Kennisdatabase

25 mei 2018 markeert het begin van de handhaving van de Algemene Verordening Gegevensbescherming van de Europese Unie. Deze nieuwe wetgeving heeft aanzienlijke gevolgen gehad voor iedereen wiens bedrijf te maken heeft met het verwerken van persoonlijke gegevens van EU-burgers of binnen de EU. Natuurlijk staat persoonlijke gegevens centraal bij werkzaamheden in de verkoop, dus Pipedrive en onze gebruikers zijn ook druk bezig geweest om ervoor te zorgen dat we voldoen aan de regelgeving.

Dit artikel biedt een overzicht van de data-gerelateerde rollen en verantwoordelijkheden wanneer u Pipedrive heeft gekozen als uw CRM-platform en zal de inspanningen van Pipedrive toelichten om te voldoen aan de waarden en eisen van de GDPR.

Pipedrive als de gegevensverwerker

De personen die u in Pipedrive opslaat als contacten zijn uw gegevenssubjecten, en u wordt beschouwd als de gegevensbeheerder voor deze persoonlijke gegevens. In onze Servicevoorwaarden en Privacybeleid verwijzen wij naar deze gegevens als klantgegevens.

Het gebruik van de Pipedrive-app om uw klanten te beheren betekent dat u Pipedrive hebt ingeschakeld als gegevensverwerker om bepaalde verwerkingsactiviteiten namens u uit te voeren.

Volgens artikel 28 van de GDPR moet de relatie tussen de beheerder en de verwerker schriftelijk worden vastgelegd (elektronische vorm is acceptabel volgens lid (9) van hetzelfde artikel).

Hier komen onze Gegevensverwerking Addendum (DPA), Servicevoorwaarden en Privacybeleid in beeld. Deze drie documenten dienen als uw gegevensverwerkingscontract, waarin de instructies staan die u aan Pipedrive geeft over de verwerking van de persoonlijke gegevens die u beheert, en waarin de rechten en verantwoordelijkheden van beide partijen worden vastgelegd. Pipedrive zal uw klantgegevens alleen verwerken op basis van uw instructies als de gegevensbeheerder.

Tot slot is het cruciaal om Sectie 14.1 van onze Servicevoorwaarden te controleren om te zien welke Pipedrive-entiteit uw contractuele partner is.

Alle EU-klanten hebben een contractuele relatie met onze EU-entiteit, gevestigd in Estland.

Gegevensoverdrachten

Een onderwerp dat vaak ter sprake komt bij klanten is gegevensoverdrachten buiten de EER.

De GDPR legt strikte eisen op voor het verplaatsen van gegevens buiten zijn beschermingsgebied. Dit is volkomen logisch - anders zou het onmogelijk zijn voor de wet om haar doel te bereiken.

Wie is verantwoordelijk voor het voldoen aan deze eisen voor gegevensoverdracht? Aangezien onze EU-klanten een wettelijke relatie hebben met onze EU-entiteit, blijft deze gegevensoverdracht binnen de EER. Als Pipedrive echter nadien subverwerkers buiten de EER inschakelt, is het onze taak ervoor te zorgen dat we de gegevens rechtmatig overdragen.

We zullen een actuele lijst van subverwerkers bijhouden op onze Subverwerkerspagina om volledig transparant te zijn over deze overdrachten. Deze lijst zal ook uitleggen welke gegevens zijn betrokken en hoe we hebben gegarandeerd dat de gegevens adequaat beschermd blijven, zelfs nadat ze de EER hebben verlaten.

Dit doen we door ervoor te zorgen dat onze externe dienstverleners ofwel gecertificeerd zijn onder het EU-VS gegevensbeschermingskader ofwel de standaard contractuele clausules voor gegevensoverdrachten van de EU-Commissie met ons hebben ondertekend.

Pipedrive als de gegevensbeheerder

Daarnaast treedt Pipedrive op als de gegevensbeheerder voor de persoonlijke gegevens die we verzamelen over u, de gebruiker van onze web-app, mobiele apps en website.

Allereerst verwerken we gegevens die noodzakelijk zijn voor ons om ons contract met u uit te voeren (AVG artikel 6(1)(b)).

Ten tweede verwerken we gegevens om te voldoen aan onze verplichtingen onder de wet (AVG artikel 6(1)(c)) – dit omvat voornamelijk financiële gegevens en informatie die we nodig hebben om te voldoen aan onze verantwoordingsverplichtingen onder de AVG.

Ten derde verwerken we uw persoonlijke gegevens voor onze legitieme belangen in overeenstemming met AVG artikel 6(1)(f).

Waar hebben we het over als we het hebben over deze "legitieme belangen"?

• De app verbeteren om u te helpen nieuwe niveaus van productiviteit te bereiken
• Zorgen dat uw gegevens en de systemen van Pipedrive veilig en beveiligd zijn
• Verantwoorde marketing van ons product en de functies ervan
  

Hopelijk helpt dit u om beter te voldoen aan de eisen voor gegevensbescherming van de EU. Als u vragen heeft over het bovenstaande, kunt u contact met ons opnemen via support@pipedrive.com en zullen we ons best doen om de zaken verder uit te leggen.

Wat doet Pipedrive voor de GDPR?

Als een bedrijf met wortels in Europa, is Pipedrive goed op de hoogte van de implicaties die de EU Algemene Verordening Gegevensbescherming heeft voor bedrijven.

Wij waarderen de privacy behoeften van Pipedrive gebruikers evenals hun klanten en hebben daarom technische en organisatorische maatregelen geïmplementeerd - en zullen blijven verbeteren - in lijn met de GDPR om de persoonlijke gegevens verwerkt door Pipedrive te beschermen.

Interne processen, beveiliging en gegevensoverdrachten

Een groot deel van de GDPR-naleving is ervoor zorgen dat procedures zijn ingevoerd en gegevensprocessen zijn in kaart gebracht en controleerbaar zijn. Daarom hebben we elementen toegevoegd aan onze applicatieontwikkelingscyclus om functies te bouwen volgens de principes van Privacy by Design.

Toegang tot de klantgegevens die we namens u verwerken, is strikt beperkt. Onze interne procedures en logs zorgen ervoor dat we voldoen aan de GDPR-verantwoordingsverplichtingen op dit gebied.

We hebben een proces opgezet voor het onboarden van externe serviceproviders en het aannemen van tools die ervoor zorgen dat deze derde partijen voldoen aan de hoge verwachtingen die Pipedrive en haar klanten hebben op het gebied van privacy en beveiliging.

Klaarheid om te voldoen aan verzoeken tot toegang door de betrokkene

Het eigendom van persoonlijke gegevens van de betrokkenen staat centraal in de AVG. We zijn daarom klaar om te reageren op verzoeken van betrokkenen om hun gegevens te verwijderen, te wijzigen of over te dragen.

Dit betekent dat onze klantensupportspecialisten en de ingenieurs die hen helpen goed voorbereid zijn om u te helpen bij alle zaken met betrekking tot uw persoonlijke gegevens, naast het bieden van de fantastische klantenondersteuning ervaring waar u aan gewend bent.

Documentatie

Onze Algemene Voorwaarden en Privacybeleid worden voortdurend herzien om de transparantie te vergroten en ervoor te zorgen dat de documenten voldoen aan de GDPR-vereisten. Aangezien dit de basis vormt voor onze relatie met u, moeten wij onze toezeggingen en uw rechten uitgebreid en openlijk uitleggen in deze documenten.

Daarnaast zijn we voortdurend bezig om al onze gegevensverwerkingsactiviteiten in kaart te brengen om te kunnen voldoen aan de accountability-eisen van de GDPR.

Opleiding

Dit wordt allemaal ondersteund door uitgebreide trainingsinspanningen binnen het bedrijf, zodat de GDPR-conforme processen die we hebben opgezet worden gevolgd. Zo zijn bijvoorbeeld sessies over gegevensprivacy en beveiliging een integraal onderdeel van ons inwerkproces, en ontvangt elke afdeling training die is afgestemd op hun werk met persoonsgegevens.

Pipedrive is er sterk van overtuigd dat het voldoen aan GDPR-vereisten veel meer is dan alleen vakjes afvinken op een lijst. Voor ons staat GDPR voor een levensstijl van respect voor de privacy van individuen en verantwoordelijkheid bij het omgaan met persoonsgegevens.