System privacy

 

Youforce hanteert verschillende maatregelen om de privacy van jouw medewerkers te waarborgen en de persoonsgegevens te beschermen.

Onze verwerking van persoonsgegevens voldoet aan de Nederlandse en Europese privacywetgeving en -richtlijnen. Maatregelen in het kader van de Algemene Verordening Gegevensbescherming (AVG) zijn onderdeel van ons informatiebeveiligingsbeleid.

De AVG duidt Youforce aan als ‘verwerker’, omdat onze dienstverlening erop gericht is om persoonsgegevens en daaraan gerelateerde HR- en salarisgegevens te verwerken voor opdrachtgevers, de ‘verwerkingsverantwoordelijken’. De AVG stelt eisen aan de vorm en inhoud van afspraken met opdrachtgevers en leveranciers. Daarnaast stelt deze wet ook een aantal zelfstandige verplichtingen en beperkingen aan Youforce als verwerker. 

Op basis van de AVG zorgen wij ervoor dat:

  • wij en onze leveranciers zich vanzelfsprekend aan de wet houden.
  • het verwerken van persoonsgegevens alleen plaatsvindt op basis van schriftelijke instructies van haar opdrachtgevers (zoals uitgewerkt in de dienstverleningsovereenkomst) of de wet.
  • de gegevensverstrekking aan derden voortvloeit uit de wet of het doel van de verwerking en geschiedt met specifieke toestemming van de opdrachtgever.
  • er voldoende waarborgen zijn met betrekking tot technische en organisatorische beveiliging.
  • er een functionaris gegevensbescherming is aangesteld als interne toezichthouder en adviseur;
  • gegevens die aan ons zijn toevertrouwd geheim worden gehouden.
  • u als verwerkingsverantwoordelijke kan voldoen aan de meldplicht datalekken.
  • bij het ontwikkelen van software het ‘privacy by design’ en ‘privacy by default’ principe wordt gehanteerd.
  • er bindende verwerkersafspraken gemaakt worden met verwerkingsverantwoordelijken en subverwerkers.


Bovengenoemde aspecten maken deel uit van ons normenkader en informatiebeveiligingsbeleid, zodat wij dit kunnen laten toetsen op basis van ISAE3402 en ISO27001 standaarden.

 

Naast de toetsing op de ISAE3402- en ISO27001-kaders conformeert Youforce zich aan de Data Pro gedragscode.

De Data Pro Code is een, door de Autoriteit Persoonsgegevens goedgekeurde, gedragscode volgens artikel 40 van de AVG. Deze code  concentreert zich op invulling van de vereisten zoals opgenomen in artikel 28 van de AVG. Deze code is geïnitieerd door de IT-brancheorganisatie NLdigital en wordt getoetst door Scope Europe. Alle organisaties die getoetst zijn worden opgenomen  in het Data Pro Register. Youforce is opgenomen in het Data Pro register onder Adherence ID: 2023SCOPE2006000DATAPRO.

Het Data Pro ‘certificaat document’ waarin het resultaat van de toetsing is vastgelegd, kun je hier downloaden. Ons Data Pro Statement zelf kun je hier downloaden.

datapro-verified---def
 
Data-versleuteling

We gebruiken cryptografische maatregelen (encryptie of versleuteling) om de vertrouwelijkheid van gevoelige en geheime informatie te beschermen en om de authenticiteit van gebruikers te kunnen vaststellen. Informatie kunnen we classificeren als 'Normaal' (risicoklasse 2) en 'Hoog' (risicoklasse 3). 

Voor het elektronisch transport maakt Youforce  altijd gebruik van encryptie op basis van SSL. Informatie wordt daarnaast ook versleuteld bij opslag op externe media (offsite back-up). Informatie met een hoog beschermingsniveau wordt zowel tijdens transport als bij elektronische opslag versleuteld.

 

Klantdata

Youforce beschikt over data van klanten om deze klanten de afgesproken diensten te kunnen leveren. We gebruiken herleidbare klantgegevens niet voor andere doeleinden, tenzij je daar expliciet toestemming voor geeft en dit binnen de kaders van wet- en regelgeving toegestaan is. Binnen Youforce stellen we daarom eisen aan hoe we omgaan met klantdata.

Beveiliging

Gegevens worden door Youforce op basis van het informatiebeveiligingsbeleid en hun classificatie beveiligd. Het informatiebeveiligingsbeleid is opgesteld op basis van de ISO27000 standaarden en best practices. De beveiligingsmaatregelen zijn vastgesteld op basis van de plan-do-act-cyclus van ons gecertificeerde informatiebeveiligingssysteem en de richtlijnen van de Nederlandse Autoriteit Persoonsgegevens.

Bij het uitvoeren van de werkzaamheden die wij, als verwerker in opdracht van jou als verwerkingsverantwoordelijke verrichten, kunnen verschillende soorten persoonsgegevens betrokken zijn. Welke dit zijn, is afhankelijk van de dienstverleningsovereenkomst en de daaraan gekoppelde verwerkersovereenkomst. In de verwerkersovereenkomst zijn daarom verschillende soorten persoonsgegevens opgenomen gekoppeld aan de risicoklassen 'Normaal' en 'Hoog', oftewel risicoklasse 2 of 3.

Ten behoeve van de bescherming van gegevens met een classificatie 'Hoog' hanteren wij een aanvullend beschermingsniveau, omdat ongeautoriseerde kennisname van deze gegevens significante risico’s kan hebben voor de betrokkene. Aanvullende maatregelen hebben in deze gevallen betrekking op een aanvullende beperking van het gebruik van deze gegevens of extra versleuteling. In de verklaring van toepasselijkheid die bij het ISO27001 certificaat is gevoegd, is vastgelegd welke maatregelen van toepassing zijn.

Testen

Regels en eisen over de omgang met klantdata zijn vastgelegd in de interne ‘Richtlijn gebruik klantdata’. Deze richtlijn is opgesteld conform de eisen van de AVG en de richtlijnen van de Nederlandse Autoriteit Persoonsgegevens. Voor het testen van informatiesystemen met persoonsgegevens gebruiken we uitsluitend fictieve persoonsgegevens.

Retourneren en verwijderen

Na beëindiging van de verwerkersovereenkomst zal Youforce alle gegevens op verzoek binnen redelijke termijn overdragen en/of verwijderen van de operationele systemen. Om technische redenen is het niet mogelijk om de data van reeds opgeslagen back-ups te verwijderen. Indien gewenst kunnen wij de overeenkomst voortzetten ten behoeve van het bewaren van data voor latere inzage. Bijvoorbeeld voor de fiscus of medewerkers.

Data kan ter beschikking gesteld worden in een gangbaar bestandsformaat en op een gangbaar medium. Standaard hanteert Youforce een ‘comma separated’ (.csv) bestandsformaat op een beveiligde gegevensdrager voor bestandsuitwisseling.

 

Meldplicht datalekken

De meldplicht datalekken in de AVG eist dat eventuele datalekken gemeld worden aan de toezichthouder. De “Beleidsregels meldplicht datalekken” van de Nederlandse Autoriteit Persoonsgegevens geven hierover nadere informatie. Wij zullen jouals verwerkingsverantwoordelijke tijdig, juist en volledig informeren over relevante incidenten, zodat je  aan de wettelijke vereisten kunt voldoen.

 
Europese datacenters en dataopslag

Voor de verwerking van data maakt Youforce  gebruik van meerdere Europese datacenters. Alle datacenters en dataopslag voldoen aan strenge Nederlandse en Europese wetgeving met betrekking tot privacy, logische- en fysieke toegangsbeveiliging en continuïteit.

De systemen worden beschermd door middel van 'hardening' zoals onder andere vastgelegd in de ICT-beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum.

Youforce toetst jaarlijks of wordt voldaan aan de eisen aan leveranciers in het productieproces (sub-verwerkers) en rapporteert hierover in een ISAE3402 type 2 rapport. Uiteraard heeft Youforce met alle subverwerkers een verwerkersovereenkomst conform de AVG-wetgeving afgesloten.

Nederlandse datacenters

Voor de verwerking van de Youforce-toepassingen en opslag van data maakt Youforce gebruik van datacenters van leveranciers KPN en Microsoft. Al onze SaaS toepassingen maken gebruik van meerdere applicatie-, data- en webservers hebben verschillende hardwarecomponenten. Voor de verwerking van persoonsgegevens wordt dus gebruikgemaakt van datacenterlocaties in Nederland van zowel NorthC (geleverd via KPN), Microsoft Azure, Amazon of Visma locaties in Noorwegen. Er zijn expliciete contractuele afspraken gemaakt voor opslag van gegevens binnen de Europese Economische Ruimte (EER).

KPN datacenters:

Voor de dienstverlening die KPN levert wordt gebruik gemaakt van twee NorthC datacenters:

Aalsmeer: productieomgeving en opslaglocatie van klantdata
Almere: uitwijkomgeving met gerepliceerde klantdata en acceptatieomgeving
Het datacenter in Aalsmeer is het primaire datacenter waar gebruikers via internet toegang hebben tot de  toepassingen. In geval van calamiteiten wordt gebruik gemaakt van een tweede datacenter in Almere. Om risico’s als gevolg van omgevingsfactoren te beperken is deze locatie bewust op ruime afstand van Aalsmeer. Door middel van replicatie wordt deze uitwijkomgeving voortdurend gelijk gehouden aan de productieomgeving. De systemen in de uitwijkomgeving worden deels ook gebruikt voor acceptatietesten. Uiteraard maken we hierbij geen gebruik van klantdata en zijn de productiegegevens fysiek gescheiden van de testgegevens.

De systemen en opslagruimte die Youforce gebruikt in de datacenters van NorthC zijn fysiek gescheiden van de dienstverlening aan andere organisaties. NorthC datacenters hebben hoge betrouwbaarheid en zijn gecertificeerd op het gebied van kwaliteit en informatiebeveiliging. Voor alle gebruikte datacenters is minimaal een ISO9001- en ISO27001-certificering van toepassing.

Microsoft datacenters:

Youforce maakt voor de ontwikkel- en testomgeving en een aantal Youforce toepassingen gebruik van Microsoft Azure. Gefaseerd gaat Microsoft Azure gebruikt worden voor de productieomgeving van andere Youforce toepassingen. Bij de inrichting is gekozen voor de Azure regio ‘West Europe’, die bestaat uit meerdere datacenters gevestigd in Nederland. Dit houdt in dat gegevens contractueel opgeslagen worden in datacenters binnen de EER. Zie voor datacenterlocaties.

De clouddienstverlening van Microsoft is gebaseerd op vier uitgangspunten:

Security
Microsoft heeft uitgebreide beveiligingsmaatregelen genomen op terreinen als identiteits- en toegangsbeheer, bedreigingsbeveiliging en informatiebeveiliging. De operationele activiteiten zijn merendeels geautomatiseerd om menselijk handelen zoveel mogelijk te beperken. Toegang tot klantdata wordt door strenge controles en procedures geminimaliseerd. Microsoft investeert jaarlijks 1 miljard USD in informatiebeveiliging. Je kunt hier meer lezen over hoe Microsoft omgaat met security.

Privacy
Microsoft heeft zich gecommitteerd aan de AVG en heeft hiervoor afspraken opgenomen in de Online Service Terms (OST) die horen bij alle Azure Services. In de OST geeft Microsoft expliciet invulling aan de artikelen 28, 32 en 33 van de AVG. Daarbij geeft Microsoft aan data alleen te verwerken op basis van de instructies van haar klanten en om de services te bieden die zijn overeengekomen. Microsoft zal geen enkele derde partij toegang geven tot de data. In geval van een verzoek door een overheid of justitiële organisatie zal Microsoft altijd verwijzen naar de klant die eigenaar is van de data. Je kunt hier meer lezen over hoe Microsoft omgaat met privacy.

Compliance
Op het gebied van compliance beschikt Microsoft over een uitgebreide set certificeringen. Het betreft hier zowel wereldwijd als regionaal erkende certificeringen of specifieke sectorcertificaten. Microsoft is onder andere gecertificeerd volgens ISO9001, ISO27001, ISO27018, ISO22301 en het SOC-framework. Een volledig overzicht van de certificeringen vind je hier.

Transparantie
Microsoft staat zich voor op transparantie over de wijze waarop zij omgaat met onderwerpen als security en privacy. Via de website van het trustcenter wordt veel informatie over deze onderwerpen gegeven. Je kunt daar niet alleen het overzicht van alle certificeringen vinden, maar Microsoft publiceert ook de bijbehorende auditrapportages. Ook is Microsoft open over de verzoeken van derden die aan Microsoft zijn gericht. Op haar website publiceert zij welke verzoeken wereldwijd zijn gedaan, maar er kan tot op landniveau worden gefilterd.

Door de wijze waarop Microsoft haar clouddienstverlening heeft ingericht en de contractuele vastlegging tussen Microsoft en Youforce voldoen we aan de vereisten in het kader van de AVG. Mocht je toch een extra waarborg willen voor de verwerking van de persoonsgegevens van jouw medewerkers dan kun je ons machtigen om namens jouw organisatie een modelcontract (zoals bedoeld in artikel 46 lid 2 of 3 AVG) met Microsoft overeen te komen.

Meer informatie over Microsoft Azure datacenters vind je in onze Q&A.

Datacenter Land Verwerking   Certificering  
KPN Nederland ISO9001; ISO27001; ISAE3000
Microsoft Azure 
 Europa ISO9001; ISO27001; ISAE3402 SOC1, SOC2

Virussen

Youforce wordt beschermd tegen misbruik door malware en met virusprotectie zorgen we ervoor dat aangesloten gebruikers niet besmet worden met virussen. 

We controleren door gebruikers vastgelegde gegevens en eventuele bijlagen niet op virussen, omdat deze data niet als softwareprogrammatuur wordt uitgevoerd. Hierdoor kan er geen schade worden toegebracht aan Youforce. Voor de bescherming van jouw eigen gegevens, gaan we ervan uit dat je gebruikmaakt van virusdetectie en malware-protectie op jouw eigen systemen.

Subverwerkers

Youforce maakt voor een aantal onderdelen van haar software en services gebruik van leveranciers. Welke leveranciers voor jouw organisatie van toepassing zijn is afhankelijk van de diensten die je bij ons afneemt. In het leveranciersoverzicht kun je informatie vinden over de subverwerkers die Youforce inzet.