Je hebt een overeenkomst met ons en dat betekent dat wij persoonsgegevens voor en in opdracht van jullie verwerken. Volgens de Algemene Verordening Gegevensbescherming (AVG) moeten we dan een verwerkersovereenkomst afsluiten. Omdat wij standaard software en standaard dienstverlening leveren, is de verwerkersovereenkomst opgenomen in deze SLA. Hierin zijn wij 'verwerker' en ben jij de 'verwerkingsverantwoordelijke'. We moeten allebei de AVG naleven. De definities die wij hiervoor gebruiken sluiten aan bij de AVG. Wij verwerken alleen persoonsgegevens in opdracht van jou en om onze overeenkomst uit te voeren.
Als we met jullie een aparte verwerkersovereenkomst hebben opstelt, dan heeft deze voorrang.
Onze verwerking (dienst) bestaat uit het beschikbaar stellen van onze software met daarin beschikbaar de door jou ingevoerde en gegenereerde data. Wij zullen geen gegevens toevoegen, aanpassen of verwijderen zonder schriftelijke instructie. Die instructie kan je geven via een verzoek op de Klantportal of via de software.
Binnen onze software kun je verschillende soorten persoonsgegevens vastleggen. Je bepaalt zelf zaken als doel en middelen van de verwerking. Je bepaalt daarmee ook zelf welke persoonsgegevens of welke categorieën van persoonsgegevens je wil opslaan en verwerken met onze software. Je kan ook zelf categorieën aanmaken van persoonsgegevens die je wilt verwerken.
Of onze dienstverlening met onze software passend is bij de door jou beoogde verwerking, is een beoordeling die je zelf moet maken. Wij kunnen je daarin adviseren en ondersteunen op jouw verzoek (tegen ons normale uurtarief). Als een gegevensbeschermingseffectbeoordeling verplicht is, of je deze wenst uit te voeren, dien je deze als verwerkingsverantwoordelijke zelf te maken.
In onze software (Profit) is een overzicht beschikbaar van alle persoonsgegevens die wij verwerken, inclusief de door jullie zelf toegevoegde persoonsvelden. Zie hiervoor ook het Help Center. Op die manier is altijd inzichtelijk welke (categorieën van) persoonsgegevens we verwerken, waarvoor jij de verwerkingsverantwoordelijke bent en wij de verwerker.
Wij verzamelen anonieme gegevens over het gebruik van onze softwareproducten en diensten. Deze gegevens tonen ons of, hoe en hoe vaak je bepaalde onderdelen van het product gebruikt. Deze anonieme gegevens gebruiken we alleen om onze softwareproducten en dienstverlening te verbeteren. Wij gebruiken deze verzamelde gebruikersstatistieken nooit voor commerciële doeleinden en zullen deze ook nooit aan derden doorgeven.
Daarnaast kan AFAS anonieme gegevens verzamelen waarbij deze herleidbaar zijn naar het abonnement en kan AFAS deze doorgeven aan onze dienstverlenende afdelingen. Dit zorgt ervoor dat de betrokken afdeling je dan kan informeren bij inrichtingsfouten, of adviezen kan geven over het gebruik van de software.
Wij begrijpen dat de informatie die je met ons deelt en in AFAS Online opslaat bedrijfsgevoelig is. Daarom moeten al onze medewerkers jouw gegevens geheimhouden, zoals ze ook via hun arbeidsovereenkomst verplicht zijn te doen. AFAS waarborgt dat medewerkers zich houden aan de verplichtingen die in de verwerkersovereenkomst zijn gesteld, ook na beëindiging van de overeenkomst.
Systeembeheerders van AFAS Online hebben volledige toegang tot klantgegevens voor:
In noodzakelijke gevallen, en met goedkeuring van onze Manager ICT, krijgen medewerkers van de afdeling Productontwikkeling tijdelijk toegang tot klantgegevens. Andere AFAS-medewerkers krijgen alleen toegang tot jullie gegevens na jullie uitdrukkelijke toestemming. Deze toestemming geef je zelf via je eigen autorisatietool binnen de software.
Wij hebben geen zeggenschap over de persoonsgegevens die je beschikbaar stelt. Zonder expliciete toestemming van jou of vanuit een wettelijke verplichting verstrekken wij geen gegevens aan derden.
Ook verwerken we persoonsgegevens niet voor andere doeleinden dan afgesproken. Jullie garanderen dat wij de persoonsgegevens mogen verwerken op basis van een in de AVG genoemde grondslag.
Voor zover vereist op grond van toepasselijke wet- en regelgeving, mogen door jullie ingehuurde onafhankelijke en deskundige auditors (of auditors vanuit de toezichthouder), audits doen. Hierbij mogen zij controleren of wij voldoen aan de voorwaarden en bepalingen zoals die in de overeenkomst, toezichtregels en toepasselijke dwingende wetgeving staan. Wij informeren je zo snel mogelijk over een audit vanuit de toezichthouder, mits de audit betrekking heeft op jullie gegevens en de kennisgeving niet van rechtswege verboden is.
Alle kosten verbonden aan de uitvoering van een audit op jullie verzoek, inclusief interne kosten van onze medewerkers, belasten we aan jullie door. We belasten niet alle kosten door wanneer uit de betreffende audit blijkt dat wij op belangrijke vlakken onze verplichtingen niet zijn nagekomen. In dat geval bepalen we in overleg een redelijke verdeling van de kosten.
Je bent zelf verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en voor het informeren en bijstaan van de betrokkenen. Wij gaan nooit in op verzoeken van betrokkenen en verwijzen altijd naar de verantwoordelijke. Als een betrokkene zijn of haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving voor de verwerking van persoonsgegevens, helpen wij je altijd als dat binnen de software kan, zodat je aan wettelijke verplichtingen kunt voldoen.
Wij doen er op technisch en organisatorisch vlak alles aan om je persoonsgegevens te beveiligen tegen verlies of andere onrechtmatige verwerking. Wij zijn hiervoor ISO 27001- en NEN 7510-gecertificeerd. De hierin beschreven maatregelen zijn de basis voor een passend beveiligingsniveau dat aansluit bij de AVG. Meer informatie vind je via onze speciale AFAS Online-pagina op de Klantportal. Wij zullen je altijd helpen om aan verplichtingen voor de verwerking van persoonsgegevens vanuit de AVG en andere wet- en regelgeving te voldoen.
Wij zijn aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van ons of de subverwerker. Hierbij geldt de aansprakelijkheidsbeperking uit hoofdstuk 4: ‘Aansprakelijkheid’ van de Algemene Voorwaarden. Wij kunnen geen beroep doen op een aansprakelijkheidsbeperking voor een verhaalsactie op grond van artikel 82 van de AVG.
Als de Nederlandse Autoriteit Persoonsgegevens (AP) of de Belgische Gegevensbeschermingsautoriteit (GBA) (hierna: toezichthouder) je een bindende aanwijzing geeft, moet je dit direct aan ons melden. Wij doen dan alles wat we kunnen om naleving mogelijk te maken.
Als wij dit niet doen en er een boete volgt, of als de toezichthouder ons direct een boete oplegt, vanwege opzet of ernstige verwijtbare nalatigheid aan onze kant geldt de toepasselijke aansprakelijkheidsbeperking in hoofdstuk 4: ‘Aansprakelijkheid’ van de Algemene Voorwaarden niet.
Wij verwerken klantdata in datacenters van onze subverwerker, LeaseWeb Netherlands B.V.. Hun datacenters staan uitsluitend in Nederland (Schiphol-Rijk en Haarlem) en vallen onder Nederlandse wet- en regelgeving. Ze voldoen aan de strenge Nederlandse en Europese wetgeving voor logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001-gecertificeerd. De (persoons)gegevens verwerken wij en onze subverwerker alleen binnen de Europese Economische Ruimte (EER). Voor ons en onze subverwerker(s) gelden dezelfde verplichtingen.
Wij laten nieuwe subverwerkers geen gegevens verwerken zonder je er tijdig (minimaal 4 weken vooraf) over te informeren. Je kunt bij ons ook altijd bezwaar maken tegen een subverwerker. Deze bezwaren handelen wij op directieniveau af. Als wij de nieuwe subverwerker toch gegevens laten verwerken, kun je de overeenkomst per direct beëindigen.
De AVG eist melding van eventuele datalekken aan de toezichthouder door de verwerkingsverantwoordelijke van de data. Daarom doen wij zelf geen meldingen bij de toezichthouder.
Uiteraard zullen wij je juist, tijdig en volledig informeren over relevante Incidenten. Zo kun jij, als verwerkingsverantwoordelijke, aan de wettelijke verplichtingen voldoen. De beleidsregels van de toezichthouder voor het melden van datalekken, geven hierover meer informatie.
We verzoeken je, als je een (voorlopige) melding bij de toezichthouder en/of de betrokkene(n) wilt doen over een datalek bij ons, ons hierover eerst te informeren. We kunnen dan samen de juiste beslissingen nemen over de te nemen acties.
Voor het bepalen van een inbreuk in verband met persoonsgegevens gebruiken we de AVG en de bijbehorende beleidsregels voor het melden van datalekken als leidraad.
Wanneer wij een beveiligingsincident of datalek hebben, hoor je dat zo snel mogelijk nadat dit bij ons bekend is. Om dit waar te maken, kan elke AFAS-medewerker een datalek melden via de interne procedure (workflow). Wij verwachten van jou dat je ons hierbij helpt.
Voor de duidelijkheid: wij melden het uiteraard ook als er een datalek bij een subverwerker is. In dat geval zijn wij je contactpunt.
Volgens de AVG moeten wij een beveiligingsincident of datalek ‘onverwijld’ melden. Dit is volgens de toezichthouder zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking door de verantwoordelijke. Bij een beveiligingsincident informeren we je zo snel mogelijk, maar uiterlijk binnen 48 uur na de ontdekking. Je moet zelf beoordelen of het beveiligingsincident valt onder de term ‘datalek’ en of een melding aan de toezichthouder nodig is. Nadat je door ons op de hoogte bent gesteld, heb je hiervoor 72 uur de tijd.
Wij informeren de contactpersoon van het abonnement over een datalek. Als dit niet meer de juiste contactpersoon is, kun je dat aanpassen via de Klantportal. Ook kan je extra contactpersonen aanmelden bij 'Organisatie gegevens'. Vink bij het invoeren dan 'Privacy nieuws' aan.
Wij proberen je direct alle informatie te geven voor een eventuele melding bij de toezichthouder en de betrokkenen.
Wij informeren je over de voortgang en onze maatregelen. Hierover maken we afspraken met de contactpersoon van de melding. We houden je in ieder geval op de hoogte als de situatie wijzigt, er extra informatie is en over de maatregelen die we nemen. Wij registreren alle securityincidenten en handelen deze via een vaste procedure (workflow) af. De registratie en afhandeling van securityincidenten toetsen we via een audit voor de ISO 27001-certificering.
Na het aflopen van de overeenkomst verwijderen we alle data, zoals is vastgelegd in onze Algemene Voorwaarden onder ‘Licentie aanpassen of beëindigen’. Je kunt een verzoek indienen als je gegevens eerder verwijderd wilt hebben. Wij zijn dan verplicht om dat te doen.
Vóór beëindiging van de overeenkomst kun je alle gegevens in gebruikelijke formats (zoals MS-Excel, CSV en PDF) exporteren. Bijlagen van dossieritems kun je via de GetConnector (API) opslaan in een eigen systeem.
Wij hebben de inhoud van deze verwerkersovereenkomst afgestemd met verschillende standaard algemene en uniforme voorwaarden vanuit de markt. Het doel hierbij is om geen losse overeenkomsten te ondertekenen en toch zekerheid te bieden. De standaard algemene en uniforme voorwaarden die we momenteel erkennen zijn: