Kennisdatabase

25 mei 2018 markeert de start van de handhaving van de Algemene Verordening Gegevensbescherming van de Europese Unie. Deze nieuwe wetgeving heeft een aanzienlijke impact gehad op iedereen wiens bedrijf betrokken is bij het verwerken van persoonlijke gegevens van EU-burgers of binnen de EU. Natuurlijk staat persoonlijke data centraal in het werken in de verkoop, dus Pipedrive en onze gebruikers zijn ook druk bezig om ervoor te zorgen dat we compliant zijn.

Dit artikel biedt een overzicht van de gegevensgerelateerde rollen en verantwoordelijkheden wanneer je Pipedrive als je CRM-platform hebt gekozen en zal Pipedrive's inspanningen uitleggen om te voldoen aan de waarden en vereisten van de AVG.

Pipedrive als de gegevensverwerker

De mensen die je in Pipedrive als contacten opslaat, zijn jouw gegevenssubjecten, en jij wordt beschouwd als de gegevensbeheerder voor deze persoonlijke gegevens. In onze Servicevoorwaarden en Privacybeleid verwijzen we naar deze gegevens als klantgegevens.

Het gebruik van de Pipedrive-app om je klanten te beheren betekent dat je Pipedrive hebt ingeschakeld als gegevensverwerker om bepaalde verwerkingsactiviteiten namens jou uit te voeren.

Volgens artikel 28 van de AVG moet de relatie tussen de beheerder en de verwerker schriftelijk worden vastgelegd (elektronische vorm is acceptabel onder subsectie (9) van hetzelfde artikel).

Hier komt onze Gegevensverwerkingsovereenkomst (DPA), Servicevoorwaarden en Privacybeleid om de hoek kijken. Deze drie documenten fungeren als jouw gegevensverwerkingsovereenkomst, waarin de instructies worden uiteengezet die je aan Pipedrive geeft over het verwerken van de persoonlijke gegevens die je beheert en de rechten en verantwoordelijkheden van beide partijen worden vastgesteld. Pipedrive zal jouw klantgegevens alleen verwerken op basis van jouw instructies als gegevensbeheerder.

Tot slot is het cruciaal om Sectie 14.1 van onze Servicevoorwaarden te controleren om te zien welke Pipedrive-entiteit jouw contractuele partner is.

Alle EU-klanten hebben een contractuele relatie met onze EU-entiteit, gevestigd in Estland.

Gegevensoverdrachten

Een onderwerp dat vaak ter sprake komt bij klanten zijn gegevensoverdrachten buiten de EER.

De AVG stelt strikte eisen aan het verplaatsen van gegevens buiten de beschermingsscope. Dit is volkomen logisch – anders zou het onmogelijk zijn voor de wet om zijn doel te vervullen.

Wie is verantwoordelijk voor het voldoen aan deze eisen voor gegevensoverdracht? Aangezien onze EU-klanten een juridische relatie hebben met onze EU-entiteit, blijft deze gegevensoverdracht binnen de EER. Echter, als Pipedrive vervolgens subverwerkers buiten de EER inschakelt, is het onze taak om ervoor te zorgen dat we de gegevens op een wettelijke manier overdragen.

We zullen een actuele lijst van subverwerkers bijhouden op onze Subverwerkerspagina om volledig transparant te zijn over deze overdrachten. Deze lijst zal ook uitleggen welke gegevens betrokken zijn en hoe we ervoor hebben gezorgd dat de gegevens adequaat zijn beschermd, zelfs nadat ze de EER hebben verlaten.

We doen dit door ervoor te zorgen dat onze externe dienstverleners ofwel gecertificeerd zijn onder het EU-VS Privacy Framework of de standaardcontractclausules van de EU-commissie voor gegevensoverdrachten met ons hebben ondertekend.

Pipedrive als de gegevensbeheerder

Daarnaast fungeert Pipedrive als de gegevensbeheerder voor de persoonlijke gegevens die we over jou verzamelen, de gebruiker van onze webapp, mobiele apps en website.

Allereerst verwerken we gegevens die noodzakelijk zijn voor het uitvoeren van onze overeenkomst met jou (GDPR Artikel 6(1)(b)).

Ten tweede verwerken we gegevens om te voldoen aan onze verplichtingen onder de wet (GDPR Artikel 6(1)(c)) – dit betreft voornamelijk financiële gegevens en informatie die we nodig hebben om aan onze verantwoordingsverplichtingen onder de GDPR te voldoen.

Ten derde verwerken we jouw persoonlijke gegevens voor onze legitieme belangen in overeenstemming met GDPR Artikel 6(1)(f).

Wat zijn deze “legitieme belangen” waar we het over hebben?

• De app verbeteren om je te helpen nieuwe niveaus van productiviteit te bereiken
• Zorgen dat jouw gegevens en de systemen van Pipedrive veilig en beveiligd zijn
• Verantwoordelijke marketing van ons product en de functies ervan
  

Hopelijk helpt dit je om beter te navigeren door de gegevensbeschermingsvereisten van de EU. Als je vragen hebt over het bovenstaande, kun je contact met ons opnemen via [email protected], en we zullen ons best doen om dingen verder uit te leggen.

Wat doet Pipedrive voor de GDPR?

Als een bedrijf met wortels in Europa, is Pipedrive goed op de hoogte van de implicaties die de EU Algemene Verordening Gegevensbescherming heeft voor bedrijven.

We waarderen de privacybehoeften van Pipedrive-gebruikers evenals die van hun klanten en hebben daarom technische en organisatorische maatregelen geïmplementeerd – en zullen deze blijven verbeteren – in overeenstemming met de GDPR om de persoonlijke gegevens die door Pipedrive worden verwerkt te waarborgen.

Interne processen, beveiliging en gegevensoverdrachten

Een groot deel van de naleving van de AVG is ervoor te zorgen dat procedures zijn vastgesteld en gegevensprocessen zijn in kaart gebracht en controleerbaar zijn. Daarom hebben we elementen aan onze applicatie-ontwikkelingscyclus toegevoegd om functies te bouwen volgens de principes van Privacy by Design.

Toegang tot de klantgegevens die wij namens u verwerken is strikt beperkt. Onze interne procedures en logboeken zorgen ervoor dat we voldoen aan de verantwoordingsvereisten van de AVG in dit opzicht.

We hebben een proces opgezet voor het onboarden van externe dienstverleners en het aannemen van tools die ervoor zorgen dat deze derden voldoen aan de hoge verwachtingen die Pipedrive en zijn klanten hebben met betrekking tot privacy en beveiliging.

Klaarheid om te voldoen aan verzoeken om toegang tot persoonsgegevens

De eigendom van persoonsgegevens door de betrokkenen staat centraal in de AVG. We zijn daarom bereid om te reageren op verzoeken van betrokkenen om hun gegevens te verwijderen, te wijzigen of over te dragen.

Dit betekent dat onze klantenservicemedewerkers en de ingenieurs die hen ondersteunen goed voorbereid zijn om u te helpen met alle zaken die uw persoonsgegevens betreffen, naast het bieden van de fantastische klantenservice-ervaring die u gewend bent.

Documentatie

Onze Servicevoorwaarden en Privacybeleid worden voortdurend herzien om de transparantie te vergroten en ervoor te zorgen dat de documenten voldoen aan de GDPR-eisen. Aangezien dit de basis vormt voor onze relatie met jou, moeten we onze verplichtingen en jouw rechten in deze documenten uitgebreid en openhartig uitleggen.

Daarnaast brengen we voortdurend al onze gegevensverwerkingsactiviteiten in kaart om te voldoen aan de verantwoordingsvereisten van de GDPR.

Training

Al het bovenstaande wordt ondersteund door uitgebreide trainingsinspanningen binnen het bedrijf, waarmee we ervoor zorgen dat de GDPR-conforme processen die we hebben ingesteld, worden gevolgd. Bijvoorbeeld, sessies over gegevensprivacy en -beveiliging zijn een integraal onderdeel van ons onboardingproces, en elke afdeling ontvangt training die is afgestemd op hun werk met persoonlijke gegevens.

Pipedrive is er vast van overtuigd dat het voldoen aan de GDPR-eisen veel meer is dan alleen vinkjes zetten op een lijst. Voor ons vertegenwoordigt GDPR een levensstijl van respect voor de privacy van individuen en verantwoordelijkheid in de omgang met persoonlijke gegevens.