Privacy & informatiebeveiliging


Gedragscode



De gedragscode van Unit4 Bedrijfssoftware beschrijft hoe we op een open, transparante, eerlijke en maatschappelijk verantwoorde manier werken. Dit doen wij om het succes van Unit4 Bedrijfssoftware en van onze klanten te waarborgen. Hier vind je de gedragscode van Unit4 Bedrijfssoftware:


Verwerkersovereenkomst



In de Algemene verordening gegevensbescherming (AVG) staat (de bescherming van) privacy centraal. Het is daarom belangrijk dat verwerking van persoonsgegevens goed is vastgelegd. In sommige gevallen is het noodzakelijk om dit vast te leggen in een Verwerkersovereenkomst. Onderstaand een beknopte uitleg wanneer dit het geval is en hoe Unit4 Bedrijfssoftware je hierbij helpt.

 

Wanneer noodzaak

Een Verwerkersovereenkomst is een wettelijk verplichte overeenkomst op het moment dat je als klant aan Unit4 Bedrijfssoftware vraagt om persoonsgegevens voor jouw organisatie te verwerken. Je bent op dat moment verwerkingsverantwoordelijke en Unit4 Bedrijfssoftware is de verwerker. Het afsluiten van een Verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke als voor de verwerker. Besef dat er al snel sprake is van ‘verwerken’ van persoonsgegevens: het opslaan van persoonsgegevens bij een cloudprovider of Software as a Service (SaaS) aanbieder zijn onder andere ook voorbeelden van ‘verwerken’.

 

Unit4 heeft een nieuwe Verwerkersovereenkomst opgesteld die rekening houdt met de AVG en alle producten die Unit4 Bedrijfssoftware aanbiedt.

In dit document richten we ons met name op de zogenaamde ‘verkoop verwerkingsovereenkomst’; dat wil zeggen de situatie waarin Unit4 Bedrijfssoftware persoonsgegevens voor een verwerkingsverantwoordelijke (klant) zal verwerken.

 

Wat zijn persoonsgegevens?

Een goede uitleg hierover kun je vinden via de Autoriteit Persoonsgegevens via onderstaande link:

Autoriteitpersoonsgegevens.nl

 

Hier vind je de Verwerkersovereenkomst van Unit4 Bedrijfssoftware:


Certificeringen voor informatiebeveiliging



Wie gebruik maakt van de cloud- of SaaS-diensten ontkomt er niet aan om goed na te denken over de veiligheid van gegevens die in de cloud worden opgeslagen of verwerkt. Certificeringen voor informatiebeveiliging zijn een belangrijke indicatie voor een goed geregelde informatiebeveiliging. In het algemeen is te stellen dat jouw data bij cloudleveranciers met een certificering veilig zijn. Certificeringen worden alleen toegekend als organisaties werken volgens strikte procedures en hiermee de werkwijze aantoonbaar op orde hebben.

 

ISO27001

 

ISO27001 is een ISO-standaard voor informatiebeveiliging. Deze internationale norm is van toepassing op alle typen organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties). De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie. De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen, die de informatie beschermen en vertrouwen bieden aan belanghebbenden, te waarborgen.

 

Unit4 Bedrijfssoftware heeft voor verschillende onderdelen ISO27001-certificeringen. Voor het ontwerpen, implementeren en onderhouden van datacenterhostingdiensten in Nederland en Azure, inclusief het technisch beheer voor de applicaties en beheerdiensten die Unit4 Bedrijfssoftware aanbiedt op deze omgevingen.

 

Meer informatie ten aanzien van Informatiebeveiliging en ons product Fiscaal Gemak kan je vinden via de volgende link:

Fiscaal Gemak

 

Certificaat en bijbehorende verklaring van toepasselijkheid van Unit4 Bedrijfssoftware kan worden gedownload via de onderstaande knoppen:


Certificaat en bijbehorende verklaring van toepasselijkheid van Fiscaal Gemak kan worden gedownload via de onderstaande knoppen:


ISAE3402



De ISAE3402 is een internationale standaard. Bij een ISAE3402-rapportage geeft het management van de serviceorganisatie een formele verklaring (een zogenaamde ‘managementassertion’) af voor zijn verantwoordelijkheid voor de beheermaatregelen uit deze verklaring.

 

De ISAE3402 standaard kent twee types rapportages:

  • Type I: Voor de opzet en het bestaan van beheermaatregelen.
  • Type II: Naast de opzet en het bestaan is ook de effectieve werking van de beheermaatregelen voor een bepaalde periode aangetoond.

Unit4 Bedrijfssoftware heeft verschillende ISAE3403-rapportages. De rapportage en de beschrijving van toetsing van interne beheersingsmaatregelen zijn alleen beschikbaar voor bestaande klanten of voor auditoren van bestaande klanten. Deze rapportages zijn niet vrij te downloaden, maar worden alleen op aanvraag verzonden. Dit kan je doen via je accountmanager of via support.

 

De volgende ISAE3403 rapportages zijn beschikbaar:

  • ISAE3402 – Cloudservicediensten, inclusief Salaris Cloud, voor Nederlandse datacenters en Azure
  • ISAE3402 – Managed Payroll Service

Een statement over de ISAE3402 rapportage van Cloudservicediensten is beschikbaar.


Privacy statement



Unit4 Bedrijfssoftware verwerkt uw persoonsgegevens met de nodige zorgvuldigheid, in overeenstemming met en alle toepasselijke wet- en regelgeving, in het bijzonder de Algemene Verordening Gegevensbescherming (AVG). In onze Privacy Policy wordt uitgelegd welke persoonsgegevens we verwerken, hoe we dat doen en hoe u bezwaar kunt maken tegen de verwerking van uw persoonsgegevens.


HR & Salaris Gemak

 

Unit4 Bedrijfssoftware heeft voor het product HR & Salaris Gemak een privacyverklaring opgesteld voor het gebruikte portaal.
Deze verklaring heeft als doel transparantie te bieden over welke persoonsgegevens Unit4 Bedrijfssoftware verzamelt bij het gebruik van Unit4 Personeel & Salaris Portaal, hoe Unit4 Bedrijfssoftware met deze gegevens omgaat en welke rechten u heeft met betrekking tot uw gegevens. Unit4 Bedrijfssoftware streeft na om persoonsgegevens die u tijdens het gebruik van Unit4 Personeel & Salaris Portaal achterlaat zo te verwerken en te beheren dat uw privacy wordt beschermd.


Beleid voor Gegevensbescherming



Wanneer er klantgegevens gemigreerd, opgeslagen of verwerkt wordt binnen een Software as a Service (‘Saas’) of Cloud-omgeving, beheerd door Unit4 Bedrijfssoftware gelden er beleidsregels voor de medewerkers van Unit4 Bedrijfssoftware hoe ze met deze data om moeten gaan. Deze beleidsregels vindt u hier.


Bewustwording informatiebeveiliging



Binnen Unit4 Bedrijfssoftware is het belangrijk dat medewerkers zich bewust zijn van de belangrijke rol die zij vervullen binnen de informatiebeveiliging. Om bewustwording te stimuleren hebben wij 7 vuistregels van informatiebeveiliging opgesteld.


Nieuws & actualiteiten



Update DHPA (vrijdag 27 maart 2020)

Nederland werkt massaal thuis. Waar mogelijk zijn organisaties uit hun kantoren vertrokken en zijn hun medewerkers thuis gaan werken. Zelfstandigen en werknemers hebben de thuiswerkplek opnieuw ingericht en klaargemaakt voor een periode waarvan het einde nog onduidelijk is.

Deze gigantische verschuiving in de locatie van werkplekken brengt natuurlijk uitdagingen met zich mee. De digitale infrastructuur in Nederland blijkt over het algemeen goed bestand tegen deze nieuwe ontwikkelingen. Veilig werken is een belangrijk thema. Er zijn aanwijzingen dat cybercriminelen zich ook op deze nieuwe situatie aan het richten zijn. Daarom hebben een aantal brancheorganisaties van bedrijven en organisaties die aan de basis staan van de digitale economie, het initiatief genomen om hun kennis te delen en aanbevelingen te doen rondom thuiswerken: www.werkthuisveilig.nl.

Wat organisaties en medewerkers moeten weten en doen om veilig thuis te werken is nu te vinden op deze nieuwe informatieve website. Om te voorkomen dat cybercriminelen misbruik maken van deze situatie. Hoe meer mensen veilig thuiswerken, hoe sterker ons land staat tegenover de criminelen die azen op thuiswerkers. Daar is ook onze digitale economie bij gebaat.

Citrix (closed)

Donderdag 30-01-2020, 09.00 uur:
Voor de systemen die nog niet waren voorzien van de laatst beschikbaar gekomen patches zijn afgelopen dagen alle patches getest en in productie genomen. Alle diensten van Unit4 Bedrijfssoftware die gebruikmaken van Citrix zijn op dit moment beschermd met de laatste patches. De laatste controles hebben laten zien dat er geen misbruik is geweest op de systemen van Unit4 Bedrijfssoftware.

Vrijdag 24-01-2020, 16.00 uur:
Vandaag zijn er opnieuw patches beschikbaar gekomen die de komende dagen, daar waar van toepassing, op onze systemen worden geïnstalleerd. Uiterlijk woensdag verwachten we alle systemen voorzien te hebben van een update. Tot al onze systemen zijn geüpdatet, hanteren we nog steeds de door het NCSC geadviseerde maatregelen en geldt constante monitoring.

Maandag 20-01-2020, 15.00 uur:
Voor de meestgebruikte versies van het systeem heeft Citrix gisteravond een update beschikbaar gesteld die een grote kwetsbaarheid dicht. Hoewel wij geen kwetsbaarheden ervaarden, zijn de systemen waar Unit4 Bedrijfssoftware gebruik van maakt conform de aanbevelingen geüpdatet. Hierdoor zijn diverse systemen voorzien van een structurele oplossing vanuit de leverancier (Citrix). Systemen waar de patch nog niet beschikbaar voor is, blijven conform het advies van Citrix en het NCSC voorzien van de geadviseerde maatregelen en is constante monitoring van kracht.

Zaterdag 18-01-2020, 09.00 uur:
In tegenstelling tot de aanhoudende berichtgeving in de media rondom Citrix ervaren wij geen kwetsbaarheden in de Citrix-producten waar Unit4 Bedrijfssoftware gebruik van maakt. Onze systemen worden actief en voortdurend gemonitord en indien de situatie hierom vraagt worden direct tegenmaatregelen genomen.

Vrijdag 17-01-2020, 12.00 uur:
In de media is de laatste dagen berichtgeving geweest over een security-lek in Citrix-producten waar Unit4 Bedrijfssoftware ook gebruik van maakt. Wij volgen nauwgezet de aanwijzingen van het Nationaal Cyber Security Centrum (NCSC) en de producent en voeren deze uit om kwetsbaarheid te minimaliseren. Met de kennis die wij nu hebben, ondervinden wij geen kwetsbaarheden. Uiteraard volgen wij de berichtgeving vanuit Citrix en de media omtrent dit security-lek op de voet en indien de situatie hierom vraagt worden direct tegenmaatregelen genomen.