van aangeleverde consultancyopdrachten vanuit Exact Software Nederland B.V., diensten leveren die ertoe leiden dat Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.

2.2.1         Verwerkingsverantwoordelijke is de ‘verwerkingsverantwoordelijke’ en Verwerker is de ‘verwerker’ in de zin van artikel 4 onder 7 AVG respectievelijk artikel 4 onder 8 AVG.

2.2.2         De met hoofdletter aangeduide begrippen uit deze overeenkomst hebben dezelfde betekenis als de definities uit de AVG:

1. a. Persoonsgegevens: ‘persoonsgegevens’ uit artikel 4 onder 1 AVG, waarmee wordt bedoeld alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;
2. b. Verwerking: ‘verwerking’ uit artikel 4 onder 2 AVG, waarmee wordt bedoeld een bewerking of een geheel van bewerkingen met betrekking tot de Persoonsgegevens;
3. c. Betrokkene: ‘de betrokkene’ uit artikel 4 lid 1 AVG, oftewel geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben;
4. d. Autoriteit: ‘toezichthoudende autoriteit’ uit artikel 4 lid 21 AVG, oftewel de Autoriteit Persoonsgegevens in Nederland;
5. e. DPIA: Data Protection Impact Assessment oftewel ‘gegevensbeschermingseffectbeoordeling’ uit artikel 35 AVG;
6. f.  Inbreuk: ‘inbreuk in verband met persoonsgegevens’ uit artikel 4 lid 12 AVG, oftewel een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

2.2.3         Bij de uitleg van de overige terminologie in deze overeenkomst dient aansluiting te worden gezocht bij de definities van artikel 4 AVG.

2.2.4         De overwegingen en bijlagen bij deze overeenkomsten vormen een integraal onderdeel daarvan.

2.3.1         Het onderwerp, de aard en het doel van de Verwerking zijn: Het vervullen van de verplichtingen die volgen uit de onderliggende dienstverleningsovereenkomst die tussen partijen is gesloten.

2.3.2         De duur van de Verwerking is: Zolang de onderliggende dienstverleningsovereenkomst tussen partijen loopt en bij gebreke daarvan in ieder geval voor de duur van de samenwerking. De Verwerkersovereenkomst kan tussentijds niet worden opgezegd.

2.3.3         Na het beëindigen van de dienstverleningsovereenkomst zullen  de verwerkingsdiensten van Verwerker nog maximaal twee (2) weken voortduren om de back-ups van de persoonsgegevens uit te faseren. Behoudens de voornoemde back-upregeling, zal Verwerker na het uitvoeren van de verwerkingsdiensten of op verzoek van de Verwerkingsverantwoordelijke de Persoonsgegevens verwijderen zonder daarvan een kopie achter te houden, tenzij Nederlands of Europees recht Verwerker tot opslag van de Persoonsgegevens verplicht.

2.3.4         De te verwerken Persoonsgegevens zijn van het volgende soort en behelzen de volgende categorieën van Persoonsgegevens, zoals genoemd in Bijlage 1 bij deze verwerkingsovereenkomst.

2.4.1         Verwerker verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke.

2.4.2         Verwerker zal de Persoonsgegevens van Verwerkingsverantwoordelijke strikt geheim houden en ten aanzien daarvan minimaal dezelfde zorgplichten en waarborgen in acht nemen als die Verwerker zelf hanteert ten aanzien van eigen vertrouwelijke informatie. Verwerker zal ook op zorgvuldige en passende wijze omgaan met gegevens die geen Persoonsgegevens betreffen. Verwerker waarborgt dat deze geheimhouding zich ook uit strekt tot de personen die gemachtigd zijn om de Persoonsgegevens te verwerken. Deze regel kent slechts uitzondering als Verwerker op basis van toestemming of instructies van Verwerkingsverantwoordelijke of vanwege een wettelijke plicht of ambtelijk bevel genoodzaakt is de Persoonsgegevens te verstrekken.

2.4.3         Verwerker zal de aan haar beschikbaar gestelde Persoonsgegevens niet langer bewaren of verwerken dan noodzakelijk is voor de uitvoering van de dienstverleningsovereenkomst, met inachtneming van het bepaalde in artikel 2.3.

2.4.4         Verwerker zal de Verwerkingsverantwoordelijke, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken van Betrokkenen gebaseerd op artikelen 12 t/m 22 AVG af te handelen die – kort gezegd – strekken om transparantie en inzage te verkrijgen, om rectificatie en wissing van Persoonsgegevens of beperking van de verwerking te bewerkstellingen en om de Persoonsgegevens over te dragen. Verwerker zal Verwerkingsverantwoordelijke in dit kader ook bijstand verlenen bij diens kennisgevingsplicht naar aanleiding van dergelijke verzoeken en de afhandeling van eventuele bezwaren door Betrokkenen en passende maatregelen te nemen bij eventuele geautomatiseerde besluitvorming en/of profilering van Betrokkenen. Verwerker zal in ieder geval binnen één (1) maand aan Verwerkingsverantwoordelijke informatie verstrekken over het op verzoek van de laatste gegeven gevolg aan verzoeken van Betrokkenen.

2.4.5         Verwerker zal de Verwerkingsverantwoordelijke, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om in gevallen waarbij de verwerking waarschijnlijk een hoog risico voor de privacy van Betrokkenen inhoudt, in het bijzonder a) bij gevallen waarbij nieuwe technologieën worden gebruikt, een DPIA te doen en b) bij de eventuele voorafgaande raadpleging van de Autoriteit.

2.5.1         Verwerker is gerechtigd om andere verwerkers (“sub-verwerkers”) in te schakelen voor de Verwerking. Verwerker zal Verwerkingsverantwoordelijke inlichten over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers. Verwerkingsverantwoordelijke kan op redelijke gronden bezwaar maken tegen dergelijke veranderingen.

2.5.2         Bij het inschakelen van een andere verwerker door Verwerker, worden aan deze andere verwerker bij overeenkomst dezelfde verplichtingen opgelegd die ook voortvloeien uit deze overeenkomst, opdat er voldoende garanties zijn met betrekking tot het toepassen van passende technische en organisatorische maatregelen. Verwerker blijft verantwoordelijk jegens Verwerkingsverantwoordelijke voor het nakomen van de verplichtingen uit deze overeenkomst.

2.5.3         Verwerker zal nimmer zonder schriftelijke instructie van de Verwerkingsverantwoordelijke Persoonsgegevens doorgeven aan landen buiten de Europese Unie of aan een internationale organisatie, tenzij Nederlands of Europees recht Verwerker daartoe verplicht. In dat geval stelt Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de doorgifte hiervan op de hoogte, tenzij de betreffende wet- of regelgeving deze kennisgeving verbiedt.

2.6.1         Verwerker zal, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context, het doel van de Verwerking en de waarschijnlijkheid en ernst van de uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen, passende technische en organisatorische maatregelen nemen om verwerking in overeenstemming met de AVG te waarborgen en om een passend beveiligingsniveau te waarborgen.

2.6.2         Verwerker zorgt ervoor dat iedere persoon (zoals een werknemer) die handelt onder haar gezag en toegang heeft tot de Persoonsgegevens, deze slechts in opdracht van Verwerkingsverantwoordelijke verwerkt, tenzij Verwerker daartoe Unierechtelijk of lidstaatrechtelijk gehouden is, en dat deze personen adequaat worden geïnstrueerd.

2.6.3         Verwerker zal in ieder geval de maatregelen nemen zoals omschreven in Bijlage 2.

2.7.1         Verwerker, en in voorkomend geval de vertegenwoordiger van Verwerker, houdt schriftelijk of elektronisch een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van Verwerkingsverantwoordelijke verricht. Dit register bevat de volgende gegevens:

1. A. de naam en de contactgegevens van eventuele andere verwerkers en van Verwerkingsverantwoordelijke, en, in voorkomend geval, van de vertegenwoordiger van Verwerkingsverantwoordelijke of de andere verwerker en van de eventuele functionaris voor gegevensbescherming;
2. B. de categorieën van verwerkingen voor rekening van Verwerkingsverantwoordelijke;
3. C. indien van toepassing, doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de eventuele documenten inzake de passende waarborgen als bedoeld in artikel 49 lid 1 tweede alinea AVG;
4. D. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 5.3 en bijlage 2 van deze overeenkomst.

2.7.2         Verwerker zal Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de verplichtingen uit deze overeenkomst aan te tonen en om audits, waaronder inspecties, mogelijk te maken. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar de mening van Verwerker een instructie van Verwerkingsverantwoordelijke in strijd is met de AVG of andere Nederlandse of Europese wet- en regelgeving inzake gegevensbescherming

2.7.3         Verwerkingsverantwoordelijke heeft het recht om de naleving van deze overeenkomst eenmaal per jaar te controleren door middel van een audit of inspectie, wanneer die uitgevoerd wordt door een gecertificeerde auditor. Een controle mag de bedrijfsactiviteiten van Verwerker niet onnodig verstoren. Verwerkingsverantwoordelijke zal de controle minimaal dertig (30) dagen voor aanvang schriftelijk aankondigen bij Verwerker onder opgave van de naam en de certificaten van auditor. Verwerker mag – in overleg met de Verwerkingsverantwoordelijke – een eventuele aanvraag voor een audit combineren met aanvragen van andere verwerkingsverantwoordelijken bundelen, opdat slechts één gezamenlijke audit zal worden uitgevoerd en de dienstverlening van de betreffende verwerker niet onnodig zal worden belast.

2.7.4         Verwerkingsverantwoordelijke draagt de kosten van controles met uitzondering van de kosten van het personeel van Verwerker dat de controle begeleidt. Deze laatste kosten zijn voor Verwerker. Indien uit de controle blijkt dat Verwerker tekortschiet in de nakoming van deze overeenkomst of de naleving van de AVG, dan draagt Verwerker de kosten van de audit of inspectie en zal Verwerker onverwijld overgaan tot het herstellen van de geconstateerde tekortkomingen.

2.8.1         Indien een Inbreuk heeft plaatsgevonden, meldt Verwerker deze zonder onredelijke vertraging zodra hij kennis daarvan heeft genomen, maar uiterlijk binnen 48 uur na kennisname, aan Verwerkingsverantwoordelijke, tenzij het niet waarschijnlijk is dat de Inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan Verwerker de informatie in stappen aanleveren mits dit zonder onredelijke vertraging gebeurt.

2.8.2         De melding bevat in ieder geval:

1. a. de aard van de Inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal Betrokkenen en persoonsgegevensregisters in kwestie;
2. b. de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen door Verwerkingsverantwoordelijke;
3. c. de waarschijnlijke gevolgen van de Inbreuk;
4. d. de maatregelen die de Verwerker voorstelt of reeds heeft genomen om Inbreuk aan te pakken, waaronder de eventuele maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

2.8.3         Verwerker zal Verwerkingsverantwoordelijke bijstand verlenen bij het documenteren van alle Inbreuken.

2.8.4         Verwerker zal Verwerkingsverantwoordelijke bijstand verlenen bij het doen van eventuele mededelingen aan Betrokkenen wanneer de Inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van Betrokkenen.

2.9.1         Op deze overeenkomst is Nederlands recht van toepassing. De forumkeuze bij eventuele geschillen voortvloeiend uit of samenhangend met deze overeenkomst is bepaald in de onderliggende dienstverleningsovereenkomst. Als geen forumkeuze is bepaald dan geldt dat de bevoegde rechter in het arrondissement van Verwerker bij uitsluiting bevoegd is om kennis te nemen van geschillen tussen partijen.

2.9.2         Beide partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Door de Autoriteit aan Verwerkingsverantwoordelijk gegeven boetes vallen nadrukkelijk buiten de aansprakelijkheid of eventuele vrijwaring van Verwerker.

2.9.3         Indien er sprake is van aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke als gevolg van of in verband met deze verwerkersovereenkomst en/of uit enige andere hoofde, zoals uit de onderliggende dienstverleningsovereenkomst, dan gelden de in de onderliggende dienstverleningsovereenkomst overeengekomen beperkingen van de aansprakelijkheid onverminderd voor de verplichtingen zoals opgenomen in deze verwerkersovereenkomst. Eenzelfde schadeveroorzakende gebeurtenis kan nimmer leiden tot meerdere schadevorderingen, ondanks de aanwezigheid van verschillende contracten tussen partijen.

2.9.4         Waar het de verwerking van Persoonsgegevens betreft, gaan bij strijdigheid met andere contractuele bedingen tussen partijen de bepalingen van deze overeenkomst voor, tenzij partijen bij een nadere schriftelijke overeenkomst uitdrukkelijk van bepalingen uit deze overeenkomst afwijken. Deze verwerkersovereenkomst vervangt eventuele voorgaande tussen partijen geldende bewerkers- of verwerkersovereenkomsten.

2.9.5         Indien één of meerdere bepalingen van deze overeenkomst niet rechtsgeldig blijken te zijn, dan zal de overeenkomst voor het overige van kracht blijven terwijl partijen in overleg gaan om een vervangende regeling te treffen die zowel rechtsgeldig is als zoveel mogelijk aansluit bij de te vervangen regeling.

2. 1. Het soort Persoonsgegevens zijn: e-mailadres, voornaam, achternaam, adres, postcode, woonplaats, telefoonnummer, geslacht, bankrekeningnummer/IBAN, BTW-nummer, klantnummer, factuurnummer, relatienummer, loginnaam, wachtwoorden, bedrijfsgegevens/bedrijfsnaam, de betreffende producten en/of diensten.

2. 2. Categorieën van Betrokkenen zijn: werknemers, (contactpersonen van) afnemers, klanten en andere zakelijke contactpersonen.

Verwerker past de volgende maatregelen toe bij verwerkingen voor Verwerkingsverantwoordelijke:

1. 1. Fysieke toegangscontrole

Passende maatregelen om onbevoegden de toegang tot gegevensverwerkingssystemen, waarin persoonsgegevens worden verwerkt,  te verhinderen: alarmsysteem met verbinding naar bewaking of politie, handmatige vergrendeling, gecontroleerde sleuteluitgave, scheiding van werk- en bezoekruimtes, veiligheidssloten.

2. 2. Digitale toegangscontrole

Maatregelen om te voorkomen dat een gegevensverwerkingssysteem kan worden gebruikt door onbevoegden: toewijzing van gebruikersrechten, wachtwoordbeleid (lengte, opmaak, roulatie), authenticatie door gebruikersnamen/wachtwoorden, protocol voor thuiswerken, gebruik van antivirussoftware, gebruik van een hardware firewall, gebruik van een software firewall.

3. 3. Toegangscontrole persoonsgegevens

Maatregelen om ervoor te zorgen dat bevoegde gebruikers uitsluitend toegang kunnen krijgen tot de persoonsgegevens, waarvoor zij gemachtigd zijn en ter voorkoming van verdere onbevoegde verwerkingen: hanteren van een autorisatiesysteem, rechtenbeheer door een applicatiebeheerder, registreren van toegangen tot applicaties, registreren van toegangen tot gegevens, gebruik van papierversnipperaars of vernietigingsdiensten.

4. 4. Doorgiftecontrole

Maatregelen om ervoor te zorgen dat persoonsgegevens in de elektronische verzending of tijdens het transport of opslag op gegevensdragers niet kunnen worden gelezen, verwerkt of verwijderd door onbevoegden: gebruik van SSL-/TLS-verbindingen voor versleutelde verzending van gegevens.

5. 5. Invoeringscontrole

Maatregelen die verzekeren dat achteraf kan worden aangetoond of, wanneer en door wie persoonsgegevens in gegevensverwerkingssystemen zijn ingevoerd, gewijzigd of verwijderd: protocollen voor invoering, wijziging en verwijdering van gegevens. protocollen voor het afhandelen van verzoeken tot wijziging, beperking of verwijdering van gegevens, traceerbaarheid van invoering, wijziging of verwijdering van gegevens door individuele gebruikersnamen, hanteren van gebruikersrechten voor het verwerken van gegevens op basis van autorisatie, overzichten van met welke applicaties gegevens kunnen worden ingevoerd, veranderd en verwijderd, opslag van formulieren en bronnen, waarvan de opgeslagen gegevens zijn afgeleid.

6. 6. Opdrachtcontrole

Maatregelen die verzekeren dat persoonsgegevens die in opdracht verwerkt worden alleen volgens de instructies van de opdrachtgevers kunnen worden verwerkt: hanteren van verwerkersovereenkomsten, verplichting tot geheimhouding van de gegevens voor werknemers, verplichting tot geheimhouding van de gegevens voor opdrachtnemers, vernietiging van de gegevens na beëindiging van de dienst.

7. 7. Beschikbaarheidscontrole

Maatregelen die beschikbaarheid en continuïteit waarborgen: noodstroomvoorziening voor servers, back-up- en een herstelplan, opslag van back-upgegevens op een beveiligde, externe server, verplichting tot geheimhouding van

de gegevens voor opdrachtnemers, vernietiging van de gegevens na beëindiging van de dienst.