AVG / GDPR heeft invloed op jouw bedrijf in combinatie met het gebruik van Simplicate, want in Simplicate verwerken we namens jouw bedrijf persoonsgegevens. Op deze pagina lees je hoe Simplicate je helpt om klaar te zijn voor de AVG / GDPR.
Kort over de AVG / GDPR
Privacy krijgt steeds meer aandacht en dat is natuurlijk ook heel logisch. Het is belangrijk te weten wat er met gegevens gebeurt en te voorkomen dat deze voor ongewenste doeleinden gebruikt worden.
De General Data Protection Regulation (GDPR) is een verordening vanuit de EU. In Nederland is deze bekend als de Algemene Verordening Gegevensbescherming (AVG). Dus GDPR en AVG zijn hetzelfde.
De wet heeft als doelstelling om personen het vertrouwen te geven dat er alles aan gedaan wordt om gegevens niet zomaar te gebruiken voor processen waarvan we geen weet hebben. En te waarborgen dat gegevens niet zomaar op straat komen te liggen of in handen komen van bedrijven, instellingen of personen zonder dat de persoon in kwestie daar toestemming voor heeft gegeven.
De toezichthouder op de naleving van de AVG / GDPR is in Nederland de Autoriteit Persoonsgegevens.
Wanneer jouw bedrijf werkt met persoonsgegevens, en dat is bijna altijd zo, dan moet je voldoen aan deze AVG / GDPR.
Over het ontstaan en alle gevolgen van de wet is recent al heel veel informatie gedeeld, door allerlei partijen. In dit artikel leggen we je uit hoe Simplicate je helpt om te voldoen aan de wettelijke eisen.
Rollen binnen AVG / GDPR
In de AVG / GDPR wetgeving worden voor de betrokken partijen verschillende rollen onderscheiden. Deze zijn als volgt:
De betrokkene: de persoon van wie gegevens worden vastgelegd, het onderwerp van de data.
De verwerkingsverantwoordelijke of - kort - de verantwoordelijke: het bedrijf dat het doel en de middelen van de verwerking bepaalt en de persoonsgegevens beheert en vastlegt.
De verwerker: het bedrijf dat de gegevens verwerkt namens de verantwoordelijke.
In deze verdeling:
Zijn de betrokkenen jullie klanten, de personen van wie jullie gegevens opslaan in jullie Simplicate omgeving.
Heb jij, als klant van Simplicate, de rol van verantwoordelijke voor de persoonsgegevens die jij vergaart, vastlegt en beheert.
Is Simplicate de verwerker van deze gegevens.
Daarnaast is Simplicate naast verwerker ook verantwoordelijke voor de persoonsgegevens die wij zelf vergaren. Bijvoorbeeld voor marketing richting onze prospects, bij het bieden van support aan onze gebruikers maar ook bij het verwerken van de gegevens van onze medewerkers.
Beheren van persoonsgegevens binnen de AVG / GDPR & de belangrijkste aandachtspunten
De belangrijkste aandachtspunten binnen de GDPR / AVG hebben we op een rij gezet. Eerst vertellen we wat de rechten van ‘betrokken personen’ zijn en de verplichtingen die je als bedrijf hebt. Daaronder staat hoe Simplicate je helpt om hieraan te voldoen:
Recht om vergeten te worden
Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt én als er geen geldig tegenargument gegeven kan worden.
In Simplicate kun je persoonsgegevens verwijderen. Hierbij leidt het verwijderen van een persoon ook tot een fysieke verwijdering van het record. De gegevens blijven nog tot maximaal 30 dagen in de back-ups bewaard en zijn daarna volledig verwijderd.
Wanneer een persoon is gekoppeld aan bijvoorbeeld offertes of projecten in het systeem dan kun je de persoon niet direct verwijderen, omdat er verbanden bestaan. Je moet dan de persoon eerst ontkoppelen bij deze modules om hem/haar vervolgens te verwijderen.
Recht op dataportabiliteit
Een betrokkene heeft het recht om zijn of haar gegevens te exporteren zodat deze in andere situaties weer kunnen worden gebruikt.
De mogelijkheden in Simplicate, zoals (Excel) exports en API-mogelijkheden om gegevens uit de software te halen zijn voldoende om aan dit deel van de wetgeving te kunnen voldoen.
Recht op inzage van gegevens
Een betrokkene heeft het recht om zijn of haar vastgelegde gegevens in te zien en op te vragen.
In Simplicate zoek je eenvoudig op een persoon. Als je de persoon opent zie je precies welke persoonsgegevens zijn vastgelegd. Je kunt ze vervolgens delen met de persoon die om inzicht heeft verzocht. Als je het verzoek van een natuurlijk persoon krijgt om de vastgelegde gegevens in te mogen zien, dan kun je deze gegevens via de exportfunctie exporteren. Hiermee kan de aanvrager kijken welke gegevens er zijn vastgelegd en of deze juist zijn.
Gegevens moeten niet langer worden bewaard dan nodig
Het is niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk. Daarom is het belangrijk om in het ontwerp van je processen de vraag mee te nemen tot wanneer gegevens nog nodig zijn. Het antwoord op die vraag geeft een bewaartermijn.
Je kunt bij persoonsgegevens een datumveld ‘bewaartermijn’ toevoegen waarin je de uiterlijke bewaartermijn registreert. Hierop kun je zoeken en filteren om overzichten te maken van gegevens buiten de bewaartermijn.
Je hebt een grondslag voor verwerking nodig
Je moet voor ieder persoonsgegeven dat je verwerkt een zogenaamde grondslag hebben. Dit kan bijvoorbeeld zijn omdat je een contractuele verplichting hebt en de gegevens nodig hebt voor het uitvoeren van de overeenkomst. Een ander voorbeeld van een grondslag is dat de persoon actief toestemming heeft gegeven voor verwerking.
Bij de persoonsgegevens kun je de voor jouw proces gewenste velden toevoegen voor het vastleggen van de grondslag waarom je deze gegevens verwerkt. Op basis van deze velden kun je lijsten genereren van bijvoorbeeld alle personen in je database waarvan de grondslag nog niet is vastgelegd.
Beveiliging van persoonsgegevens
Gegevens moeten zo verwerkt worden dat gepaste beveiliging van persoonsgegevens is gewaarborgd. Op deze manier moeten persoonsgegevens beschermd zijn tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Hoewel datalekken vaak vooral alleen vanuit een technisch risico worden gezien kunnen datalekken ook op andere manieren ontstaan, bijvoorbeeld:
Een medewerker maakt een export van persoonsgegevens en mailt deze naar een externe partij.
Een API gebruiker haalt onterecht ook persoonsgegevens op.
Bedrijven zijn verplicht binnen 72 uur na constatering een datalek te melden bij de Autoriteit Persoonsgegevens, tenzij je kunt aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens.
Beveiliging en veiligheid binnen Simplicate
Beveiliging en data privacy nemen we zeer serieus bij Simplicate. Zo ontwikkelden wij onze architectuur zo dat alle omgevingen en databases van verschillende klanten fysiek gescheiden zijn. Aanvullend loopt al ons dataverkeer via versleutelde verbindingen. Wil je meer weten over de maatregelen die wij nemen dan kun je dit artikel lezen.
Simplicate heeft een interne procedure voor incidentmanagement. Deze procedure specificeert ook de stappen die wij ondernemen in het geval van een datalek.
De software van Simplicate beschikt daarnaast over een zeer uitgebreide autorisatiemodule waar je de rechten rondom persoonsgegevens voor alle gebruikers kunt regelen. Je kunt daarnaast precies zien welke personen en API keys toegang hebben tot (exports van) persoonsgegevens. Op die manier helpen we je het risico op data- en beveiligingslekken te verminderen.
De verwerkersovereenkomst
Als verwerker van de persoonsgegevens die jij als verantwoordelijke vergaart, vastlegt en beheert sluiten wij met elkaar een overeenkomst genaamd de verwerkersovereenkomst. Onze overeenkomst is opgesteld door een advocaat die gespecialiseerd is in ICT en privacyrecht en hierin leggen we een aantal afspraken vast die wij met elkaar maken omtrent de rollen en verantwoordelijkheden. De overeenkomst is ter ondertekening beschikbaar gesteld aan de Account Eigenaar die tekenbevoegd moet zijn in jouw Simplicate omgeving.
Meer weten
Wil je na dit bericht meer weten over de AVG / GDPR dan raden we je aan om de blogs van advocaat Koen Konings van NORD Advocaten over dit onderwerp te lezen. Hij is expert op het gebied van privacy en heeft geholpen om Simplicate AVG / GDPR compliant te maken.