Beveiliging bij Nmbrs

Als verwerker is onze verantwoordelijkheid aan jou, de verwerkingsverantwoordelijke. We gebruiken jouw gegevens uitsluitend om onze HR- en salarisdiensten te leveren, en handelen daarbij strikt volgens jouw instructies en de voorwaarden uit onze Verwerkersovereenkomst.

Om beveiliging en gegevenslocatie te waarborgen, staan alle klantgegevens in beveiligde Microsoft Azure-datacenters binnen de Europese Unie (EU).

We zijn transparant over de subprocessors die we inzetten om onze diensten mogelijk te maken. Eventuele gegevensverwerking door derden verloopt volgens onze Verwerkersovereenkomst en wordt zorgvuldig getoetst op naleving van de Algemene Verordening Gegevensbescherming (AVG).

Onze complete privacyverklaring staat op nmbrs.com/nl/privacy

We zetten ons in voor de principes van de AVG. We zien compliance niet als een eenmalige actie, maar als een doorlopende toewijding aan solide gegevensbescherming.

Ons programma wordt geleid door een toegewijde Functionaris Gegevensbescherming (FG), die is geregistreerd bij de Autoriteit Persoonsgegevens en toezicht houdt op onze gegevensverwerkingspraktijken.

We treden op als jouw Verwerker, en al onze activiteiten worden geregeld in een duidelijke Verwerkersovereenkomst. Hiermee zorgen we ervoor dat we je gegevens uitsluitend voor HR- en salarisdoeleinden verwerken, altijd in overeenstemming met de geldende wetgeving.

Alle klantgegevens staan in Microsoft Azure-datacenters binnen de EU. Daar gelden de hoogste eisen voor beveiliging en betrouwbaarheid. Zo blijven je gegevens onder Europese jurisdictie en vallen ze onder de Europese privacywetgeving.

Een verwerkersovereenkomst regelt afspraken over vertrouwelijkheid, beveiliging, privacy, verwijdering van gegevens en andere verplichtingen. Onze standaard verwerkersovereenkomst staat in onze algemene voorwaarden. Als je je aanmeldt voor een gratis proefperiode of een abonnement afsluit, ga je automatisch akkoord met deze voorwaarden.

Nmbrs werkt met andere bedrijven (juridisch gezien subverwerkers genoemd) zoals datacenters, productontwikkelingssystemen en supportoplossingen. Eventuele gegevensdeling gebeurt in overeenstemming met de AVG en wordt geregeld door verwerkersovereenkomsten die met derden zijn afgesloten. Je vindt een volledig overzicht van al onze subverwerkers op nmbrs.com/nl/subprocessors en je kunt je abonneren op updates over subverwerkers.

Alle communicatie tussen je computer en onze servers loopt via HTTPS. Dat garandeert dat niemand de gegevens kan lezen of aanpassen. Het Nmbrs-certificaat werkt met 2048-bit versleuteling. We gebruiken standaard TLS en hebben SSLv2/SSLv3 uitgezet vanwege beveiligingsrisico's. Je herkent de beveiligde verbinding aan het slotje voor de URL in je browser.

Tweestapsverificatie (2FA) voegt een extra beveiligingslaag toe na je wachtwoord. Je moet dan ook nog een tweede controle doorlopen als je inlogt. Deze optie is beschikbaar in Nmbrs als extra beveiliging.

ISAE 3402 is een internationale standaard voor rapportage over beheersmaatregelen bij serviceorganisaties. Nmbrs heeft een ISAE 3402 Type II-rapport opgesteld, dat klanten informatie biedt om het ontwerp en de implementatie van beheersmaatregelen te begrijpen die relevant zijn voor hun interne processen en jaarrekeningcontroles. Dit assurance-rapport biedt onafhankelijke verificatie van onze operationele excellentie.

Als je dit rapport nodig heeft voor je eigen interne audit of de audit van uw klant(en), kun je het aanvragen via compliance@nmbrs.com (Om het rapport aan te vragen, is een ondertekende geheimhoudingsverklaring (NDA) nodig). Houd er rekening mee dat je een rechtstreeks klant-leverancier-abonnement bij Nmbrs nodig hebt (d.w.z. een rechtstreeks Nmbrs-abonnement).

We gebruiken verschillende tools om de applicatie, infrastructuur en gebruikers te bewaken. Die waarschuwen ons team als er iets mis is. We monitoren de infrastructuur 24/7.

Als je een zwakke plek in ons product ontdekt, volg dan ons Responsible Disclosure-beleid. Daarin staat hoe je het probleem vertrouwelijk kunt melden, zodat we er met voorrang aan kunnen werken. Dit beleid beschermt zowel jou als onze gebruikers terwijl we het probleem oplossen. Meer info: nmbrs.com/responsible-disclosure-policy.

Als onderdeel van Visma hebben we een vertrouwelijk klokkenluiderskanaal. Medewerkers, klanten en partners kunnen daar vermoedens van misstanden, wetsovertreding of ethische problemen melden. Alle meldingen worden vertrouwelijk behandeld en grondig onderzocht. De klokkenluidersservice wordt onafhankelijk beheerd, zodat je anoniem kunt blijven. Melden kan via visma.com/whistleblowing.

Wanneer je werkt met online software, is cybercrime een risico. Criminelen proberen soms gevoelige informatie te stelen door accounts te kraken of zich voor te doen als Nmbrs. We geloven dat kennis de beste bescherming is tegen dit soort criminaliteit. Op de website van de Rijksoverheid vind je handige tips om phishing-mails te herkennen en jezelf online te beschermen.

Op onze live statuspagina zie je direct hoe alle Nmbrs-diensten draaien. De pagina toont de systeemprestaties, eventuele storingen, gepland onderhoud en historische gegevens over de uptime. Je kunt je ook aanmelden voor updates, dan krijg je berichten als er iets niet werkt. Ga naar status.nmbrs.com voor de actuele status.

Onze privacy officer en het supportteam helpen je graag met vragen over beveiliging. Neem contact op via de normale supportkanalen, dan reageren we zo snel mogelijk.