Deze bijlage beschrijft de gegevensbeschermings- en beveiligingsmaatregelen die de Dienstverlener implementeert om de privacy en veiligheid van de gegevens van de Klant te waarborgen. Deze maatregelen voldoen aan de toepasselijke wetgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG).
De Dienstverlener verzamelt en verwerkt uitsluitend gegevens die noodzakelijk zijn voor het leveren van de overeengekomen diensten. De verwerking van deze gegevens gebeurt volgens de principes van rechtmatigheid, doelbinding, en minimalisering.
De Dienstverlener zal persoonsgegevens van de Klant en gebruikers niet verwerken voor andere doeleinden zonder voorafgaande toestemming, tenzij dit wettelijk verplicht is.
Encryptie: Gegevens die worden overgedragen tussen de Klant en het ERP-portaal worden beschermd door middel van SSL-encryptie om ongeautoriseerde toegang tijdens transmissie te voorkomen.
Toegangscontrole: Alleen geautoriseerde medewerkers van de Dienstverlener hebben toegang tot de gegevens van de Klant. Deze toegang is beperkt tot de gegevens die noodzakelijk zijn voor hun taken.
Authenticatie en Wachtwoordbeleid: Sterke wachtwoorden en tweefactorauthenticatie (2FA) worden aanbevolen voor alle gebruikersaccounts. Wachtwoorden worden versleuteld opgeslagen en zijn niet toegankelijk voor de Dienstverlener.
Fysieke beveiliging: De servers en datacenters die worden gebruikt voor de hosting van klantgegevens zijn fysiek beveiligd en voldoen aan de hoogste industriestandaarden voor datacenterbeveiliging.
Er worden dagelijkse back-ups gemaakt van alle klantgegevens, die veilig worden bewaard en gedurende 30 dagen toegankelijk zijn voor hersteldoeleinden.
In geval van een storing of gegevensverlies zal de Dienstverlener redelijke inspanningen leveren om de verloren gegevens te herstellen op basis van de laatste beschikbare back-up.
De Dienstverlener streeft naar dataminimalisatie en verwerkt enkel de gegevens die noodzakelijk zijn voor de dienst. Waar mogelijk wordt pseudonimisering toegepast om de identificatie van betrokkenen verder te beperken.
Voor bepaalde onderdelen van de dienstverlening kunnen derde partijen (subverwerkers) worden ingeschakeld. De Dienstverlener zorgt ervoor dat deze subverwerkers voldoen aan de geldende gegevensbeschermingsvereisten en dat zij adequate beveiligingsmaatregelen hanteren.
De Klant wordt op verzoek geïnformeerd over de identiteit en aard van de subverwerkers.
In het geval van een beveiligingsincident of datalek dat impact kan hebben op de persoonsgegevens van de Klant, zal de Dienstverlener de Klant binnen 48 uur informeren. De Dienstverlener verstrekt alle relevante informatie over de aard van het incident, de getroffen gegevens, en de genomen maatregelen om het lek te beheersen en herhaling te voorkomen.
De Dienstverlener ondersteunt de Klant bij het naleven van verzoeken van betrokkenen met betrekking tot inzage, correctie, verwijdering, en overdraagbaarheid van hun persoonsgegevens.
De Klant is verantwoordelijk voor het initiëren van deze verzoeken en kan de Dienstverlener verzoeken om technische ondersteuning bij de uitvoering hiervan.