Privacy – MultiModus

AVG Privacy beleid

Algemene Verordening Gegevensbescherming (AVG)

Overview

25 mei 2018 is de Algemene Verordening Gegevensbescherming (‘Verordening’ of ‘AVG’) rechtstreeks van toepassing in alle lidstaten van de Europese Unie. De Verordening is de opvolger van de Wet bescherming persoonsgegevens in Nederland. Het doel van de Verordening is om twee belangen te waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie (‘EU’).

In dit document wordt het Privacybeleid van MultiModus beschreven. Het Privacybeleid heeft betrekking op het verzamelen en verwerken van persoonsgegevens van Opdrachtgevers van MultiModus, gegevens die Opdrachtgevers van MultiModus in de systemen/software verwerken die MultiModus, al dan niet via een samenwerking met externe partijen, aanbiedt en de gegevens van medewerkers van MultiModus.

Doelstelling van het privacybeleid:

Uitleg geven met betrekking tot hoe MultiModus compliant is met de AVG;
Intern bewustzijn creëren met betrekking tot de maatregelen die MultiModus getroffen heeft ter uitvoering van de AVG;
Ondersteuning bieden aan de naleving en toetsing van de maatregelen die MultiModus getroffen heeft ter uitvoering van de AVG.

Het document is voor intern en extern gebruik.

In dit Privacybeleid komen de volgende onderwerpen aan de orde:

Verwerkingsregister;
Type persoonsgegevens en doelen;
Informatieplicht;
Rechten van betrokkenen;
Beveiliging;
Derde partijen;
Datalekken;
Bewaartermijnen;
Privacy impact assessment;
Doorgifte persoonsgegevens;
Functionaris gegevensverwerking.

De protocollen en overige documenten waarnaar in dit Privacybeleid wordt verwezen zijn als bijlage aan het Privacybeleid gehecht.

Dit Privacybeleid zal jaarlijks worden geëvalueerd. Indien vereist zal het Privacybeleid en de protocollen worden aangepast. Daarnaast vindt aanpassing plaats indien blijkt dat het Privacybeleid aanpassing behoeft.

Definities

Persoonsgegevens
Alle informatie die direct of indirect tot een persoon te herleiden is. Hieronder vallen naast NAW gegevens ook alle andere gegevens die MultiModus verzamelt zoals via administratieve systemen, software en enige andere vorm van communicatie tussen Opdrachtgevers en MultiModus.

Verwerkingsverantwoordelijke
Degene die, alleen of samen met anderen, het doel, van en de middelen voor de verwerking van persoonsgegevens vaststelt. Derhalve de partij die bepaalt wat er met de gegevens gebeurt. De Opdrachtgever van MultiModus is als verwerkingsverantwoordelijke aan te merken.

Verwerker
Een partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Deze partij bepaalt niet voor welk doel de gegevens worden verzameld en gebruikt. MultiModus is als aanbieder van administratieve dienstverlening als verwerker aan te merken.

In Bijlage I is een toelichting opgenomen ten aanzien van toepasselijkheid van de AVG op de verwerkingen van MultiModus.

In Bijlage II is een toelichting opgenomen ten aanzien van de toepasselijke wet- en regelgeving.

In Bijlage III is een toelichting verwerker opgenomen.

2. Privacybeleid

2.1 Type persoonsgegevens

MultiModus is verwerker van (persoons)gegevens. Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde, of identificeerbare natuurlijke persoon (betrokkene):

Bedrijfsgegevens en transactiedata (financieel en niet-financieel) in het geval van een eenmanszaak in basisgegevens administratie, debiteuren, crediteuren (want de organisatie kan vereenzelvigd worden met een natuurlijke persoon)
Persoonsgegevens in basisgegevens administratie, debiteuren, crediteuren, vertegenwoordigers; dit is ook van toepassing op transacties en documenten (bijvoorbeeld facturen) als de betreffende gegevens daarop zijn vastgelegd. Een specifiek geval betreft het BSN van zzp’ers welke integraal is opgenomen in hun btw-identificatienummer. Ook persoonsgebonden e-mailadressen die gebruikt worden om service meldingen (bijvoorbeeld foutmeldingen, onderhoudsmeldingen, wachtwoordherstel, etc.) of nieuwsbrieven naartoe te sturen vallen hieronder.
Gebruikersgegevens onder gebruikersbeheer en in bijvoorbeeld logs (indien gebruikers gerelateerd zijn aan geïdentificeerde of identificeerbare natuurlijke personen)
Salarisboekingen en andere boekingen indien gerelateerd aan een geïdentificeerde of identificeerbare natuurlijk persoon (bijvoorbeeld als de namen van medewerkers worden vastgelegd in de omschrijving van salarisboekingen)
Tekenbevoegde(n) / Legal representative(s) in het kader van bankenkoppelingen.
Initiator(en) / Requestor(s) in het kader van bankenkoppelingen.
Gegevens met betrekking tot gebruikers van de software, medewerkers van een organisatie of een contact die wordt vastgelegd in het CRM systeem van MultiModus.

MultiModus verwerkt in principe geen bijzondere categorieën van persoonsgegevens. De verwerking van deze bijzondere categorieën persoonsgegevens is verboden. Vanwege vrije gegevensinvoer is het voor Opdrachtgevers van MultiModus wel mogelijk om dergelijke gegevens in te voeren. MultiModus legt de verantwoordelijkheid hiervoor expliciet bij de gebruiker en accepteert geen aansprakelijkheid voor de verwerking van deze gegevens. Dit geldt eveneens voor persoonsgegevens van strafrechtelijke aard.

MultiModus verwerkt financiële gegevens, welke (afhankelijk van specifieke context) als ‘gevoelige gegevens’ geclassificeerd zouden kunnen worden. Op basis van de inschatting die MultiModus heeft gemaakt van de mate van gevoeligheid van de gegevens, zijn naar mening van MultiModus passende maatregelen getroffen. De betreffende maatregelen zijn in dit document opgenomen.

Een nationaal identificatienummer is een bij wet vastgesteld uniek nummer. In Nederland is het bekendste nationale identificatienummer het burgerservicenummer (BSN). Het BSN van zzp’ers is integraal opgenomen in hun btw-identificatienummer. Zzp’ers hebben de verplichting om hun BTW-nummer aan (potentiële) klanten bekend te maken, bijvoorbeeld op hun website en op facturen. Om deze reden is het mogelijk dat er door MultiModus BSN’s worden verwerkt. Er is hiervoor dus een specifiek doel. MultiModus volgt hierin de Belastingdienst en gaat met BSN’s om zoals er in het reguliere maatschappelijk verkeer wordt omgegaan.

Binnen MultiModus (zowel de gebruikte software als de organisatie) wordt gebruik gemaakt van gepseudonimiseerde gegevens, welke mogelijkheid bieden tot identificatie middels herleiding, koppeling of deductie. Voorbeelden zijn klantnummers en administratienummers. In het kader van de AVG zijn gepseudonimiseerde gegevens wel persoonsgegevens, maar zijn gepseudonimiseerde gegevens ook een goede maatregel is om persoonsgegevens te beschermen en te beveiligen. Bij het nemen van passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens neemt MultiModus daarom ook pseudonimisering van gegevens mee.

2.2 Doeleinden gegevensverwerking

Verwerking van persoonsgegevens vindt onder de volgende voorwaarden als plaats:

MultiModus heeft duidelijk bepaalde en gerechtvaardigde doelen voor het verzamelen van persoonsgegevens;
MultiModus heeft uitdrukkelijk omschreven doelen voor het verzamelen van persoonsgegevens

MultiModus kent op hoofdlijnen drie doelen voor het verzamelen van persoonsgegevens:

Om Opdrachtgevers van MultiModus te faciliteren in hun wensen om een online administratie te voeren, om MultiModus in staat te stellen deze administratie te kunnen benaderen ter controle en/of correctie, om MultiModus in staat te stellen de administratie in zijn geheel te kunnen verzorgen of om dit in samenwerking met de Opdrachtgever te doen.

Wensen van Opdrachtgevers kunnen wettelijke vereisten omvatten met betrekking tot het voeren van een administratie, maar ook Opdrachtgevers specifieke of algemene (niet-wettelijke) wensen of eisen. Een voorbeeld van dat laatste kan zijn een Opdrachtgever die medewerkers als kostenplaatsen wil vastleggen om de totale kosten per medewerker te registreren en rapporteren. De Opdrachtgever van MultiModus bepaalt hierbij zelf wat er wordt vastgelegd in de toepasselijke systemen/software en MultiModus verwerkt deze gegevens overeenkomstig.
MultiModus hecht veel waarde aan het aan haar Opdrachtgever aanbieden van flexibel te gebruiken systemen/software en biedt om die reden veel mogelijkheden tot gegevensvastlegging. MultiModus zelf verplicht echter geen vastlegging van persoonsgegevens en zal zelf ook geen persoonsgegevens toevoegen, anders dan eventuele verrijking vanuit publiek beschikbare bronnen zoals de KvK (bijvoorbeeld voor de adresgegevens van een eenmanszaak crediteur, of de tekenbevoegde(n) van een juridische entiteit van een Opdrachtgever welke betalingsdiensten wenst te gebruiken). Vastlegging geschiedt dus altijd direct of indirect op initiatief van de Opdrachtgever van MultiModus (de verwerkingsverantwoordelijke). Gegevens kunnen vastgelegd worden via bestand en gegevens invoer (via verschillende kanalen en eventueel bewerkingen zoals OCR), of via koppelingen (zoals met een separate app, de KvK, banken of salarispakketten). De verwerkingsverantwoordelijke zal hiertoe aan MultiModus opdracht moeten geven zoals bijvoorbeeld de salarisverwerker of aanbieder van online diensten die in opdracht van MultiModus gegevens verwerkt. Deze partijen treden eveneens op als verwerker en hebben om die reden de bijbehorende verantwoordelijkheden (op basis van o.a. de AVG). Vanwege naar mening van MultiModus dwingende praktische overwegingen, hanteert MultiModus de expliciete aanname dat de betreffende verwerker handelt in opdracht van de verwerkingsverantwoordelijke. MultiModus legt de verantwoordelijkheid hiervoor expliciet bij de betreffende verwerker, zal de gegevens verwerken als ware deze geïnitieerd door de verwerkingsverantwoordelijke zelf, en accepteert geen aansprakelijkheid indien de verwerking van gegevens in MultiModus in strijd is met de AVG als de oorzaak hiervan ligt bij een andere verwerker. Een voorbeeld is een salarisverwerker die de basisgegevens van een personeelslid van de Opdrachtgever van MultiModus aanpast in zijn eigen administratie.

MultiModus kan (persoons)gegevens op geautomatiseerde wijze benaderen voor het verbeteren van de kwaliteit van haar dienstverlening. Dit betreft analyse van gebruikersstatistieken op geaggregeerd niveau, waarbij in bepaalde gevallen naar meer gedetailleerde data kan worden gekeken om meer te leren over de door MultiModus gebruikte en/of aan Opdrachtgevers ter beschikking gestelde systemen/software. Er worden naar aanleiding van analyse van gebruikersstatistieken nooit wijzigingen aangebracht in gegevens.

Teneinde haar Opdrachtgevers goed van dienst te zijn, legt MultiModus gegevens van Opdrachtgevers vast in haar CRM systeem. Dit doel omvat bijvoorbeeld abonnementenbeheer, facturering, banktransacties, interne financiële verslaglegging, management rapportages, accountmanagement en overige vragen van Opdrachtgevers.. Deze gegevens worden niet gedeeld met personen die niet behoren tot MultiModus of aan haar gelieerde vennootschappen (die in de zin van dit statement niet gezien worden als derden), met uitzondering van door MultiModus ingehuurde derden zoals zorgvuldig geselecteerde externe verwerkers, (online) faciliteerders, adviseurs of incassobureaus en alleen indien de specifieke werkzaamheden van deze derden dit vereisen in het kader van een uitdrukkelijk omschreven doel voor het verzamelen van persoonsgegevens.
MultiModus legt gegevens van haar Opdrachtgevers, prospects en andere relaties vast in STACK van TransIp (o.a. Libre Office en Foxit PDF, opgeslagen in MultiModus LAN en Cloud). Zie voor meer informatie de MultiModus Privacy Statement. Deze gegevens omvatten mogelijk persoonsgegevens (NAW, emailadressen, tags zoals Opdrachtgever segment of communicatie voorkeuren), maar geen bijzondere categorieën van persoonsgegevens.

MultiModus verwerkt in principe geen bijzondere categorieën van persoonsgegevens . De verwerking van deze bijzondere categorieën persoonsgegevens is verboden. Vanwege vrije gegevensinvoer is het voor MultiModus gebruikers wel mogelijk om dergelijke gegevens in te voeren. MultiModus legt de verantwoordelijkheid hiervoor expliciet bij de gebruiker en accepteert geen aansprakelijkheid voor de verwerking van deze gegevens. Dit geldt eveneens voor persoonsgegevens van strafrechtelijke aard.
MultiModus kan de verwerking van persoonsgegevens baseren op ten minste één van de grondslagen uit de AVG.

De zes rechtsgrondslagen zijn:

de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.
de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Afhankelijk van specifieke scenario’s zijn van toepassing rechtsgrondslagen
A: verwerkingsverantwoordelijke geeft expliciet toestemming door akkoord te gaan met specifieke en ondubbelzinnige voorwaarden, specifieke acties te initiëren of te accorderen, of door zelf de betreffende gegevens in de systemen van MultiModus vast te leggen,
B: overeenkomst MultiModus-Opdrachtgever en/of
C: het voeren van een financiële administratie is in veel gevallen voor de verwerkingsverantwoordelijke een wettelijke verplichting.

De gegevens zijn toereikend, ter zake dienend, en beperkt tot wat noodzakelijk is om de doel(eind)en van MultiModus te bereiken. MultiModus verplicht zich niet tot het vastleggen van niet ter zake dienende of noodzakelijke (persoons)gegevens. De gebruiker kan dit op eigen initiatief en onder eigen verantwoordelijkheid wel doen indien deze dit wenst. Indien er persoonsgegevens van derden worden verwerkt in de systemen van MultiModus als gevolg van vastlegging in de systemen van MultiModus door een gebruiker of via een koppeling, dan ligt de verantwoordelijkheid voor het verkrijgen van de toestemming van de betrokkene bij de verwerkingsverantwoordelijke.
De gegevens worden niet doorgegeven naar een land buiten de EU.
MultiModus voldoet aan alle overige door de AVG aan haar gestelde verplichtingen.

Verwerkingsverantwoordelijke helpen bij uitvoeren van plichten:
- Invulling van de rechten van de betrokkene (o.a. passende beveiligingsmaatregelen treffen voor de gegevensverwerkingen die MultiModus in opdracht van de verwerkingsverantwoordelijke uitvoert)
- Uitvoeren van gegevensbeschermingseffectbeoordelingen (indien nodig)
- Melden van datalekken (indien van toepassing)
Beveiliging van gegevens

2.3 Verwerkingsregister

MultiModus heeft de hiervoor beschreven verwerkingen in een verwerkingsregister opgenomen. De verplichting om een register bij te houden geldt voor elke organisatie met meer dan 250 werknemers, voor elke organisatie die gegevens verwerkt met een hoog risico voor betrokkenen met zich meebrengt en/of die structureel persoonsgegevens verwerkt. MultiModus verwerkt structureel persoonsgegevens en dient dus een register met verwerkingsactiviteiten bij te houden.

Als Bijlage IV is het verwerkingsregister opgenomen.

In Bijlage V is een toelichting ten aanzien van de rechtmatige verwerking opgenomen.

2.4 Informatieplicht

MultiModus informeert Opdrachtgevers en gebruikers door middel van het privacy statement en een bericht aan haar Opdrachtgevers en gebruikers.

De betrokkene is doorgaans reeds op de hoogte van de informatie.
De informatie wordt doorgaans rechtstreeks verkregen bij de betrokkene.

In sommige gevallen wordt de informatie niet rechtstreeks verkregen bij de betrokkene, maar gebeurt dit wel met toestemming van de betrokkene. Een voorbeeld is bankmutaties vanuit een gekoppelde bank. Er is voor deze koppeling een expliciete aanvraag en toestemming nodig van de Opdrachtgever van MultiModus. Ook zijn er in veel gevallen aan de kant van de koppelpartner nog aanvullende maatregelen getroffen, zoals de toestemming om bankmutaties met MultiModus te delen vanuit de kant van de bank.

Via het Privacy Statement MultiModus informeert MultiModus bezoekers van haar website over over de gegevens die MultiModus verwerkt, de grondslagen van de verwerking, verwerkers en beveiliging van persoonsgegevens.

In Bijlage VI is een toelichting ten aanzien van de informatieplicht opgenomen.

2.5 Rechten van betrokkenen

Alle verzoeken waarin rechten ten aanzien van persoonsgegevens worden ingeroepen worden direct in behandeling genomen. Dit kan via de het mailadres info@multi-modus.nl of via het mobiele nummer van MultiModus.

In het Privacy Statement MultiModus staat beschreven op welke wijze MultiModus met de rechten van datasubjecten (opdrachtgevers, leveranciers, werknemers, sollicitanten en bezoekers van de website) omgaat:

Recht op:	Hoe gaat MultiModus ermee om?
Informatie en inzage	Een Data Subject heeft het recht om te zien welke gegevens MultiModus verwerkt. Ieder die daartoe een verzoek indient, kan inzage krijgen en daarnaast verstrekt MultiModus informatie over het hoe en waarom zij gegevens verwerkt.
Rectificatie van persoonsgegevens	MultiModus past foutieve gegevens aan zodra een verzoek daartoe wordt ingediend.
Verwijdering van persoonsgegevens	Indien MultiModus daartoe verzocht wordt, kan MultiModus persoonsgegevens verwijderen. Het kan echter zijn dat MultiModus persoonsgegevens niet mag verwijderen vanwege een wettelijke verplichting of een ander gerechtvaardigd belang. In dat geval blijven de gegevens gehandhaafd.
Beperking	Als iemand het idee heeft dat MultiModus persoonsgegevens onrechtmatig of onjuist verwerkt, kan een verzoek ingediend worden om de verwerking te laten beperken. MultiModus honoreert een dergelijk verzoek, tenzij dit niet kan worden ingewilligd in verband met een andere wettelijke verplichting zoals het verplicht meewerken aan Justitiële verzoeken of fiscale verplichtingen
Bezwaar	Voor de verwerking van persoonsgegevens kan ieder Data Subject bezwaar indienen. MultiModus zal een bezwaar in behandeling nemen en kenbaar maken wat zij daarmee doet. Indien het gaat om marketing, zal MultiModus verwerking beëindigen .
Overdraagbaarheid van gegevens	Een Data Subject kan Persoonsgegevens laten overdragen. Hiertoe moet een verzoek worden ingediend bij MultiModus.
Indienen van klachten	Iedereen die vindt dat MultiModus niet handelt in overeenstemming met de regelgeving, kan daarover klagen bij MultiModus. Daarnaast kan een klacht ingediend worden bij de Autoriteit Persoonsgegevens.

2.6 Derde partijen

MultiModus kan gebruik maken van professionele marktpartijen bij het aanbieden van haar diensten (bijvoorbeeld voor het omzetten van gescande facturen naar digitale facturen in UBL formaat).

Deze professionele partijen kennen een zelfstandige verplichting op het gebied van gegevensbescherming en worden door MultiModus verplicht om te voldoen aan regelgeving op het gebied van dataprotectie, voor zover zij niet reeds zelfstandig hieraan voldoen. Vragen over deze professionele marktpartijen en over hun wijze van gegevensverwerking kunnen gesteld worden aan MultiModus.

In Bijlage VII. Overzicht van marktpartijen die MultiModus gebruikt voor het aanbieden van haar diensten is het overzicht van derde partijen gevoegd. Dit overzicht wordt aangepast indien MultiModus een overeenkomst sluit of beëindigd. Met deze partijen heeft MultiModus een verwerkersovereenkomst gesloten.

2.7 Beveiliging

MultiModus werkt onder meer waar nodig met versleutelde communicatie en beveiligde verbindingen. Daarnaast heeft MultiModus maatregelen genomen met betrekking tot fysieke en logische toegangsbeveiliging. Om Opdrachtgevers het mogelijk te maken hun administratie in de Cloud op te slaan, verstrekt MultiModus via het door de Opdrachtgever opgegeven e-mailadres inloggegevens, die door Opdrachtgevers zelf kunnen worden aangepast. Hiervoor dragen Opdrachtgevers een eigen verantwoordelijkheid.

2.8 Datalekken

MultiModus beschikt over een meldprocedure voor datalekken. Deze procedure is te benaderen via de MultiModus website. De meldprocedure datalekken is als Bijlage VII aan dit Privacybeleid gehecht.

2.9 Bewaartermijnen

Persoonsgegevens worden verwerkt voor de duur die noodzakelijk is. Uitgangspunt is dat een termijn wordt aangehouden van maximaal 7 jaar na beëindiging van de overeenkomst die Opdrachtgever met MultiModus is aangegaan.

2.10 Privacy impact assessment

MultiModus voert bij de elke nieuwe verwerking van persoonsgegevens en bij de ontwikkeling van nieuwe producten en software een privacy impact assessment (PIA) uit, tenzij vooraf al is vastgesteld dat de verwerking geen of een beperkt risico met zich meebrengt.

De PIA bevat in ieder geval een systematische beschrijving van de (beoogde) gegevensverwerkingen en de doeleinden hiervan. Ook wordt beoordeeld of de nieuwe verwerking noodzakelijk is en of deze proportioneel is gelet op het doel dat wordt beoogd. Tot slot bevat de PIA een beschrijving van de maatregelen die MultiModus neemt om geconstateerde risico’s aan te pakken. De bevindingen naar aanleiding van een PIA worden door MultiModus schriftelijk vastgelegd in een verslag.

2.11 Doorgifte buiten EER

Alle gegevens die MultiModus verwerkt worden uitsluitend verwerkt binnen de EU en niet uitgewisseld met derden buiten de EU.

2.12 Functionaris gegevensbescherming

MultiModus heeft niet de verplichting om een Functionaris voor gegevensbescherming (FG) aan te stellen: MultiModus is geen overheidsinstantie of overheidsorgaan, is niet hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen, en is niet hoofdzakelijk belast met verwerkingen die de grootschalige verwerking van bijzondere categorieën van persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten behelzen. MultiModus mag wel vrijwillig een FG aanstellen en overweegt om dat te doen. MultiModus zal (vooralsnog) geen FG aanstellen.

BIJLAGEN

Bijlage I.

MultiModus verwerkt gegevens:

Verzamelen; vastleggen; opslaan; wijzigen; opvragen; raadplegen; gebruiken; verstrekken; wissen; vernietigen

Deze gegevens zijn (gedeeltelijk) persoonsgegevens:

Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde, of identificeerbare natuurlijke persoon (betrokkene):

Bedrijfsgegevens en transactiedata (financieel en niet-financieel) in het geval van een eenmanszaak in basisgegevens administratie, debiteuren, crediteuren (want de organisatie kan vereenzelvigd worden met een natuurlijke person)
Persoonsgegevens in basisgegevens administratie, debiteuren, crediteuren, vertegenwoordigers; dit is ook van toepassing op transacties en documenten (bijvoorbeeld facturen) als de betreffende gegevens daarop zijn vastgelegd. Een specifiek geval betreft het BSN van zzp’ers welke integraal is opgenomen in hun btw-identificatienummer. Ook persoonsgebonden e-mailadressen die gebruikt worden om service meldingen (bijvoorbeeld foutmeldingen, onderhoudsmeldingen, wachtwoordherstel, etc.) of nieuwsbrieven naartoe te sturen vallen hieronder
Gebruikersgegevens onder gebruikersbeheer en in bijvoorbeeld logs (indien gebruikers gerelateerd zijn aan geïdentificeerde of identificeerbare natuurlijke personen)
Salarisboekingen en andere boekingen indien gerelateerd aan een geïdentificeerde of identificeerbare natuurlijk persoon (bijvoorbeeld als de namen van medewerkers worden vastgelegd in de omschrijving van salarisboekingen)
Tekenbevoegde(n) / Legal representative(s) in het kader van bankenkoppelingen (alleen in Bizcuit)
Initiator(en) / Requestor(s) in het kader van bankenkoppelingen
Gegevens met betrekking tot gebruikers van de software, medewerkers van een organisatie of een contact die wordt vastgelegd in het CRM systeem van MultiModus.

De gegevensverwerking is (vrijwel) geheel geautomatiseerd
Nvt
De gegevensverwerking valt niet onder één van de uitzonderingen op het materiële toepassingsbereik van de AVG
De verwerking valt binnen het territoriale toepassingsbereik van de AVG

Conclusie:

De Verordening is op de verwerking van toepassing.

Bijlage II.

Conclusie:

Verordening van toepassing, nationale beperkingen en uitzonderingen Nederlands recht van toepassing

Bijlage III.

MultiModus is niet degene die op grond van een specifieke juridische bevoegdheid het doel en de middelen voor de verwerking vaststelt
MultiModus is niet degene die op grond van een impliciete bevoegdheid het doel en de middelen voor de verwerking vaststelt (de Opdrachtgever van MultiModus is degene die doet)
MultiModus is niet degene die feitelijk gezien invloed over de verwerking van de persoonsgegevens uitoefent en bepaalt daarom niet het doel en de middelen voor de verwerking (de Opdrachtgever van MultiModus is degene die doet)
MultiModus staat niet onder het gezag van of in een hiërarchische verhouding tot degene onder wiens verantwoordelijkheid zij de persoonsgegevens verwerkt

Conclusie: MultiModus is verwerker

MultiModus is nooit verwerkingsverantwoordelijke van de data van de Opdrachtgever, maar altijd de verwerker. De Opdrachtgever van MultiModus is de verwerkingsverantwoordelijke. MultiModus verwerkt ten behoeve van de verwerkingsverantwoordelijke mogelijk persoonsgegevens omdat de verwerking van gegevens haar primaire opdracht is en het in voorkomende gevallen mogelijk is dat dit persoonsgegevens betreft. Met andere woorden, de dienstverlening van MultiModus is gericht op het verwerken van (persoons)gegevens ten behoeve van de verwerkingsverantwoordelijke. MultiModus heeft geen zeggenschap over de verwerkingen. MultiModus mag alleen handelen onder de verantwoordelijkheid van de verwerkingsverantwoordelijke en naar diens instructies.

Bijlage IV. Verwerkingsregister

Bijlage V. Toelichting rechtmatige gegevensverwerking

Conclusie: de gegevensverwerking is rechtmatig

Bijlage VI.

Bijlage VII. Overzicht van marktpartijen die MultiModus gebruikt bij het aanbieden van haar diensten (sub-verwerkers)

ID	Marktpartij	Dienst
1.	Visma & E-Boekhouden	MultiModus en haar Opdrachtgevers maken gebruik van de apps van Visma en E-Boekhouden voor o.a. de herkenning en omzetting van documenten naar digitale bestanden, bijvoorbeeld gescande inkoop- en/of verkoopfacturen naar UBL. Tevens maken MultiModus en haar Opdrachtgevers gebruik van de online diensten van Visma en E-Boekhouden. Gegevens die worden uitgewisseld hebben betrekking op gebruikers (en hun rechten), banktransacties (indien gekoppeld), betalings- en incasso-opdrachten (indien gekoppeld), documenten (indien gekoppeld). De uitwisseling van gegevens kan worden uitgebreid om meer diensten te kunnen leveren aan MultiModus en Opdrachtgevers. Er zal om expliciete toestemming gevraagd worden indien er functionaliteiten worden gebruikt waarbij uitwisseling van gegevens plaats zal vinden, waarbij de gebruiker zal worden geïnformeerd over welke gegevens uitgewisseld zullen worden en waarom. MultiModus gebruikt de online diensten van Visma en E-Boekhouden tevens voor het doorsturen van BTW aangiftes en suppleties naar de Belastingdienst. https://www.visma.com/privacy-statement/ https://www.e-boekhouden.nl/privacy
2.	CBBS	MultiModus maakt gebruik van CBBS voor de verwerking van salarissen van Opdrachtgevers en/of het personeel van Opdrachtgevers. Alleen relevante gegevens, noodzakelijk voor correcte salarisverwerking, worden gedeeld met CBBS. Privacybeleid-CBBS-2018.pdf
3.	Gmail & TransIp	MultiModus maakt gebruik van de online diensten van Gmail en TransIp om e-mails vanuit MultiModus te versturen en te ontvangen. https://policies.google.com/privacy/embedded https://www.transip.nl/legal-and-security/privacy-policy/
4.	TransIp/Stack	MultiModus en haar Opdrachtgevers maken gebruik van de Stack app en desktop applicatie van TransIp. Gegevens die worden uitgewisseld hebben betrekking op gebruikers (en hun rechten) en privacy gevoelige documenten. De uitwisseling van gegevens kan worden uitgebreid om meer diensten te kunnen leveren aan MultiModus en Opdrachtgevers. Er zal om expliciete toestemming gevraagd worden indien er functionaliteiten worden gebruikt waarbij uitwisseling van gegevens plaats zal vinden, waarbij de gebruiker zal worden geïnformeerd over welke gegevens uitgewisseld zullen worden en waarom. https://www.transip.nl/legal-and-security/privacy-policy/
5.	TransIp/Stack	MultiModus en haar Opdrachtgevers maken gebruik van TransIp voor het hosten van haar cloud diensten. Alle gegevens worden opgeslagen in de cloud bij TransIP , waarbij de data altijd opgeslagen wordt op servers in Nederland. TransIp is compliant met EU General Data Protection / GDPR wetgeving, zie voor meer informatie: https://www.transip.nl/stack/ Alle data is tijdens transport en opslag volledig versleuteld. MultiModus hecht veel waarde aan de bescherming van de data van haar Opdrachtgevers en houdt de ontwikkelingen (o.a. ook in het kader van de AVG) goed in de gaten.
6.	Teamviewer	MultiModus maakt gebruik van de applicatie Teamviewer om remote support te leveren aan haar Opdrachtgevers. Teamviewer heeft geen toegang tot de data van MultiModus, maar de video stream waarin mogelijk MultiModus schermen, met daarop zichtbaar persoonsgegevens, loopt over de servers van Teamviewer. Om deze reden is Teamviewer voor de volledigheid in dit overzicht opgenomen. https://content.teamviewer.com/en/gdpr
7.	Lokaal geïnstalleerde applicaties en het MultiModus lokale netwerk	MultiModus kan voor de uitvoering van haar dienstverlening aan haar Opdrachtgevers mogelijk gegevens exporteren naar bestanden buiten het lokale netwerk van MultiModus voor verdere analyse of om te delen met de Opdrachtgever. Voorbeelden zijn exports van facturen of rapporten, welke geopend worden in Libre Office, Foxit Reader of andere online of offline toepassingen van derden. Het exporteren en openen van bestanden die data van Opdrachtgevers bevatten zal alleen gebeuren op verzoek van de betreffende Opdrachtgever. Deze gegevens worden bewaard binnen het beveiligde lokale netwerk van MultiModus (LAN) en/of in de gedeelde Cloud, en alleen voor de duur van de overeenkomst met de Opdrachtgever.
8.	Email	In aansluiting op het punt hierboven is het mogelijk dat MultiModus via email gegevens ontvangt van, of verstuurd naar, haar Opdrachtgevers. Het is hierbij mogelijk dat de gegevens persoonsgegevens omvatten. MultiModus maakt hierbij gebruik van de TransIp en/of Gmail online diensten. Zodra de samenwerkingsovereenkomst met Opdrachtgever is beeindigd zullen alle emails worden verwijderd.