Met Simplicate voldoen aan de GDPR
Je hebt vast al veel gehoord en gelezen over de AVG / GDPR. Vanaf mei 2018 wordt de AVG / GDPR in Europa gehandhaafd. Dit heeft natuurlijk invloed op jouw organisatie en het gebruik van Simplicate, want in de online CRM software van Simplicate verwerken we namens jouw organisatie persoonsgegevens. Op deze pagina lees je hoe Simplicate je helpt om klaar te zijn voor de AVG / GDPR.
KORT OVER DE AVG / GDPR
Privacy krijgt steeds meer aandacht en dat is natuurlijk ook heel logisch. Het is belangrijk te weten wat er met gegevens gebeurt en te voorkomen dat deze voor ongewenste doeleinden gebruikt worden.
De General Data Protection Regulation (GDPR) is een verordening vanuit de EU. In Nederland is deze bekend als de Algemene Verordening Gegevensbescherming (AVG). Dus GDPR en AVG zijn hetzelfde.
De wet heeft als doelstelling om personen het vertrouwen te geven dat er alles aan gedaan wordt om gegevens niet zomaar te gebruiken voor processen waarvan we geen weet hebben. En te waarborgen dat gegevens niet zomaar op straat komen te liggen of in handen komen van bedrijven, instellingen of personen zonder dat de persoon in kwestie daar toestemming voor heeft gegeven.
De wet is al in mei 2016 gevormd maar pas vanaf 25 mei 2018 zal deze wet ook daadwerkelijk worden gehandhaafd. De toezichthouder op de naleving van de AVG / GDPR is in Nederland de Autoriteit Persoonsgegevens.
Wanneer jouw organisatie werkt met persoonsgegevens, en dat is bijna altijd zo, dan moet je voldoen aan deze AVG / GDPR.
Over het ontstaan en alle gevolgen van de wet is recent al heel veel informatie gedeeld, door allerlei partijen. In dit blog leggen we je uit hoe Simplicate je helpt om te voldoen aan de wettelijke eisen.
ROLLEN BINNEN DE AVG / GDPR
In de AVG / GDPR wetgeving worden voor de betrokken partijen verschillende rollen onderscheiden. Deze zijn als volgt:
- De betrokkene: de persoon van wie gegevens worden vastgelegd, het onderwerp van de data.
- De verwerkingsverantwoordelijke of - kort - de verantwoordelijke: het bedrijf dat het doel en de middelen van de verwerking bepaalt en de persoonsgegevens beheert en vastlegt.
De verwerker: het bedrijf dat de gegevens verwerkt namens de verantwoordelijke.
In deze verdeling:
- Zijn de betrokkenen jullie klanten, de personen van wie jullie gegevens opslaan in jullie Simplicate omgeving.
- Heb jij, als klant van Simplicate, de rol van verantwoordelijke voor de persoonsgegevens die jij vergaart, vastlegt en beheert.
- Is Simplicate de verwerker van deze gegevens.
Daarnaast is Simplicate naast verwerker ook verantwoordelijke voor de persoonsgegevens die wij zelf vergaren. Bijvoorbeeld voor marketing richting onze prospects, bij het bieden van support aan onze gebruikers maar ook bij het verwerken van de gegevens van onze medewerkers.
BEHEREN VAN PERSOONSGEGEVENS BINNEN DE AVG / GDPR: DE BELANGRIJKSTE AANDACHTSPUNTEN
De belangrijkste aandachtspunten binnen de GDPR / AVG hebben we op een rij gezet. Links zie je wat de rechten van ‘betrokken personen’ zijn en de verplichtingen die je als bedrijf hebt. Rechts staat hoe Simplicate je helpt om hieraan te voldoen:
Recht om vergeten te worden | |
Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt én als er geen geldig tegenargument gegeven kan worden. | In Simplicate kun je persoonsgegevens verwijderen. Hierbij leidt het verwijderen van een persoon ook tot een fysieke verwijdering van het record. De gegevens blijven nog tot maximaal 30 dagen in de back-ups bewaard en zijn daarna volledig verwijderd.Wanneer een persoon is gekoppeld aan bijvoorbeeld offertes of projecten in het systeem dan kun je de persoon niet direct verwijderen, omdat er verbanden bestaan. Je moet dan de persoon eerst ontkoppelen bij deze modules om hem/haar vervolgens te verwijderen. |
Recht op dataportabiliteit | |
Een betrokkene heeft het recht om zijn of haar gegevens te exporteren zodat deze in andere situaties weer kunnen worden gebruikt. | De mogelijkheden in Simplicate, zoals (Excel) exports en API-mogelijkheden om gegevens uit de software te halen zijn voldoende om aan dit deel van de wetgeving te kunnen voldoen. |
Recht op inzage van gegevens | |
Een betrokkene heeft het recht om zijn of haar vastgelegde gegevens in te zien en op te vragen. | In Simplicate zoek je eenvoudig op een persoon. Als je de persoon opent zie je precies welke persoonsgegevens zijn vastgelegd. Je kunt ze vervolgens delen met de persoon die om inzicht heeft verzocht. Als je het verzoek van een natuurlijk persoon krijgt om de vastgelegde gegevens in te mogen zien, dan kun je deze gegevens via de exportfunctie exporteren. Hiermee kan de aanvrager kijken welke gegevens er zijn vastgelegd en of deze juist zijn. |
Gegevens moeten niet langer worden bewaard dan nodig | |
Het is niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk. Daarom is het belangrijk om in het ontwerp van je processen de vraag mee te nemen tot wanneer gegevens nog nodig zijn. Het antwoord op die vraag geeft een bewaartermijn. | Je kunt bij persoonsgegevens een datumveld ‘bewaartermijn’ toevoegen waarin je de uiterlijke bewaartermijn registreert. Hierop kun je zoeken en filteren om overzichten te maken van gegevens buiten de bewaartermijn. Daarnaast kun jij straks een aan dat datumveld gekoppelde notificatie instellen zodat je op de hoogte wordt gesteld wanneer je gegevens dient te vernietigen. |
Je hebt een grondslag voor verwerking nodig | |
Je moet voor ieder persoonsgegeven dat je verwerkt een zogenaamde grondslag hebben. Dit kan bijvoorbeeld zijn omdat je een contractuele verplichting hebt en de gegevens nodig hebt voor het uitvoeren van de overeenkomst. Een ander voorbeeld van een grondslag is dat de persoon actief toestemming heeft gegeven voor verwerking. | Bij de persoonsgegevens kun je de voor jouw proces gewenste velden toevoegen voor het vastleggen van de grondslag waarom je deze gegevens verwerkt. Op basis van deze velden kun je lijsten genereren van bijvoorbeeld alle personen in je database waarvan de grondslag nog niet is vastgelegd. |
BEVEILIGING VAN PERSOONSGEGEVENS
Gegevens moeten zo verwerkt worden dat gepaste beveiliging van persoonsgegevens is gewaarborgd. Op deze manier moeten persoonsgegevens beschermd zijn tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Hoewel datalekken vaak vooral alleen vanuit een technisch risico worden gezien kunnen datalekken ook op andere manieren ontstaan, bijvoorbeeld:
- Een medewerker maakt een export van persoonsgegevens en mailt deze naar een externe partij.
- Een API gebruiker haalt onterecht ook persoonsgegevens op.
Bedrijven zijn verplicht binnen 72 uur na constatering een datalek te melden bij de Autoriteit Persoonsgegevens, tenzij je kunt aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens.
Beveiliging en veiligheid binnen Simplicate
Beveiliging en data privacy nemen we zeer serieus bij Simplicate. Zo ontwikkelden wij onze architectuur zo dat alle omgevingen en databases van verschillende klanten fysiek gescheiden zijn. Aanvullend loopt al ons dataverkeer via versleutelde verbindingen. Wil je meer weten over de maatregelen die wij nemen dan kun je dit artikel lezen.
Simplicate heeft een interne procedure voor incidentmanagement. Deze procedure specificeert ook de stappen die wij ondernemen in het geval van een datalek.
De software van Simplicate beschikt daarnaast over een zeer uitgebreide autorisatiemodule waar je de rechten rondom persoonsgegevens voor alle gebruikers kunt regelen. Vóór 28 mei rollen we daarnaast nog een GDPR update uit waarin je precies kunt zien welke personen en API keys toegang hebben tot (exports van) persoonsgegevens. Op die manier helpen we je het risico op data- en beveiligingslekken te verminderen.
DE VERWERKERSOVEREENKOMST
Als verwerker van de persoonsgegevens die jij als verantwoordelijke vergaart, vastlegt en beheert sluiten wij met elkaar een overeenkomst genaamd de verwerkersovereenkomst. Onze overeenkomst is opgesteld door een advocaat die gespecialiseerd is in ICT en privacyrecht en hierin leggen we een aantal afspraken vast die wij met elkaar maken omtrent de rollen en verantwoordelijkheden. De verwerkersovereenkomst vervangt onze huidige bewerkersovereenkomst. Deze overeenkomst stellen we ter ondertekening beschikbaar in de Simplicate omgeving.
DE SIMPLICATE AVG / GDPR UPDATE
Zoals je hebt kunnen lezen in dit artikel doet Simplicate voor 25 mei een AVG / GDPR update. Een korte herhaling van de functionaliteit binnen deze update:
- Vastlegging van de AVG / GDPR contactpersoon binnen jouw organisatie.
- Digitaal ondertekenen van de verwerkersovereenkomst.
- GDPR compliance pagina, waarin je precies ziet welke personen en API keys op welke manier toegang hebben, of hebben gehad, tot persoonsgegevens.
- Optionele GDPR activering welke velden beschikbaar maakt voor toestemming, bron en bewaartermijn.
MEER WETEN
Wil je na dit bericht meer weten over de AVG / GDPR dan raden we je aan om de blogs van advocaat Koen Konings van NORD Advocaten over dit onderwerp te lezen. Hij is expert op het gebied van privacy en heeft ons geholpen om Simplicate AVG / GDPR compliant te maken.