Skip to content

Algemene voorwaarden​

Artikel 19: Privacy en gegevensverwerking

  1. Embrace verwerkt in het kader van de Overeenkomst persoonsgegevens in de zin van de Algemene verordening gegevensbescherming (“AVG”) van de Opdrachtgever. Deze persoonsgegevens zullen worden verwerkt conform de Privacyverklaring van Embrace, alsook de toepasselijke wet- en regelgeving.
  2. Als dit voor de uitvoering van de Overeenkomst naar oordeel van Embrace relevant is, zal Opdrachtgever Embrace desgevraagd schriftelijk informeren over de wijze waarop Opdrachtgever uitvoering geeft aan zijn verplichtingen op grond van de wetgeving op het gebied van bescherming van persoonsgegevens. 
  3. Opdrachtgever vrijwaart Embrace voor aanspraken van personen van wie persoonsgegevens zijn of worden verwerkt waarvoor Opdrachtgever op grond van de wet verantwoordelijk is, tenzij Opdrachtgever bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan Embrace toerekenbaar zijn.
  4. De verantwoordelijkheid voor de gegevens, die met gebruikmaking van een Applicatie van Embrace door Opdrachtgever worden verwerkt, ligt bij Opdrachtgever. Opdrachtgever staat er tegenover Embrace voor in dat de inhoud, het gebruik en/of de verwerking van de gegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde. Opdrachtgever vrijwaart Embrace tegen elke rechtsvordering van een derde, uit welke hoofde dan ook, in verband met deze gegevens of de uitvoering van de Opdracht.
  5. Als Embrace op grond van een verzoek of bevoegd gegeven bevel van een overheidsinstantie of in verband met een wettelijke verplichting werkzaamheden verricht met betrekking tot gegevens van Opdrachtgever, zijn medewerkers of gebruikers, kunnen alle daaraan verbonden kosten aan Opdrachtgever in rekening worden gebracht. 
  6. Een verwerkersovereenkomst maakt deel uit van de Overeenkomst indien er een Applicatie wordt afgenomen en is als bijlage 1 opgenomen. 

Artikel 20: Overdraagbaarheid rechten en verplichtingen

  1. Het is Opdrachtgever niet toegestaan rechten of verplichtingen voortvloeiende uit de Overeenkomst geheel noch gedeeltelijk over te dragen aan een derde zonder voorafgaande schriftelijke toestemming van Embrace.
  2. Het is Embrace wel toegestaan rechten of verplichtingen uit hoofde van de Overeenkomst over te dragen aan, respectievelijk doen overnemen door, een derde, zonder voorafgaande toestemming van Opdrachtgever. Opdrachtgever verleent Embrace hierbij bij voorbaat medewerking aan eventuele contract overneming van de rechtsverhouding uit de Overeenkomst door Embrace aan een derde. 

Artikel 21: Toepasselijk recht en geschilbeslechting

  1. Op de Overeenkomst en alle overeenkomsten die daaruit voortvloeien of daarmee verband houden alsmede op deze Voorwaarden is uitsluitend Nederlands recht van toepassing, met uitsluiting van het Nederlandse internationale privaatrecht en het Weens Koopverdrag.
  2. Alle geschillen, waaronder geschillen die slechts door één van de Partijen als zodanig wordt beschouwd, die mochten ontstaan naar aanleiding van en in verband met de Overeenkomst, daaruit voortvloeiende overeenkomsten en/of deze Voorwaarden, zullen uitsluitend worden voorgelegd aan de bevoegde rechter van de rechtbank Noord-Nederland, locatie Groningen. 

Artikel 22: Advisering en consultancy

De in dit artikel opgenomen bepalingen zijn van toepassing als Embrace diensten verleent op het gebied van advisering en consultancy, welke niet onder leiding en toezicht van Opdrachtgever worden uitgevoerd. 

Uitvoering advies en consultancydiensten

  1. Embrace zal de advies- en consultancydiensten geheel zelfstandig, naar eigen inzicht en niet onder toezicht en leiding van Opdrachtgever uitvoeren.
  2. Embrace is niet gebonden aan een doorlooptijd van de Overeenkomst omdat de doorloop van de Overeenkomst op het gebied van consultancy of advisering afhankelijk is van diverse factoren en omstandigheden, zoals de kwaliteit van de gegevens en informatie die Opdrachtgever verstrekt en de medewerking van Opdrachtgever en relevante derden.
  3. De dienstverlening van Embrace wordt uitsluitend verricht op de gebruikelijke werkdagen en -tijden van Embrace. 
  4. Het gebruik dat Opdrachtgever maakt van een door Embrace afgegeven advies en/of consultancyrapport is steeds voor risico van Opdrachtgever. De bewijslast dat (de wijze van) advies- en consultancydiensten niet voldoen aan hetgeen schriftelijk is overeengekomen of aan hetgeen van een redelijk handelend en bekwaam opdrachtnemer mag worden verwacht, berust geheel bij Opdrachtgever, onverminderd het recht van Embrace met alle middelen tegenbewijs te leveren.
  5. Zonder voorafgaande schriftelijke toestemming van Embrace is Opdrachtgever niet gerechtigd een mededeling aan een derde te doen over de werkwijze, de methoden en technieken van Embrace en/of de inhoud van de adviezen of rapportages van Embrace. Opdrachtgever zal de adviezen of rapportages van Embrace niet aan een derde verstrekken of anderszins openbaar maken.
  6. Opdrachtgever is voor de advisering- en consultancydiensten de vergoeding verschuldigd die is opgenomen in de Overeenkomst. De te betalen vergoeding wordt naar keuze van Embrace berekend op basis van: (i) een ureninschatting en de daarbij behorende kosten in de Overeenkomst of (ii) nacalculatie. Als de in de Overeenkomst ingeschatte uren en kosten worden overschreden, zullen de kosten van een dergelijke overschrijding aan Opdrachtgever in rekening worden gebracht op basis van nacalculatie.  

Bijlage 1: Verwerkersovereenkomst

Deze verwerkersovereenkomst is een bijlage bij iedere overeenkomst waarbij een Applicatie wordt afgenomen (hierna: de Overeenkomst) tussen Opdrachtgever (hierna: Verwerkingsverantwoordelijke) en Embrace (hierna: Verwerker) en waarop
de Algemene Voorwaarden van toepassing zijn.

De begrippen in deze Verwerkersovereenkomst hebben de betekenis die artikel 4 AVG daar aan geeft. In aanvulling daarop gelden de definities (steeds aangeduid met een hoofdletter) zoals opgenomen in de Voorwaarden.

1. Verwerking van Persoonsgegevens

  1. Verwerkingsverantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de verwerkingsverantwoordelijke in de zin van artikel 4, zevende lid, AVG. Verwerker is verwerker in de zin van artikel 4, achtste lid, AVG.
  2. Verwerker verwerkt de Persoonsgegevens slechts op basis van schriftelijke instructies van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen. Een overzicht van de aard en het doeleinde van de Verwerking, alsmede de categorieën Persoonsgegevens en betrokkenen, is uiteengezet in Bijlage A bij deze Verwerkersovereenkomst.
  3. Verwerkingsverantwoordelijke staat er tegenover Verwerker voor in dat de aan Verwerker opgedragen Verwerking van de Persoonsgegevens in overeenstemming is met de toepasselijke Privacywetgeving en geen inbreuk maakt op enig recht van een Derde. 
  4. Verwerker verplicht zich te handelen conform de geldende Privacywetgeving, waaronder in ieder geval begrepen de AVG en de Uitvoeringswet.
  5. Verwerker heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens en neemt geen zelfstandige beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de Persoonsgegevens.
  6. Verwerker verplicht zich om de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel/de doeleinden waarvoor de gegevens aan Verwerker zijn verstrekt of aan hem bekend zijn geworden.
  7. Verwerker verschaft enkel toegang tot de Persoonsgegevens aan zijn medewerkers voor zover dit nodig is voor het verrichten van de diensten op grond van de Overeenkomst.
  8. Verwerker zal geen Persoonsgegevens aan een Derde verstrekken tenzij de verstrekking plaatsvindt in het kader van de uitvoering van de Overeenkomst en/of deze Verwerkersovereenkomst, een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke, op grond van een wettelijke verplichting of op bevel van een gerechtelijke of bestuurlijke instantie. 
  9. Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daartoe overgaan, na kennisgeving aan de Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden. 
  10. Verwerker zal medewerking verlenen aan Verwerkingsverantwoordelijke voor zover dat nodig is om Verwerkingsverantwoordelijke in de gelegenheid te stellen om aan zijn verplichtingen uit hoofde van de
    Privacywetgeving te voldoen. Eventuele kosten die Verwerker in verband hiermee maakt, mogen door Verwerker aan Verwerkingsverantwoordelijke in rekening worden gebracht. 
  11. Indien, naar zijn mening, een verzoek of instructie van Verwerkingsverantwoordelijke een inbreuk oplevert op de AVG of andere toepasselijke Privacywetgeving, zal Verwerker Verwerkingsverantwoordelijke hiervan in kennis stellen. 

2. Beveiligingsmaatregelen en controle

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, omvang, context en verwerkingsdoeleinden, en met de risico’s die de verwerking met zich meebrengt voor de betrokkenen, treft Verwerker met betrekking tot de Persoonsgegevens welke in opdracht van Verwerkingsverantwoordelijke worden verwerkt alle passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
    1. maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in Bijlage A;
    2. maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige Verwerking, toegang of openbaarmaking; 
    3. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van de diensten aan Verwerkingsverantwoordelijke; 
    4. maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te realiseren, een en ander zoals nader uitgewerkt in Bijlage B.
  2. De door Verwerker in acht te nemen beveiligingsmaatregelen worden nader beschreven in Bijlage B.
  3. Verwerkingsverantwoordelijke heeft het recht om, eens per jaar of bij een concreet vermoeden van niet-naleving, toe te (laten) zien op de naleving van het hiervoor onder 2.1 omschreven. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, in staat dit te (laten) controleren. Eventuele kosten die Verwerker moet maken om aan een dergelijk verzoek te voldoen, mogen door Verwerker aan Verwerkingsverantwoordelijke in rekening worden gebracht. 
  4. Partijen zijn zich bewust van de zelfstandige controlebevoegdheden van de Autoriteit Persoonsgegevens en zullen deze toezichthouder toegang verstrekken en medewerking verlenen aan een onderzoek met betrekking tot de op grond van deze Verwerkersovereenkomst verwerkte Persoonsgegevens. Eventuele kosten die Verwerker moet maken om aan een dergelijk verzoek te voldoen, mogen door Verwerker aan Verwerkingsverantwoordelijke in rekening worden gebracht. 
  5. Verwerkingsverantwoordelijke stemt ermee in dat door middel van de Applicatie van Verwerker Persoonsgegevens zullen worden verwerkt welke niet door Verwerker worden gecontroleerd.
    Verwerkingsverantwoordelijke is, tenzij anders overeengekomen in deze Verwerkersovereenkomst, verantwoordelijk voor:
    • de gegevens die in de Applicatie worden ingevoerd en het vaststellen van de juistheid en de rechtmatigheid van die gegevens; en
    • het veilige gebruik van de Applicatie, met inbegrip van de beveiliging van de accountgegevens etc. die Verwerkingsverantwoordelijke gebruikt om toegang te krijgen tot de Applicatie, de opslag van eventuele kopieën van gegevens buiten de Applicatie en de bescherming van de veiligheid van de Persoonsgegevens tijdens de doorvoer van en naar de Applicatie. 

3. Datalekken

  1. Verwerker stelt Verwerkingsverantwoordelijke in staat om passende vervolgstappen te nemen ten aanzien van een Datalek, waaronder het kunnen beoordelen van een Datalek en het tijdig en adequaat kunnen informeren van Toezichthouder(s) en Betrokkenen en verleent Verwerkingsverantwoordelijke alle daartoe redelijkerwijs benodigde medewerking. Verwerker zal in ieder geval informatie verstrekken ten aanzien van het volgende:
    • de aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal betrokkenen in kwestie;
    • de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;
    • de vastgestelde en verwachte gevolgen van het Datalek voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en
    • de maatregelen die Verwerker heeft getroffen en zal treffen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van het Datalek.
  2. Indien Verwerker kennis heeft genomen van een Datalek informeert Verwerker Verwerkingsverantwoordelijke onverwijld na ontdekking en zal Verwerker alle benodigde maatregelen nemen om (verdere) schending of inbreuken betreffende de Verwerking van de Persoonsgegevens te voorkomen, of te beperken. 
  3. In geval van een Datalek zal Verwerkingsverantwoordelijke voldoen aan wettelijke meldingsplichten. Op verzoek van Verwerkingsverantwoordelijke zal Verwerker Verwerkingsverantwoordelijke hierin bijstaan en adviseren. Voor deze ondersteuning zal door Verwerker een redelijke vergoeding in rekening worden gebracht aan
    Verwerkingsverantwoordelijke, tenzij in de Overeenkomst anders is overeengekomen. 

4. Rechten betrokkene

  1. Een klacht, bezwaar of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke, die verantwoordelijk is voor de afhandeling van de klacht, het bezwaar of het verzoek. 
  2. Verwerker verleent Verwerkingsverantwoordelijke op verzoek alle redelijke medewerking om Verwerkingsverantwoordelijke in staat te stellen binnen de wettelijke termijn te voldoen aan de verplichtingen op grond van de geldende Privacywetgeving, meer in het bijzonder doch niet uitsluitend de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering, afscherming, bezwaar maken tegen de Verwerking van, of een verzoek tot overdraagbaarheid van Persoonsgegevens. Eventueel met de ondersteuning van Verwerker gepaard gaande kosten mag Verwerker aan Verwerkingsverantwoordelijke doorbelasten. 

5. Aansprakelijkheid

  1. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de bepaling uit de Overeenkomst geldt.

6. Looptijd, wijziging en beëindiging

  1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlengingen daarvan. Bij tegenstrijdigheid tussen bepalingen uit deze Verwerkersovereenkomst en de Overeenkomst prevaleren de bepalingen uit deze Verwerkersovereenkomst.
  2. Verwerkingsverantwoordelijke en Verwerker treden met elkaar in overleg over wijzigingen in deze Verwerkersovereenkomst als een wijziging in (de uitleg van) regelgeving, of een wijziging in de dienstverlening van Verwerkingsverantwoordelijke dan wel Verwerker daartoe aanleiding geven. Een wijziging van deze Verwerkersovereenkomst kan uitsluitend schriftelijk overeengekomen worden.
  3. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
  4. Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, zal Verwerker, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens vernietigen of teruggeven aan Verwerkingsverantwoordelijke, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen.

7. Vertrouwelijkheid en inschakelen Subverwerkers

  1. De Verwerker heeft algemene toestemming van de Verwerkingsverantwoordelijke om Subverwerkers in te schakelen ter uitvoering van de Overeenkomst. Verwerker zal de Verwerkingsverantwoordelijke ten minste 20 werkdagen van tevoren schriftelijk informeren over de beoogde toevoeging/vervanging van Subverwerkers, zodat de Verwerkingsverantwoordelijke bezwaar kan maken tegen de toevoeging/verandering.
  2. In het geval Verwerker een Subverwerker inschakelt zal er tussen beide eveneens een overeenkomst worden gesloten. Verwerker zal soortgelijke verplichtingen, waaronder met name de verplichting met betrekking tot het toepassen van passende technische en organisatorische maatregelen, opleggen aan de Subverwerker.
  3. De bij het aangaan van de Overeenkomst en deze Verwerkersovereenkomst door Verwerker ingeschakelde Subverwerkers zijn weergegeven in Bijlage C.
  4. Verwerker zorgt ervoor dat een ieder, waaronder zijn medewerkers en Subverwerkers, die betrokken is bij de Verwerking van de Persoonsgegevens deze gegevens vertrouwelijk behandelt.
  5. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Verwerkingsverantwoordelijke te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

8. Doorgifte van persoonsgegevens

  1. Doorgifte van Persoonsgegevens aan een land buiten de Europese Economische Ruimte (“EER”) of aan een internationale organisatie, geschiedt uitsluitend in overeenstemming met deze Verwerkersovereenkomst en de AVG.

9. Slotbepalingen

  1. Op deze Verwerkersovereenkomst is uitsluitend het Nederlandse recht van toepassing.
  2. Alle geschillen die ontstaan naar aanleiding van deze Verwerkersovereenkomst worden beslecht op dezelfde wijze als opgenomen in de Overeenkomst.

Bijlage A: Verwerkingen en doeleinden

1. Omschrijving verleende diensten

Social: Deze digitale werkplek maakt het medewerkers gemakkelijk om vragen te stellen, ideeën uit te wisselen en om samen te werken met collega’s. Verzamel ideeën en perspectieven van de experts en creëer een eigen kennisbank. Weet wat er speelt, deel informatie en werk samen aan een project. Of de medewerker nou onderweg is of gewoon op kantoor, altijd en overal toegang tot de digitale werkplek. Beheer alle informatie, communicatie en documentatie op één plek.

Customers: Dit klantvolgsysteem biedt alles wat je nodig hebt om huurders zo goed mogelijk van dienst te zijn. De communicatie die via verschillende kanalen verloopt, zoals via de chatfunctie (real-time) in Embrace portals, telefonie (via callcenter of telefoniesysteem in de browser) of WhatsApp (messaging tool), komen binnen op één centrale plek. De klantgesprekken worden geautomatiseerd waar het kan en er wordt persoonlijk antwoord gegeven waar het nodig is. De gesprekhistorie met de klant wordt verzameld op één tijdlijn om te weten wat er speelt en het kunnen bieden van passende hulp. Maak gebruik van klantkaarten om klantgegevens in te zien en eerdere contactmomenten op te vragen. 

Housing: Met dit woonruimteverdeelsysteem kunnen woningen, short-stay-woningen en studentenhuisvesting nog sneller verhuurd worden. Geef digitaal aan waar de verhuring aan moet voldoen en de rest wordt automatisch geregeld. De woningzoekende kan vervolgens direct zelf aan de slag. Van zoeken naar vinden, vanuit een persoonlijke pagina. In één oogopslag wordt inzicht gekregen in data en de status van objecten, van één woningcorporatie of een hele regio, door middel van een helder dashboard.

Portals: Met dit klantportaal kunnen huurders hun zaken zelf regelen met zelfbedieningsscenario’s. Portals verbindt selfservice naadloos met kennis. Via dit klantportaal kunnen huurders antwoord vinden op de meeste vragen in de kennisbank, en/ of een aanvraag indienen, waarna ze via Track en Trace op de hoogte worden gehouden van elke stap in het proces. Telkens wanneer de klant inlogt op het portaal, worden alle velden automatisch gevuld met de gegevens van die klant (klantherkenning). 

2. Grondslagen voor gegevensverwerking

De Persoonsgegevens worden verwerkt op basis van één dan wel meerdere van de volgende grondslagen:

  • De uitvoering van een overeenkomst;
  • Toestemming;
  • Het voldoen aan een wettelijke verplichting;
  • Een gerechtvaardigd belang.

3. Bewaartermijnen

De Persoonsgegevens worden door Verwerker bewaard in overeenstemming met de AVG en specifieke dwingende wettelijke bewaartermijnen. De gegevens worden niet langer bewaard dan strikt noodzakelijk is om de doelen te bereiken, waarvoor de gegevens verzameld zijn en om aan wettelijke verplichtingen te voldoen. 

4. Doeleinden Verwerkingen

De Verwerker is leverancier van een digitaal product en/of digitale dienst, te weten het leveren van digitale werkplekken (“Social”) en/of digitaal klantvolgsysteem (“Customers”) en/of digitaal woonruimte verdeelsysteem (“Housing”) en/of
klantportaal (“Portals”). De doelstelling van gegevensverwerking in het kader van diensten is:

  • om de Diensten van Embrace te leveren, te onderhouden en te faciliteren conform de afspraken die zijn gemaakt tussen Verwerkersverantwoordelijke en Verwerker.
  • om de Verwerkingsverantwoordelijke toegang te bieden tot de gegevens van Social en/of Customers en/of Housing en/of Portals en deze toegang te handhaven;
  • de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de Verwerkte Persoonsgegevens;

Artikel 5.1 en/of 5.2 en/of 5.3 en/of 5.4 van deze bijlage maakt, afhankelijk van de door Verwerkingsverantwoordelijke af te nemen Applicatie, onderdeel uit van de Verwerkersovereenkomst tussen Verwerkingsverantwoordelijke en Verwerker met betrekking tot de gegevensverwerkingen.

5.1 Categorieën en soorten Persoonsgegevens Social

Tot de Betrokkenen behoren in ieder geval interne en/of externe gebruikers van de klant. De volgende categorieën Persoonsgegevens worden, van de categorieën Betrokkenen, in ieder geval mogelijk* verwerkt:

  • Basisinformatie, zoals voor- en achternaam, functie, geboortedatum en profielfoto;
  • Contactgegevens, zoals e-mailadres, telefoonnummer, werktijden, afdeling en afwezigheidsassistent;
  • Alle overige Persoonsgegevens die wij verkrijgen voor de hieronder genoemde doeleinden.

⃰ De Verwerkingsverantwoordelijke kan zelf bepaalde keuzes maken in Social met betrekking tot de Persoonsgegevens die worden verwerkt.

5.2 Categorieën en soorten Persoonsgegevens Customers

Tot de Betrokkenen behoren in ieder geval huurders, medewerkers, leveranciers, aannemers, stakeholders, onderhoudsbedrijven etc. De volgende categorieën Persoonsgegevens worden, van de categorieën Betrokkenen, in ieder geval mogelijk* verwerkt:

  • Basisinformatie, zoals voor- en achternaam, woonplaats, geboortedatum en burgerlijke staat;
  • Contactgegevens, zoals telefoonnummer en e-mailadres;
  • Financiële informatie, zoals IBAN/bankrekeningnummer;
  • Alle overige Persoonsgegevens die wij verkrijgen voor de hieronder genoemde doeleinden.

⃰ De Verwerkingsverantwoordelijke kan zelf bepaalde keuzes maken in Customers met betrekking tot de Persoonsgegevens die worden verwerkt.

5.3 Categorieën en soorten Persoonsgegevens Housing

Tot de Betrokkenen behoren in ieder geval woningzoekenden en (potentiële) huurders. De volgende categorieën Persoonsgegevens worden, van de categorieën Betrokkenen, in ieder geval verwerkt:

  • Basisinformatie, zoals voor- en achternaam, woonplaats, geboortedatum, AOW-leeftijd en woonsituatie;
  • Contactgegevens, zoals telefoonnummer en e-mailadres;
  • Financiële informatie, zoals IBAN/bankrekeningnummer;
  • Alle overige Persoonsgegevens die wij verkrijgen voor de hierboven genoemde doeleinden.

5.4 Categorieën en soorten Persoonsgegevens Portals

Tot de Betrokkenen behoren in ieder geval de huurders en medewerkers van de Verwerkingsverantwoordelijke zelf. De volgende categorieën Persoonsgegevens worden, van de categorieën Betrokkenen, in ieder geval mogelijk verwerkt:

  • Basisinformatie, zoals voor- en achternaam;
  • Contactgegevens, zoals telefoonnummer en e-mailadres;
  • Alle overige Persoonsgegevens die wij verkrijgen voor de hieronder genoemde doeleinden.

Bijlage B: Beveiligingsmaatregelen

Embrace verwerkt in opdracht van haar klanten Persoonsgegevens, en hierdoor is zij verplicht om technische en organisatorische maatregelen te nemen. Deze geïmplementeerde maatregelen zijn nodig om de bepalingen van de gegevensbeschermingswetgeving, in het bijzonder de Algemene Verordening Gegevensbescherming (afgekort: AVG), te kunnen waarborgen en zijn alleen nodig als de inspanning in verhouding staat tot het beoogde beschermingsdoel. Embrace heeft onder anderen de volgende beveiligingsmaatregelen getroffen:

OnderwerpMaatregel
Beschermende maatregelen voor fysieke toegangscontrole– Embrace maakt gebruik van (ISO, NEN en/of ISAE) gecertificeerde datacenters;
– Alleen bevoegde personen mogen de infrastructuur van IT-faciliteiten betreden;
– Bedrijfsregels voor het toekennen, wijzigen en intrekken van toegangsrechten;
– De in- en uitgangen van onze gebouwen worden gecontroleerd via kaartlezers;
– De entree van datacenters zijn voorzien van videobewaking en hier is een inbraakalarmsysteem geïnstalleerd om onbevoegde toegang te voorkomen;
– Voor werknemers zijn voorschriften om de arbeidsmiddelen te beschermen tegen toegang van derden.
Beveiligingsmaatregelen voor logische toegangscontrole– Medewerkers hebben alleen toegang tot de systemen/software die nodig zijn in het kader van hun gedefinieerde functies en verantwoordelijkheden;
– Er zijn regels voor het toekennen, wijzigen en intrekken van toegangsrechten;
– Toegang tot voor de medewerker relevante software vindt plaats met persoonsgebonden inloggegevens;
– Wachtwoorden moeten minimaal zestien tekens lang zijn en bestaan uit een combinatie van hoofdletters/kleine letters, cijfers en speciale tekens;
– Wachtwoorden worden automatisch gegenereerd door een wachtwoordmanager;
– Het netwerk is beveiligd door de modernste applicaties (firewall, inbraakdetectie/inbraakpreventiesysteem (afgekort: IDS/IPS) enzovoort);
– Antivirusoplossingen worden in principe op serversystemen en bij klanten geïnstalleerd. In principe omdat hier voor sommige testen van af kan worden geweken. Deze antivirusoplossingen worden regelmatig bijgewerkt.
– Bij thuiswerken worden alleen zakelijke laptops gebruikt. Toegang tot het Embrace netwerk gebeurt met een persoonlijke VPN. Authenticatie tot onze omgevingen vindt plaats met een multi-factor authenticatie.
Beschermende maatregelen voor datagebruik– Er is een gedocumenteerd autorisatiebeleid waarin is benoemd hoe autorisaties kunnen worden aangevraagd, vrijgegeven, gewijzigd en weer ingetrokken. Alle autorisaties zijn onderdeel van de audit en worden periodiek gecontroleerd;
– Er wordt onderscheid gemaakt tussen lees-, schrijf- en wisbevoegdheden binnen de systemen waar dit voor van toepassing is;
– Medewerkers hebben alleen toegang tot de systemen/software die nodig zijn in het kader van hun gedefinieerde functies en verantwoordelijkheden;
– Toegang tot en wijzigingen in relevante systemen/software wordt gelogd;
– Wijzigingen in code kunnen niet eenzijdig worden toegepast, dit zal altijd door een tweede persoon moeten worden goedgekeurd.
Beschermende maatregelen voor overdrachtscontrole– De lokale harde schijf van onze klanten zijn volledig versleuteld;
– Alle verwijderbare media zijn versleuteld en gebruik wordt tot minimum beperkt;
– Speciale procedures worden gecoördineerd en gebruikt voor gegevensoverdrachten aan klanten of dienstverleners. Hiervoor is een secure file transfer programma beschikbaar.
Beschermende maatregelen voor inputcontrole– Afhankelijk van de mogelijkheden van de systemen/software wordt naast de toegangscontrole, invoer en wijzigingen gelogd met gebruikerscode en tijdstempel;
– Wachttermijnen zijn afhankelijk van wettelijke klantspecificaties of intern gedefinieerde bewaartermijnen;
– Wijzigingen in code kunnen niet eenzijdig worden toegepast, dit zal altijd door een tweede persoon moeten worden goedgekeurd.
Beschermende maatregelen voor het verwerken– Voor de verwerking zijn Verwerkersovereenkomsten afgesloten;
– Alle medewerkers van Embrace zijn verplicht tot geheimhouding;
– Medewerkers van Embrace ontvangen schriftelijke informatie over hoe om te gaan met Persoonsgegevens;
– Medewerkers van Embrace krijgen training over gegevensbeveiliging.
Beschermende maatregelen voor beschikbaarheidscontrole en systeemherstel– Er wordt getracht de beschikbaarheid, vertrouwelijkheid, integriteit en authenticiteit van de gegevens te allen tijde te garanderen gedurende het contract en de bewaartermijn en dat de nodige IT-systemen/applicaties beschikbaar zijn;
– Er is een noodplan, een herstartplan en een back-upbeleid;
– De IT-systemen zijn voldoende beveiligd tegen brand, oververhitting, waterschade, overbelasting en stroomuitval;
– Oude of onbruikbare gegevensdragers worden vernietigd via afgesloten bakken door een serviceprovider welke een NAID lid is;
– Antivirusoplossingen worden in principe op serversystemen en bij klanten geïnstalleerd. Deze antivirusoplossingen worden regelmatig bijgewerkt;
– Beveiligingsrelevante software-updates en patches worden regelmatig geïmporteerd;
– Het bedrijfsnetwerk wordt tegen inbraak beschermd door een firewall en een inbraakdetectie-/inbraakpreventiesysteem (IDS/IPS).
Beschermende maatregelen voor de gescheiden omgevingen– Systeemwijzigingen aan de IT of de gebruikte softwareproducten worden gecontroleerd op functionaliteit op een ontwikkel-, test- en acceptatieomgeving voordat ze gecontroleerd worden overgedragen naar het productiesysteem;
– In de systemen is een vereiste scheiding van klanten ingericht.
Beschermende maatregelen van pseudonimisering en versleuteling– Persoonlijke gegevens worden waar mogelijk gepseudonimiseerd. Ook zijn er testdatasets aanwezig met actieve data.
Beschermende maatregelen van de doeltreffendheidscontrole

– De effectiviteit van de technische en organisatorische maatregelen wordt gecontroleerd door o.a. de volgende activiteiten:
– Opzetten en laten auditen van een informatiebeveiligingsbeheersysteem volgens de ISO27001 en NEN7510;
– Certificeringstrajecten voor de (inter)nationale normen voor informatiebeveiliging: de ISO27001 & NEN7510. Embrace is sinds 2016 gecertificeerd;
– Opzetten van een beheersysteem voor gegevensbescherming;
– IT-specifieke audits van de interne audits van het Embrace-netwerk;
– Coördinatoren voor informatiebeveiliging en gegevensbescherming verspreid over het hele Embrace-netwerk;
– Technische kwetsbaarheidscontroles door gespecialiseerde dienstverleners (security scans, penetratietesten en bugbounty programma’s).