Bel ons op +31 33 45 06 506

Privacy

Raet hanteert verschillende maatregelen om de privacy van uw data te waarborgen en uw persoonsgegevens te beschermen.

Onze verwerking van persoonsgegevens voldoet aan de Nederlandse en Europese privacywetgeving en -richtlijnen. De Algemene Verordening Gegevensbescherming (AVG) is de basis voor ons informatiebeveiligingsbeleid.

De AVG duidt Raet aan als ‘verwerker’, omdat onze dienstverlening erop gericht is om persoons-, salaris- en daaraan gerelateerde gegevens te verwerken voor opdrachtgevers, de verwerkingsverantwoordelijken. De AVG stelt eisen aan de vorm en inhoud van afspraken met opdrachtgevers en leveranciers. Daarnaast stelt deze wet ook een aantal zelfstandige verplichtingen en beperkingen aan Raet als verwerker. Op basis van de AVG zorgen wij ervoor dat:

 

 

  • wij en onze leveranciers zich vanzelfsprekend aan de wet houden.
  • het verwerken van persoonsgegevens alleen plaatsvindt op basis van schriftelijke instructies van haar opdrachtgevers (zoals uitgewerkt in de dienstverleningsovereenkomst) of de wet. .
  • de gegevensverstrekking aan derden voortvloeit uit de wet of het doel van de verwerking en geschiedt met specifieke toestemming van de opdrachtgever.
  • er voldoende waarborgen zijn met betrekking tot technische en organisatorische beveiliging.
  • er een functionaris gegevensbescherming is aangesteld als interne toezichthouder en adviseur;
  • gegevens die aan ons zijn toevertrouwd geheim worden gehouden.
  • u als verwerkingsverantwoordelijke kan voldoen aan de meldplicht datalekken.
  • bij het ontwikkelen van software het ‘privacy by design’ en ‘privacy by default’ principe wordt gehanteerd.
  • er bindende verwerkersafspraken gemaakt worden met verwerkingsverantwoordelijken en subverwerkers.
     

Bovengenoemde aspecten maken onderdeel uit van ons normenkader en informatiebeveiligingsbeleid, zodat wij dit kunnen laten toetsen op basis van ISAE3402 en ISO27001 standaarden.

Klantdata

Raet beschikt over data van klanten om deze klanten de afgesproken diensten te kunnen leveren. We gebruiken herleidbare klantgegevens niet voor andere doeleinden, tenzij u daar expliciet toestemming voor geeft en dit binnen de kaders van wet- en regelgeving toegestaan is. Binnen Raet stellen we daarom eisen aan hoe we omgaan met klantdata.

Beveiliging

Gegevens worden door Raet op basis van het informatiebeveiligingsbeleid en hun classificatie beveiligd. Het informatiebeveiligingsbeleid is opgesteld op basis van de ISO27000 standaarden en best practices. De beveiligingsmaatregelen zijn vastgesteld op basis van de plan-do-act-cyclus van ons gecertificeerde informatiebeveiligingssysteem en de richtsnoeren Beveiliging van Persoonsgegevens van de Nederlandse Autoriteit Persoonsgegevens.

Bij het uitvoeren van de werkzaamheden die wij, als verwerker in opdracht van u als verwerkingsverantwoordelijke verrichten, kunnen verschillende soorten persoonsgegevens betrokken zijn. Welke dit zijn, is afhankelijk van de dienstverleningsovereenkomst en de daaraan gekoppelde verwerkersovereenkomst. In de verwerkersovereenkomst zijn daarom verschillende soorten persoonsgegevens opgenomen gekoppeld aan de risicoklassen 'Normaal' en 'Hoog', oftewel risicoklasse 2 of 3.

Ten behoeve van de bescherming van gegevens met een classificatie 'Hoog' hanteren wij een aanvullend beschermingsniveau, omdat ongeautoriseerde kennisname van deze gegevens significante risico’s kan hebben voor de betrokkene. Aanvullende maatregelen hebben in deze gevallen betrekking op de beperking van het gebruik van de gegevens, multi-factor authenticatie of extra versleuteling. In de verklaring van toepasselijkheid die bij het ISO27001 certificaat is gevoegd is vastgelegd welke dat zijn.

Testen

Regels en eisen over de omgang met klantdata zijn vastgelegd in de interne ‘Richtlijn gebruik klantdata’. Deze richtlijn is opgesteld conform de eisen van de AVG en de richtlijnen van de Nederlandse Autoriteit Persoonsgegevens. Voor het testen van informatiesystemen met persoonsgegevens gebruiken we uitsluitend gegevens van fictieve personen.

Retourneren en verwijderen

Na beëindiging van de verwerkersovereenkomst zal Raet alle gegevens op verzoek binnen redelijke termijn overdragen en/of verwijderen van de operationele systemen. Om technische redenen is het niet mogelijk de data van reeds opgeslagen back-ups te verwijderen. Wel kunnen we in het contract afspraken maken over het bewaren van data voor latere opvraag, bijvoorbeeld voor de fiscus.

Data kan ter beschikking gesteld worden in een gangbaar bestandsformaat en op een gangbaar medium. Standaard hanteert Raet een ‘comma separated’ (.csv) bestandsformaat op DVD of een andere geschikte gegevensdrager.

MKB software

Meldplicht datalekken

De meldplicht datalekken in de AVG eist dat eventuele datalekken gemeld worden aan de toezichthouder. De “Beleidsregels meldplicht datalekken” van de Nederlandse Autoriteit Persoonsgegevens geven hierover nadere informatie. Wij zullen u als verwerkingsverantwoordelijke tijdig, juist en volledig informeren over relevante incidenten, zodat u  aan de wettelijke vereisten kunt voldoen.

Meldplicht datalekken

Europese datacentra en dataopslag

Voor de verwerking van data maakt Raet gebruik van meerdere Europese datacentra. Alle datacentra en dataopslag voldoen aan strenge Nederlandse en Europese wetgeving met betrekking tot privacy, logische- en fysieke toegangsbeveiliging en continuïteit.

De systemen worden beschermd door middel van 'hardening' zoals onder andere vastgelegd in de ICT-beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum. Meer details over de beveiliging leest u onder 'Security'.

Raet toetst jaarlijks of wordt voldaan aan de eisen aan leveranciers in het productieproces (sub-verwerkers) en rapporteert hierover in een ISAE3402 type 2 rapport. Uiteraard heeft Raet met alle sub-verwerkers een verwerkingsovereenkomst conform de AVG wetgeving afgesloten.

Verwerking vindt plaats in de volgende landen:

  • Nederland: voor de verwerking van de Youforce portal toepassing
  • Ierland: voor de verwerking van de Werving en Selectie app
  • Duitsland: voor de verwerking van de servicedesk toepassing

Nederlandse datacentra

Voor de verwerking van de belangrijkste Youforce toepassingen en opslag van data maakt Raet gebruik van drie locaties in Nederland:

  • Apeldoorn: productieomgeving en opslaglocatie van klantdata, ontwikkel- en testomgeving
  • Aalsmeer: uitwijkomgeving met gerepliceerde klantdata en acceptatieomgeving
  • Lelystad: opslaglocatie van back-up versleutelde klantdata (offsite back-up)

Youforce maakt gebruik van meerdere servers en kent verschillende hardware componenten. De 'Apps' en 'Opties' zijn voor gebruikers via internet beschikbaar. De data worden bewerkt in Apeldoorn. 

In geval van calamiteiten wordt gebruik gemaakt van een tweede locatie in Aalsmeer. Om risico’s als gevolg van omgevingsfactoren te beperken, is deze locatie bewust op ruime afstand van Apeldoorn. Door middel van replicatie wordt deze uitwijk-omgeving voortdurend gelijk gehouden aan de productieomgeving. De systemen in de uitwijkomgeving worden deels ook gebruikt voor acceptatietesten. Uiteraard maken we hierbij geen gebruik van klantdata en zijn de productiegegevens fysiek gescheiden van de testgegevens.

Raet maakt voor de datacentra gebruik van de dienstverlening van KPN, een van de grootste leveranciers van datacenterdiensten in Nederland. De systemen en opslagruimte die Raet gebruikt zijn fysiek gescheiden van de KPN-dienstverlening aan andere organisaties. KPN datacentra hebben een hoge betrouwbaarheid en zijn gecertificeerd op het gebied van kwaliteit en informatiebeveiliging. Voor alle gebruikte datacentra is minimaal een ISO9001 en ISO27001 certificering van toepassing. 

Ierse datacentra

Voor Werving en Selectie vindt verwerking plaats in datacentra van AWS en Microsoft Azure in Ierland. AWS en Microsoft Azure datacentra hebben een zeer hoge betrouwbaarheid, veiligheid en back-up en recovery dienstverlening en voldoen aan erkende industrienormen voor fysieke beveiliging en beveiliging. AWS en Microsoft Azure is op het gebied van informatiebeveiliging gecertificeerd voor ISO27001 en verstrekt een ISAE3402 rapportage.

Duitse datacentra

Raet ondersteunt klanten met behulp van een incidentregistratie- en communicatie toepassing die gehost wordt door AWS en Microsoft Azure in Frankfurt. AWS en Microsoft Azure datacentra hebben een zeer hoge betrouwbaarheid, veiligheid en back-up en recovery dienstverlening en voldoen aan erkende industrienormen voor fysieke toegang en beveiliging. AWS en Microsoft Azure is op het gebied van informatiebeveiliging gecertificeerd voor ISO27001 en verstrekt een ISAE3402 rapportage.

Overzicht datacentra

Datacenter Land Verwerking   Certificering  
KPN Nederland ISO9001; ISO27001; ISAE3000
AWS Ierland, Duitsland ISO9001; ISO27001; ISAE3402 SOC1, SOC2
Microsoft Azure 
Ierland, Duitsland ISO9001; ISO27001; ISAE3402 SOC1, SOC2

Virussen

Youforce wordt beschermd tegen misbruik door malware en met virusprotectie zorgen we ervoor dat aangesloten gebruikers niet besmet worden met virussen. 

We controleren door gebruikers vastgelegde gegevens en eventuele bijlagen niet op virussen, omdat deze data niet als softwareprogrammatuur wordt uitgevoerd. Hierdoor kan er geen schade worden toegebracht aan Youforce. Voor de bescherming van uw eigen gegevens, gaan we ervan uit dat u gebruik maakt van virusdetectie en malware-protectie op uw eigen systemen.

Leveranciers

Raet maakt voor een aantal onderdelen van onze software en services gebruik van leveranciers. In onderstaande tabellen vindt u een overzicht van deze leveranciers en kunt u zien welke relatie ze hebben tot onze dienstverlening.

Infrastructure

Supplier  Service that is delivered Use in relation to Youforce  Location of processing 
Apigee Platform for API management Cloud enablement
AWS Frankfurt
Cloud VPS Cloud and infrastructure provider
Total Scheduling The Netherlands
CM Telecom Provider SMS-gateway for two-factor authentication  Portal  
Fox-IT Managed security monitoring Portal  The Netherlands
KPN  Housing, Hosting and Storage services Hosted storage for all Youforce applications The Netherlands
KPN InternedServices Cloud and infrastructure provider Total Scheduling The Netherlands
Microsoft Supplier for on premise and cloud software Database and serversoftware Microsoft Azure Ireland

Interfacing

Supplier  Service that is delivered  Use in relation to Youforce Location of processing
Broadbean Job board integration with Youforce Recruitment Recruitment  AWS Ireland; United Kingdom
CapGemini Secure infrastructure services regarding payment files Payment manager  The Netherlands
Mimir Job board integration with Youforce Recruitment Recruitment   
SurfConext  SSO provider for Education market Portal  The Netherlands

Software

Supplier   Service that is delivered
Use in relation to Youforce 
Location of processing
Activ8 Development Services Management Information England, Wales
Company.info (Webservices) Route information and postcode check for declaration functionality HR Self Service AWS Ireland
eHRMVision (TMA) Provides cloud solution for talent analysis Talent Suite
HSO Implementation, maintenance and support of Microsoft Dynamics 365 environment regarding PAWW Operational environment PAWW Microsoft Azure Ireland
IMC Cloud solution supplier for Learning Management System Training centre Youforce applications Microsoft Azure Ireland
Infravision Reseller for cloud solution ITRP ITRP is used for incident management. AWS Frankfurt
Reseller for cloud solution Right Answers Right Answers is a knowledge base for some BPO-customers
InRGY Supplier for RaaS (Robotics as a Service) Robotics Automation of standard HR-tasks for BPO-customers AWS region 
Intradata Digital signature HR Self Service Microsoft Azure Ireland
Partner concerning Dossier Documents & Dossier
MobileXpense Travel and expense management (to be embedded in Youforce) HR Self Service Belgium
Onderteken.nl Digital signature (PAWW) Used for signing documents in PAWW environment The Netherlands
Pointlogic Software for strategic personell planning embedded in Youforce Prognose
Talentsoft Cloud solution provider recruitment system Recruitment
Visma - Lumesse Cloud solution provider recruitment system Recruitment AWS region 
Vonq Job board integration with Youforce Recruitment Recruitment

Other

Supplier Service that is delivered Use in relation to Youforce  Location of processing 
PostNL Communicatie Services
Print and mail provider  Payroll and pensions (physical output)
The Netherlands

Download Raet in Control

Als Raet ‘in control’ is, bent u in control. Dit document laat u zien hoe Raet hier invulling aan geeft. 

Download