Mamut en AVG / GDPR
| Mamut Support ID: | M-00499860 |
| Product: | Mamut One |
| Laatst bijgewerkt: | 30 mei 2018 |
Omschrijving
De Algemene verordening gegevensbescherming (AVG / GDPR) is van toepassing op alle lidstaten van de EU en EER vanaf 25 mei 2018. Het vervangt de huidige wetgeving rondom privacy voor de betrokkenen, momenteel gevat onder Richtlijn 95/46/EG. Iedere organisatie die persoonsgegevens verwerkt, wordt verplicht tot het in detail documenteren van de verwerking, het verzekeren van de wettelijke correctheid van de verwerking, het documenteren van voldoende dekkende procedures, het voorzien in informatie rondom beveiligingsmaatregelen, alsmede de vaststelling dat juiste verwerkersovereenkomsten worden gehanteerd. De AVG is van belang omdat het de rechten van iedere Europese natuurlijke persoon ('data subject' onder GDPR) beschermt en bovendien verheldert wat organisaties die persoonsgegevens verwerken moeten doen om deze rechten te waarborgen.
In deze supportnote leest u meer over de rollen van Visma in deze context, en vindt u de antwoorden op veelgestelde vragen met betrekking tot Mamut One en de AVG.
Dit document is bedoeld voor iedereen die basiskennis heeft van privacy en privacywetgeving. In het artikel wordt niet ingegaan op de wetgeving zelf. Meer informatie daaromtrent vindt u terug op de website van de Autoriteit Persoonsgegevens.
De rollen van Visma
De AVG definieert twee rollen die onderworpen zijn aan verschillende wettelijke verplichtingen:
- De controller (verantwoordelijke); een juridische eenheid of gelijkwaardige entiteit die de doelstellingen en manieren van de verwerking van persoonsgegevens bepaalt.
- De processor (verwerker); een juridische eenheid of gelijkwaardige entiteit die persoonsgegevens verwerkt namens de controller.
De aard van de werkzaamheden van Visma maakt ons zowel controller als processor. Wij zijn controller wanneer wij gegevens van onze eigen werknemers en (klant)contactpersonen en -gebruikers verwerken. Wij zijn processor wanneer we onze cloudservices (SaaS) of andere gehoste IT-services aan onze klanten verstrekken. Daarnaast zijn wij een leverancier van software die onze klanten installeren en zelf beheren. In dit geval is Visma geen processor, maar is de klant dit zelf. Wanneer Visma optreedt als processor, is de klant die de service/software gebruikt de controller.
Visma als controller
Visma verwerkt gegevens van medewerkers en contactpersonen en/of gebruikers van klanten. In zeldzame gevallen verwerken wij ook gegevens van anderen. Om te kunnen voldoen aan de wettelijke vereisten, ligt onze voornaamste focus op het gebied van transparantie. Hiermee stellen wij onze medewerkers en contactpersonen in staat te begrijpen waarom, wat, wanneer en hoe hun persoonsgegevens worden verwerkt.
Als controller documenteert Visma haar verwerkingsactiviteiten. In deze documentatie beschrijven wij waarom, hoe en wanneer we persoonsgegevens verwerken. Het beschrijven hiervan wordt gedaan door onze juridische eenheid (Visma subsidiaries), onder toezicht van de Data Protection Officer en is gebaseerd op bedrijfsbeleid en richtlijnen, uitgegeven door de Data Protection Council.
Visma als processor
Visma levert een breed aanbod van cloudsoftware (SaaS) aan onze klanten, naast hosting- en consultancyservices. Dit betekent dat Visma verantwoordelijk is voor de verwerking van persoonsgegevens als overeengekomen met de controllers (klanten).
Onze voornaamste inspanningen om te zorgen dat wij onze verplichtingen als processor nakomen, zijn als volgt:
- Onze cloudservices toetsen tegen de principes van Privacy by Design en Default als uiteengezet in de AVG.
- Privacy Impact Assessments maken voor al onze producten die ontworpen zijn om gevoelige persoonsgegevens te verwerken.
- Voorbereiden op toenemende transparantie in relatie tot onderaannemers en beveiligingsincidenten die kunnen plaatsvinden.
- Ervoor zorgen dat overeenkomsten met onze onderaannemers en partners voldoen aan de AVG-voorbereidingen en vereisten.
- Het updaten van onze Terms of Services-documenten om de verplichtingen van zowel controllers (klanten) als Visma onder de AVG op de juiste manier weer te geven.
Meer informatie
Als u op zoek bent naar algemene informatie over het verwerken van persoonsgegevens binnen Visma, ga dan naar https://www.visma.com/privacy/.
Als u als controller (klant van Visma) op zoek bent naar informatie over gegevensbescherming in relatie tot softwareproducten/-services, ga dan naar https://www.visma.nl/connect/about-us/trust-center/.
Hebt u vragen die direct gerelateerd zijn aan uw verwerkersovereenkomst met Visma, neem dan contact op met uw vaste contactpersoon binnen Visma. De verwerkersovereenkomst is onderdeel van de servicevoorwaarden, die u kunt raadplegen op onze website.
Veelgestelde vragen met betrekking tot Mamut en AVG / GDPR
Hoe kan ik met Mamut AVG-proof zijn?
Uiteraard hangt dit af van uw eigen interne processen en maatregelen op het gebied van infrastructuur en beveiliging. Mamut Business Software wordt gebruikt in een zogenaamde on-premise omgeving. In deze context betekent dit dat u als eigenaar van de software verantwoordelijk bent voor de omgeving waarin het programma wordt uitgevoerd. U bent de beheerder en uw eigen gegevensverwerker. Dit betekent dat u verantwoordelijk bent voor het voldoen aan de vereisten van de AVG / GDPR. Als u Mamut laat hosten, dan moet u contact opnemen met uw leverancier.
Heb ik een verwerkersovereenkomst nodig?
Nee, als u alleen gebruikmaakt van Mamut niet. Mamut staat niet geïnstalleerd op een server van Visma. Visma is derhalve geen gegevensverwerker.
Als u gebruikmaakt van Mamut Online en/of Mamut e-commerce, dan is Visma gegevensverwerker en moet u updaten naar versie 22 en de nieuwe TOS (Terms of Services) accepteren, de verwerkersovereenkomst is hier een onderdeel van.
Gebruikers van Mamut Online Backup hebben aanvullende informatie per e-mail ontvangen.
Moet ik updaten naar de laatste versie?
Als u gebruikmaakt van Mamut Online en/of Mamut e-commerce, dan moet u updaten naar versie 22 en de nieuwe TOS (Terms of Services) accepteren. In andere gevallen moet u zelf, afhankelijk van uw interne processen en maatregelen, afwegen of het updaten van Mamut gewenst is in het kader van de AVG.
Zijn er mogelijkheden om persoonsgegevens in Mamut te verwijderen of anonimiseren?
Het is mogelijk om standaardscripts bij Mamut Support te bestellen, waarmee u bepaalde persoonsgegevens kunt verwijderen of anonimiseren in uw administratie in Mamut Business Software. In dit artikel vindt u meer informatie.
Welke rapportages in Mamut kan ik gebruiken om persoonsgegevens in kaart te brengen?
De persoon waarvan u de persoonsgegevens hebt verzameld, heeft het recht om toegang tot die gegevens te verzoeken. In het programma staan persoonsgegevens in velden met een vastomlijnd doel, zoals naam, telefoonnummer en adres. Behalve in de velden die een vastomlijnd doel hebben, kunnen persoonsgegevens ook in andere delen van het programma zijn opgeslagen, bijvoorbeeld in velden voor vrije tekst en in notities. We raden aan te vermijden in deze velden persoonsgegevens in te voeren, omdat het moeilijk is om deze gegevens op te sporen, te analyseren en bijeen te brengen.
U zult dus eerst moeten nagaan waar u in Mamut persoonsgegevens opslaat. Vervolgens kunt diverse rapporten gebruiken vanuit de rapportagemodule (te openen via Bestand - Afdrukken), die u kunnen helpen om de opgeslagen persoonsgegevens in beeld te brengen. Hierbij kunt u denken aan rapporten als Relatielijst, Relatiegegevens (gedetailleerd), of Activiteitenlijst. Daarnaast is het mogelijk om schermafbeeldingen te maken van plaatsen waar u persoonsgegevens opslaat in Mamut, en die te versturen naar een debiteur/crediteur die hierom vraagt.
Zijn er aanpassingen in de software gedaan met betrekking tot de AVG?
In Mamut versie 22 zijn er enkele verbeteringen doorgevoerd die u als gegevensverwerker en verantwoordelijke kunnen helpen om te voldoen aan deze nieuwe privacywetgeving. Hieronder leest u wat er is aangepast en/of toegevoegd.
- De nieuwe TOS / Servicevoorwaarden worden getoond wanneer u voor het eerst Mamut versie 22 start. Op onze website kunt u tevens de nieuwe Servicevoorwaarden inzien.
- Bij het maken van backups staat nu automatisch de optie voor wachtwoordbescherming aangevinkt.
- Optie voor het exporteren van systeem- en bedrijfsdatabaselogs naar CSV is toegevoegd onder Bestand - Databasehulpprogramma’s.
- Het is mogelijk om bij Mamut Support standaardscripts te bestellen om bepaalde persoonsgegevens te verwijderen of te anonimiseren.
- Bij het aanmaken van nieuwe bedrijfsdatabases staat standaard de optie aan om elektronische nieuwsbrieven NIET te ontvangen.
- Diverse kleine technische verbeteringen in de interne systemen en de Mamut-applicatie.