Bel ons op +31 33 45 06 506

FAQ  Algemene Verordening Gegevensbescherming

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming van kracht gegaan. We begrijpen dat er met deze wet veel op u afkomt en daarom hebben we de meest gestelde vragen voor u op een rijtje gezet.

De FAQ volgt hieronder en is als volgt opgebouwd:

  • 1. Algemeen
  • 2. Verantwoordelijkheden opdrachtgevers
  • 3. De verwerkersovereenkomst
  • 4. Beveiliging, audits, standaarden en certificaten
  • 5. Subverwerkers
  • 6. Overig

Mocht u het antwoord op uw vraag niet terugvinden, dan kunt u contact opnemen met uw accountmanager. Mocht uw vraag niet (voldoende) beantwoord zijn, dan zal onze Functionaris Gegevensbescherming contact met u opnemen.

1. Algemeen

Wat is de AVG?

AVG is de afkorting van Algemene Verordening Gegevensbescherming, die op 25 mei 2018 van kracht is gegaan. Deze wetgeving vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Raet voldoet uiteraard aan de Europese privacywetgeving.

Wat is het verschil tussen de AVG en GDPR?

GDPR staat voor General data Protection Regulation en is de Engelstalige aanduiding van Algemene Verordening Gegevensbescherming.

Wat zijn de belangrijkste pijlers van het AVG/GDPR?

  • In de AVG/GDPR krijgen burgers meer rechten als het gaat om privacy.
  • Tegelijkertijd krijgen organisaties meer verantwoordelijkheden: zij moeten kunnen aantonen dat zij zich aan de privacywet houden.
  • Toezichthouders hebben straks meer bevoegdheden om (hoge) boetes op te leggen aan organisaties die de regels onvoldoende naleven. 

Kunt u aangeven hoe Raet voldoet aan de AVG?

Raet is met ingang van 25 mei 2018 compliant met de AVG. Het blijven voldoen aan wet- en regelgeving is een integraal onderdeel van de bedrijfsprocessen van Raet.

Op onze trustsite www.raet.nl/trust hebben wij onder 'Privacy' meer details opgenomen over onze rol als verwerker in relatie tot de AVG.

Waar kan ik meer informatie vinden over de AVG met betrekking tot Youforce of Raet?

Op onze trustsite www.raet.nl/trust hebben wij onder 'Privacy' meer details opgenomen over onze rol als verwerker in relatie tot de AVG.

Wat als ik nog vragen heb en het antwoord niet kan vinden op www.raet.nl/trust?

We hebben getracht zo compleet mogelijk te zijn in het beantwoorden van mogelijke vragen. Mocht  het antwoord op uw vraag er niet bij staan, dan kunt u contact opnemen met uw accountmanager. En indien nodig zal onze Functionaris Gegevensbescherming contact met u opnemen.

2. Verantwoordelijkheden opdrachtgevers

Welke verantwoordelijkheden heb ik als opdrachtgever?

Raet ziet het voldoen aan de AVG als een gedeelde verantwoordelijkheid met u als opdrachtgever.

Als opdrachtgever bent u namelijk ‘verantwoordelijke’ in de zin van de AVG. U bepaalt de doeleinden en de middelen voor de verwerking van uw persoonsgegevens. In het kader van de dienstverlening verwerkt Raet deze namens u. Raet is daarmee ‘verwerker’ in de zin van de AVG. Deze verwerking moet bij overeenkomst zijn geregeld. Meestal wordt dit in een verwerkersovereenkomst geregeld. 

Als verantwoordelijke bent u eveneens verantwoordelijk voor het nemen van de technische en organisatorische maatregelen die nodig zijn om de gegevensverwerking aantoonbaar uit te voeren in overeenstemming met de AVG. 

De informatie op deze website mag niet worden opgevat als juridisch advies of als vervanging van juridisch advies. Daarom adviseren we u om ook onafhankelijk advies over uw status en verplichtingen onder de AVG bij een jurist in te winnen. 

Wanneer verwerkt Raet mijn gegevens?

Raet verwerkt uw persoonsgegeven uitsluitend in overeenstemming met uw schriftelijke verwerkingsinstructies. Deze instructies kunnen volgen uit specifieke verzoeken of in overeenstemming zijn met de verplichtingen uit de hoofdovereenkomst of de toepasselijke verwerkersovereenkomst.

Hoe helpt Raet mij compliant te zijn met de AVG?

Raet zorgt ervoor dat haar diensten en software zullen voldoen aan de vereisten van de AVG. Daarnaast is Raet beschikbaar voor al uw vragen.

Tevens zal zij u ondersteunen in het voldoen van uw verplichtingen onder de AVG, zoals aangegeven in de nieuwe standaardverwerkersovereenkomst.

3. Verwerkersovereenkomst

Wat is een verwerkersovereenkomst?

De verwerkingen door Raet moeten bij overeenkomst zijn geregeld. Meestal wordt dit in een verwerkersovereenkomst geregeld. De nieuwe standaardverwerkersovereenkomst van Raet die in overeenstemming is met de AVG is beschikbaar op (www.raet.nl/trust).

Wordt de nieuwe verwerkersovereenkomst een onderdeel van de hoofdovereenkomst?

Ja, indien u deze tekent, dan wordt deze een bijlage bij de hoofdovereenkomst.

Wat gebeurt er met privacyafspraken die wij al eerder met Raet hebben gemaakt?

Deze blijven van kracht. Dit is enkel anders indien daar in de nieuwe standaardverwerkersovereenkomst van wordt afgewekend (en u vanzelfsprekend akkoord bent gegaan met de nieuwe standaardverwerkersovereenkomst). In dat geval gaat de bepaling van de nieuwe standaardverwerkersovereenkomst voor.

Welke persoonsgegevens zijn betrokken bij de verwerking door Raet?

Deze informatie is onderdeel van de nieuwe standaardverwerkersovereenkomst van Raet, zie bijlage 1. Per (categorie) Persoonsgegevens wordt aangeven in welke risicoklasse deze vallen. U kunt door middel van het aanvinken van de juiste informatie aangeven of dit voor uw specifieke geval van toepassing is.

Wie zijn bij de dienstverlening aan te merken als Betrokkenen? Deze informatie is onderdeel van de nieuwe standaardverwerkersovereenkomst van Raet, zie bijlage 1. Afhankelijk van de dienstverlening kan dit de volgende personen betreffen: huidige en oud-medewerkers (waaronder inbegrepen werknemers, zzp’ers, vrijwilligers en ander personeel niet in loondienst), huidige en oud-uitkeringsgerechtigden.

Wie hebben er bij Raet toegang tot de persoonsgegevens?

Zie hiervoor bijlage 1 van de nieuwe standaardverwerkersovereenkomst.

4. Beveiliging, audits, standaarden en certificaten

Voldoet de beveiliging van Raet aan de AVG?

Ja. Raet neemt conform de AVG passende technische en organisatorische maatregelen om uw persoonsgegevens te beschermen. Raet levert u een zo veilig mogelijke dienst door over de hele linie de verantwoordelijkheid voor de beveiliging van systemen en gegevens te nemen. Onze visie is vastgelegd in het Raet Informatiebeveiligingsbeleid, dat is opgesteld volgens de internationale norm ISO27001. Daarnaast laat zij haar beheersmaatregelen jaarlijks toetsen. Zie voor meer informatie over de beveiliging van Raet www.raet.nl/trust.

Heeft Raet een gegevensbeschermingsbeleid en kan ik dat inzien?

Ja, Raet heeft een gegevensbeschermingsbeleid (information security policy) dat op basis van de ISO27001 standaard gecertificeerd is. Het beleidsdocument is voor intern gebruik door Raet. Het certificaat is beschikbaar op www.raet.nl/trust. De bijbehorende Verklaring van Toepasselijkheid (Statement of Applicability) is op aanvraag beschikbaar.

Hoe laat Raet haar beheersmaatregelen toetsen?

Raet beheerst haar processen door middel van een stelsel van beheersmaatregelen op de invoer, het verwerkingsproces en de uitvoer. Daarnaast worden ook de IT-processen met een stelsel van beheersmaatregelen beheerst. Deze maatregelen zijn vastgelegd in een beheersraamwerk. De beheersmaatregelen worden jaarlijks getoetst door een onafhankelijke auditor en vastgelegd in een ISAE3402 type II mededeling. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker de conclusies van deze toetsing ter beschikking stellen, na het overeenkomen van een hiervoor specifiek opgestelde NDA (geheimhoudingsovereenkomst).

Maakt Raet gebruik van encryptie?

Voor het elektronisch transport maakt Raet gebruik van encryptie op basis van SSL.

Informatie wordt daarnaast versleuteld bij opslag op externe media (offsite back-up). Informatie met een hoog beschermingsniveau wordt zowel tijdens transport als bij elektronische opslag versleuteld.

Volgens de AVG heeft onze organisatie een auditrecht. Klopt dat?

Ja dat klopt, onder de voorwaarden zoals genoemd in de nieuwe standaardverwerkersovereenkomst Raet (zie artikel 6.5).

5. Subverwerkers

Wat zijn subverwerkers?

Subverwerkers zijn externe leveranciers die Raet inschakelt om haar te assisteren bij het verwerken van uw persoonsgegevens. Denk bijvoorbeeld aan KPN voor hostingdiensten, of PostNL voor het versturen van uw post.

Maakt Raet gebruik van subverwerkers?

Ja. Welke kan variëren van de soort dienstverlening. Doorgaans zal Raet altijd gebruik maken van KPN voor hosting- en storagediensten, PostNL voor het versturen van uw post, Capgemini voor betalingsdiensten en ITRP voor - incidentregistratie- en het communicatiesyteem dat onze servicedesk gebruikt.

Raet is verantwoordelijk voor de subverwerkers die zij inschakelt.

Hoe selecteert Raet haar subverwerkers?

Alle subverwerkers ondergaan  een strenge selectieprocedure, zodat we zeker weten dat ze de vereiste technische expertise hebben en het juiste niveau van beveiliging en privacy kunnen bieden. En met alle subverwerkers zal Raet een subverwerkersovereenkomst sluiten, die voldoet aan de vereisten van de AVG.

Vraagt Raet toestemming om subverwerkers in te schakelen?

Ja. Dit zal enkel toegestaan zijn indien dit is overeengekomen in de verwerkersovereenkomst of de hoofdovereenkomst, of met uw voorafgaande goedkeuring. Zie hiervoor verder artikel 4 van de nieuwe standaardverwerkersovereenkomst.

Toetst Raet haar subverwerkers?

We toetsen jaarlijks of wordt voldaan aan de eisen van subverwerkers in het productieproces en rapporteren hierover in ons ISAE3402 type 2 rapport.

Bovendien hebben we met onze subverwerkers afspraken gemaakt over continuïteit van de dienstverlening. Bij subverwerkers die onderdeel uitmaken van het productieproces, voeren we minimaal jaarlijks uitwijktests uit.

6. Overig

Hoe voldoet Raet aan de beginselen van privacy by design en privacy by default?

Als integraal onderdeel van het software ontwikkelingsproces maakt Raet gebruik van standaarden op het gebied van beveiliging. Deze standaarden zijn bij Raet opgenomen in zogenaamde Non Functional Requirements (NFRs). Deze NFRs borgen dat in alle fases van het ontwikkelproces informatiebeveiliging en privacy voorop staan.

Op welke wijze wordt rekening gehouden met dataportabiliteit in relatie tot de AVG?

Met onze self-servicefunctionaliteit bieden wij betrokkenen op eenvoudige wijze de mogelijkheid hun persoonsgegeven in te zien en digitaal op te slaan. Op die manier kunnen betrokkenen deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook kunnen ze zo de gegevens doorgeven aan een andere organisatie.

Daarnaast hebben we functionaliteit die het de verwerkingsverantwoordelijke mogelijk maakt om betrokkenen te informeren over de (salaris)gegevens die opgeslagen zijn. Dit doen we bijvoorbeeld m.b.v. onze rapportagefunctionaliteiten.

Na beëindiging van het contract met Raet krijgt de verwerkingsverantwoordelijke de data terug, volgens de contractueel vastgelegde procedure. We kunnen data ter beschikking stellen in een gangbaar bestandsformaat en op een gangbaar medium. Standaard hanteert Raet een ‘comma separated’ (.csv) bestandsformaat op DVD.

Welke bewaartermijn geldt er voor mijn persoonsgegevens?

Voor sommige gegevens uit uw personeelsdossier geldt een fiscale bewaarplicht. Dit betekent dat de Belastingdienst de werkgever verplicht om die gegevens een bepaalde periode te bewaren. Voorbeelden hiervan zijn de loonbelastingverklaring en een kopie van het identiteitsbewijs. Deze moet de werkgever 7 jaar bewaren nadat de betrokkene uit dienst is. Voor andere gegevens uit het personeelsdossier bestaan geen wettelijke bewaartermijnen. Voor die gegevens is de richtlijn: een bewaartermijn van 2 jaar nadat betrokkene uit dienst is. Het is echter gebruikelijk dat organisaties sollicitatiegegevens verwijderen uiterlijk 4 weken na het einde van de sollicitatieprocedure. Na toestemming van de betrokkene kan dit worden verlengt tot 1 jaar.

Hebben jullie een Functionaris Gegevensbescherming (FG)? En hoe kan ik die bereiken?

Ja, de Functionaris Gegevensbescherming (FG) is er in eerste instantie om de interne organisatie te adviseren.

Wij verzoeken u om uw vragen altijd eerst via de reguliere contacten te laten verlopen, zoals uw accountmanager of onze servicedesk. U kunt ook onze trustsite bezoeken: www.raet.nl/trust. Mocht uw vraag niet (voldoende) beantwoord zijn, dan zal onze Functionaris Gegevensbescherming contact met u opnemen.

Heeft Raet als verwerker van onze persoonsgegevens een register van de verwerkingsactiviteiten?

Ja, conform de AVG wetgeving heeft Raet een verwerkingsregister. Dit register is bedoeld voor intern gebruik en om de Autoriteit Persoonsgegevens te kunnen informeren.

Kan Raet voor mij een DPIA of PIA uitvoeren voor Youforce?

Het maken van een Data Privacy Impact Assessment (DPIA) is uw eigen verantwoordelijkheid als  verwerkingsverantwoordelijke.

Uiteraard zullen we u  daarin ondersteunen door het leveren van informatie via www.raet.nl/trust. Waar nodig zal Raet deze informatie voor u aanvullen.

Voor het maken van een DPIA heb ik het verwerkingsregister van Raet nodig. Kunnen jullie die delen?

Raet heeft de informatie die haar klanten kunnen gebruiken voor het uitvoeren van een Data Privacy Impact Assessment (DPIA) beschikbaar gesteld via de trust-pagina www.raet.nl/trust en onze ‘Raet in Control’ brochure. Het verwerkingsregister zelf is bedoeld voor intern gebruik en om de Autoriteit Persoonsgegevens te kunnen informeren, en wordt dus niet met klanten gedeeld.

Volg ons

Wat een prestatie! Gistermiddag heeft deze groep super sportieve Raet collega's de Dam tot Damloop 2018 gelopen. Ma… https://t.co/6UOvmKbHKE