Main content
DigiInkoop is het inkoopsysteem van de Rijksoverheid. Het is bedoeld voor leveranciers van op DigiInkoop aangesloten Rijksoverheid organisaties en voor organisaties die onderdeel zijn van de Rijksoverheid. Het inkoopsysteem bestaat uit de inkoopvoorziening Electronic Purchase Voorziening (EPV); een applicatie ter ondersteuning van het inkoopproces.
Deze privacyverklaring gaat over het gebruik van uw persoonsgegevens door de inkoopvoorziening van DigiInkoop (EPV) met Logius in de rol van beheerder.
De EPV bestaat uit:
- een inkoop workflow module
- een leveranciersportaal
- een catalogusmodule
- een managementmodule
- een contractmanagementmodule
Verantwoordelijkheid
Wie is verantwoordelijk voor de verwerking van de persoonsgegevens?
De Minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het verwerken van persoonsgegevens voor DigiInkoop. Het beheer van DigiInkoop wordt uitgevoerd door Logius. Logius is onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en beheert overheidsbrede ICT-voorzieningen.
De verantwoordelijkheid is als volgt verdeeld:
- De leveranciers/opdrachtnemer en (na ontvangst) de deelnemende departementen zijn verantwoordelijk voor de inhoud van de gegevens (cv’s van inhuurkrachten, persoonsgebonden bestellingen en leveringen (denk hierbij aan een bestelling van een bril voor persoon X met sterkte Y))
- Logius is verantwoordelijk voor de uitwisseling van de gegevens. Logius maakt hiervoor gebruik van e-mailadressen en IP-adressen.
- In het kader van beheer hebben medewerkers (van de leverancier Ordina, medewerkers van het Klant Contact Centrum (KCC) en medewerkers van Logius tweedelijns ondersteuning) naamsgebonden beheeraccounts. Hiervoor zijn resp. Ordina, KCC en Logius verantwoordelijk.
Waarom worden persoonsgegevens verwerkt?
DigiInkoop verwerkt persoonsgegevens voor de volgende doeleinden:
- De inrichting, beschikbaarstelling, instandhouding en (adequate) werking van DigiInkoop
- Het aanmaken van DigiInkoop-accounts
- Het personaliseren van DigiInkoop-accounts
- Het gebruik van DigiInkoop door deelnemers en leveranciers
- Het borgen van de (informatie)beveiliging en betrouwbaarheid van DigiInkoop en de analyse van beveiligings-)incidenten
- Gebruikersondersteuning inclusief het afhandelen van vragen en klachten van deelnemers en leveranciers
De grondslag voor het verwerken van persoonsgegevens
De persoonsgegevens worden verwerkt omdat deze noodzakelijk zijn voor de (voorbereiding van de) uitvoering van een overeenkomst waarbij de betrokkene een partij is (opdrachtbrief en beleidsopdrachtgevers convenant).
Welke persoonsgegevens worden verwerkt?
Bij het gebruik van DigiInkoop worden de volgende persoonsgegevens van de gebruiker verwerkt:
Van een leverancierscontactpersoon worden altijd minimaal de volgende basisgegevens vastgelegd:
- Achternaam
- E-mailadres
Voor een gebruikersaccount moet minimaal vastgelegd worden:
- Gebruikersnaam1
Naast de verplichte gegevens kunnen er optioneel de volgende gegevens worden vastgelegd:
- Voornaam + Voorvoegsel
- Functietitel
- Telefoonnummer
Voor gebruikers binnen een Rijksoverheid organisatie die inloggen op de DigiInkoop moet er een ‘persoon’ en gebruikersaccount aangemaakt worden. De persoon kan verschillende types betreffen. In de huidige implementatie is dit altijd van het type ‘werknemer’ of ‘flexwerker’.
Van een persoon worden de volgende basisgegevens vastgelegd:
- Voornaam
- Tussenvoegsel
- Achternaam
- Voorletters
- Uniek persoonsnummer2 voor deelnemers
- E-mailadres
- Functieplaats gegevens
- Actief/inactief datum
Van een gekoppelde gebruiker worden de volgende basisgegevens vastgelegd:
- Gebruikersnaam1
- Rollen en Autorisaties
Een optioneel basisgegeven wat in de praktijk vaak wordt vastgelegd is:
- Uniek persoonsnummer2 voor flexkrachten
Van een beheerder worden de volgende basisgegevens vastgelegd:
- Voornaam
- Tussenvoegsel
- Achternaam
- Voorletters
- Uniek persoonsnummer2
- E-mailadres
- Functieplaats gegevens
- Actief/inactief datum
Van een gekoppelde gebruiker worden de volgende basisgegevens vastgelegd:
- Gebruikersnaam1
- Rollen en Autorisaties
Ad 1: De conventie voor de gebruikersnaam is dat deze altijd gelijk is aan het e-mailadres (maar deze zou ook kunnen afwijken).
Ad 2: Dit kan een persoonsgegeven zijn of een willekeurig volgnummer.
Binnen DigiInkoop zijn er ook vrije velden aanwezig, waarin deelnemers vrij zijn om informatie in te voeren. Het kan voorkomen dat in deze velden persoonsgegevens staan.
Cookies en statistische informatie
DigiInkoop maakt gebruik van een zogenaamde sessie-cookie. Deze wordt aangemaakt als u inlogt. Een sessie-cookie bevat geen persoonsgegevens of IP-adres.
Aan wie worden persoonsgegevens verstrekt?
Logius verstrekt uw gegevens uitsluitend aan derden indien dit nodig is voor de uitvoering van onze overeenkomst met u of om te voldoen aan een wettelijke verplichting. Met bedrijven die uw gegevens verwerken in onze opdracht, sluiten wij een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens. Alle verwerkingen vinden in Nederland plaats. De Minister van Binnenlandse Zaken blijft verantwoordelijk voor deze verwerkingen.
Bewaren van persoonsgegevens
Persoonsgegevens worden bewaard in een Cloud omgeving van Oracle. Oracle is gevestigd in de Verenigde Staten, de servers waarop de Cloud omgeving staat bevinden zich binnen de EU en worden beheerd door Ordina. Oracle waarborgt een adequaat gegevensbeschermingsregime door gebruik van Binding Corporate Rules.
Informatie over de inkomende en uitgaande berichten wordt niet opgeslagen in DigiInkoop.
Wij bewaren de gegevens niet langer dan noodzakelijk is. Wij hanteren een bewaartermijn van 10 jaar voor alle persoonsgegevens welke verbonden zijn aan financiële transacties. Voor persoonsgegevens die niet gekoppeld zijn aan financiële transacties, hanteren wij een bewaartermijn van 1 maand na het inactiveren van het inlogaccount van de persoon.
Uw rechten ten aanzien van uw persoonsgegevens
Wij verwerken uw persoonsgegevens in verband met de hiervoor omschreven doeleinden. Ten aanzien van deze verwerking kunt u de volgende rechten uitoefenen, door uw verzoek hiertoe te richten aan Logius:
- Recht om te weten te komen of wij persoonsgegevens van u verwerken en het recht op inzage in uw persoonsgegevens.
- Recht om uw persoonsgegevens te verbeteren, aan te vullen of de verwerking ervan te beperken, rekening houdende met de hiervoor omschreven doeleinden.
- Recht om uw persoonsgegevens te verwijderen, bijvoorbeeld als deze gegevens niet langer nodig zijn voor de hiervoor omschreven doeleinden.
- Recht op bezwaar tegen de verwerking van uw persoonsgegevens wegens met uw specifieke situatie verband houdende redenen.
De gebruiker van DigiInkoop kan een verzoek indienen door een email (aan Servicecentrum@logius.nl o.v.v. DigiInkoop) of een brief te sturen (DigiInkoop – Postbus 6810 - 2509 JE Den Haag, onder vermelding van: persoonsgegevens). Om te kunnen voldoen aan het verzoek zal de gebruiker gevraagd worden om zich te identificeren.
Na ontvangst van uw verzoek, zullen wij u via e-mail zo snel mogelijk, en uiterlijk binnen één maand, informeren of aan dit verzoek zal worden voldaan. Indien uw verzoek wordt geweigerd, zullen wij de redenen hiervoor schriftelijk aan u mededelen. Bent u het niet eens met de reactie op een verzoek of heeft u een klacht met betrekking tot de verwerking van uw persoonsgegevens, dan kunt u dit soort klachten indienen bij de Autoriteit Persoonsgegevens, of een rechtszaak starten bij de rechter. Lees meer over een klacht indienen bij de Autoriteit Persoonsgegevens.
Beveiliging van uw persoonsgegevens
Wij treffen passende technische en organisatorische maatregelen opdat uw persoonsgegevens adequaat beveiligd zijn. Deze maatregelen dienen om inbreuken op de beveiliging en aantasting van de processen van DigiInkoop te voorkomen.
Wijziging privacyverklaring
Wij kunnen deze privacyverklaring altijd wijzigen. In dat geval zullen wij de gewijzigde privacyverklaring op onze website https://digiinkoop.nl publiceren waarna deze privacyverklaring direct van kracht is.