Privacy Beleid

Inleiding

Voor Cloud 2 BI is een zorgvuldige omgang met (persoons)gegevens van groot belang bij de uitvoering van haar dienstverlening. Cloud 2 BI is gezamenlijk met de gebruikers (accountants en eindklanten) verantwoordelijk voor de gegevensverwerking. Gelet op de aard van de dienstverlening van Cloud 2 BI, is het noodzakelijk om te zorgen dat bepaalde persoons(gegevens) worden gedeeld met de accountant en de eindklant. Het is daarom van groot belang dat u kennisneemt van dit privacy statement.

Wat verstaan wordt onder “Persoons(gegevens)”

In navolging van de definitie in AVG, wordt onder “Persoons(gegevens) ” in dit verband verstaan alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon, en die wordt verstrekt aan en/of verzameld door of namens Cloud 2 BI en wordt opgeslagen in een direct toegankelijk formaat. Voorbeelden van persoons(gegevens) zijn uw naam, uw adres, uw e-mailadres en telefoonnummer. “Gevoelige gegevens” betreffen extra gevoelige persoons(gegevens) zoals bijvoorbeeld uw etnische afkomst of uw medische gegevens.

Cloud 2 BI in het kort

Cloud 2 BI is een organisatie die zich richt op het ontsluiten van cloud data en het eenvoudig beschikbaar maken voor visualisaties in BI tooling (Power BI, Qlik, Tableau, etc). De naam van de applicatie is de Cloud2BI Extractor. Deze tool faciliteert het periodiek binnenhalen en bijwerken van financiële gegevens uit cloud applicaties.

De gegevensverweking van Cloud 2 BI applicatie kan in twee gedeelten worden onderverdeeld.

  1. Toegangsgegevens: Het verlenen van de toegang voor de klant (accountant en eindklant)
  2. Financiële gegevens: Het overhalen van gegevens ten behoeve van het maken en tonen van financiële dashboards

Het onderscheid tussen deze gegevensverwerking zal per onderdeel van het privacy beleid worden toegelicht omdat deze significant verschillen.

Welke gegevens de app/ dienst verzamelt en opslaat

    1. Toegangsgegevens:

    De Cloud 2 BI applicatie verzamelt voor het verlenen van toegang middels oauth2 methode de volgende gegevens:

    Autorisatiegegevens zoals een autorisatie sleutel, administratieID, administratietype (privacy impact laag)

    Synchronisatie loggegevens (privacy impact laag)

    Deze gegevens worden opgeslagen op de server van Cloud 2 BI

    2.  Financiële gegevens:

    Voor het tonen van de dashboards worden financiële transactiegegevens en direct aanverwante gegevens (kostenplaatsen, grootboekrekeningen etc.) opgehaald vanuit de financiële cloud applicaties en direct opgeslagen bij de klant. (privacy impact laag, maar op organisatieniveau betreft dit gevoelige informatie)

    Deze gegevens worden opgeslagen op de server van de klant (accountant, eindklant)

    Hoe de app/ dienst gegevens verzamelt

    1. Toegangsgegevens:

    De gebruiker is door middel van OAuth2 in staat de Cloud 2 BI app te autoriseren om toegangsgegevens op te halen voor een financiële administratie. Na de autorisatie worden de gegevens die benodigd zijn om dataverzoeken van de API van de desbetreffende administratie te authentiseren opgeslagen in de database van Cloud 2 BI. Wanneer een toegangstoken niet meer geldig is, wordt deze omgewisseld voor een nieuw toegangstoken met een ververs token. De klant kan te allen tijde de verleende toegang intrekken in de financiële administratie.

       2. Financiële gegevens:

    Doel van de gegevens voor de applicatie

    Het doel van de Cloud 2 BI applicatie is het tonen van dashboards op basis van de financiële applicatie van de klant of haar accountant. De accountant kan vervolgens op geaggregeerde data dashboards bouwen om de dienstverlening voor de klanten verder te optimaliseren.

    De bewaartermijn(en) en het beleid met betrekking tot de verwijdering van gegevens

    De verwerkingsverantwoordelijke bepaalt de bewaartermijn (klant of accountant), dus u kunt bij uw server de data wissen of bij uw accountant nagaan wat hun privacy statement ter zake vermeldt. Wanneer verwerking door Cloud 2 BI noodzakelijk is voor de uitvoering van een overeenkomst, worden uw persoons(gegevens) gedurende een periode tot maximaal twee jaar na beëindiging van de overeenkomst door ons verwerkt. Wanneer sprake is van wettelijke bewaartermijnen, bijvoorbeeld in het kader van de administratieve bewaarplicht voor Gebruikers zoals ondernemingen, kunnen langere termijnen van toepassing zijn.

    Hoe gebruikers hun toestemming in kunnen trekken en hoe zij een verzoek tot verwijdering van persoonsgegevens kunnen indienen

    De klant kan voor het verzoek tot verwijdering van gegevens het verzoek richten naar zijn accountantorganisatie. Cloud 2 BI beschikt niet over financiële transactiegegevens en heeft ook geen toegang tot de omgeving van de server van de accountantorganisaties. Mochten er toch onduidelijkheden zijn over de dataverwerking dan kan altijd contact opgenomen worden met Cloud 2 BI.

    Data Protection Officer

    U wordt verzocht in alle communicatie naar Cloud 2 BI uw naam en het e-mail adres dat u heeft gebruikt voor registratie (indien van toepassing) te vermelden, evenals het adres van de betreffende website en/of applicatie of het specifieke Cloud 2 BI programma waaraan u uw persoons(gegevens) heeft verstrekt, en een gedetailleerde toelichting op uw verzoek. Als u inzage wilt in uw persoons(gegevens) , deze (volledig) wenst te verwijderen, wijzigen of corrigeren, een verzoek tot data portabiliteit wilt indienen en/of contact met ons opneemt via e-mail, zorg er dan voor dat er bij het kopje onderwerp van de e-mail “Verzoek tot verwijderen” of “Verzoek tot wijziging / correctie / data portabiliteit“ wordt vermeld. We zullen ons best doen om tijdig te reageren op alle redelijke verzoeken.

    Beveiligingsbeleid

    Maatregelen om persoons(gegevens) te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking.

    Organisatie van informatiebeveiliging en communicatieprocessen

    Cloud 2 BI heeft een Data Protection Officer (DPO), die hoofdzakelijk verantwoordelijk is voor het informeren en adviseren van Cloud 2 BI over haar verplichtingen uit hoofde van de AVG en houdt toezicht op naleving. Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid. Cloud 2 BI heeft een proces ingericht voor omgang (en communicatie) over informatiebeveiligingsincidenten (data lek procedure).

    Medewerkers

    Met medewerkers die werkzaamheden verrichten ten behoeve van en/of namens Cloud 2 BI zijn geheimhoudingsverklaringen overeengekomen. Cloud 2 BI stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
    Medewerkers hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.

    Fysieke beveiliging en continuïteit van de middelen

    Persoons(gegevens) worden uitsluitend verwerkt in datacenters in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf. Er is een toegangsprotocol opgesteld. Toegang wordt bovendien geregistreerd.
    Persoons(gegevens) worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
    Er worden periodiek back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
    De locaties waar gegevens worden verwerkt zijn beveiligd door middel van sloten, alarmsystemen en worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico’s. Cloud 2 BI informeert haar gebruikers (door middel van dit document en ook via de diverse contractuele overeenkomsten) over het feit dat men wachtwoorden op een veilige wijze dient te bewaren en voorzichtig moet zijn met het toegang verlenen aan derden om ongeoorloofde toegang tot hun gegevens te voorkomen

    Netwerk-, server- en applicatiebeveiliging en onderhoud

    De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
    De omgeving waarbinnen persoons(gegevens) worden verwerkt wordt gemonitord.
    De systemen waarbinnen persoons(gegevens) worden verwerkt komen tot stand op basis van systeemplanning, beveiligingscontrole en acceptatie (OTAP). Wijzigingen in applicaties worden getest op kwetsbaarheden voordat deze in productie worden genomen.
    Op systemen worden periodiek de laatste (beveiligings-)patches geïnstalleerd op basis van patchmanagement.
    Gegevens die binnen applicaties worden verwerkt zijn geclassificeerd op risico’s.
    Penetratietests en vulnerability assessments worden periodiek uitgevoerd.
    Op wachtwoorden zijn cryptografische maatregelen toegepast om deze gegevens veilig op te slaan.
    Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen.

    Melding van een inbreuk in verband met persoons(gegevens)

    Cloud 2 BI monitort haar dienstverlening en heeft maatregelen getroffen om ongeoorloofde of onrechtmatige toegang tot gegevens te voorkomen en te identificeren. Signalen die duiden op een inbreuk in verband met persoons(gegevens) worden beoordeeld door de data protection officer van Cloud 2 BI, die analyseert of sprake kan zijn van een inbreuk in verband met persoons(gegevens) en het type inbreuk.

    Wanneer een inbreuk in verband met persoons(gegevens) die Cloud 2 BI verwerkt als verwerkingsverantwoordelijke heeft plaatsgevonden, meldt Cloud 2 BI deze uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoons(gegevens) een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer de inbreuk in verband met persoons(gegevens) waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt Cloud 2 BI de betrokkene de inbreuk in verband met persoons(gegevens) onverwijld mee.

    Klachten

    Cloud 2 BI wil u graag helpen om een geschikte oplossing te vinden voor klachten of zorgen over uw privacy. U heeft echter altijd het recht om bij de Autoriteit Persoons(gegevens) een klacht in te dienen.

    Contact informatie

    Cloud 2 BI is gevestigd aan de Hendrik ter Kuilestraat 157, 7547 SK Enschede, Nederland. Het algemene e-mail adres is: info@Cloud2BI.nl. Voor alle correspondentie betreffende privacy gerelateerde aangelegenheden kunt u contact opnemen met de Data Protection Officer van Cloud 2 BI die u kunt bereiken op telefoonnummer +31 88 0407 450.