Kennisdatabase

25 mei 2018 markeert het begin van de handhaving van de Algemene Verordening Gegevensbescherming van de Europese Unie. Deze nieuwe wetgeving heeft aanzienlijke gevolgen gehad voor iedereen wiens bedrijf het verwerken van persoonsgegevens van EU-burgers inhoudt of binnen de EU plaatsvindt. Natuurlijk vormen persoonsgegevens de kern van het werken in de verkoop, dus Pipedrive en onze gebruikers zijn ook druk geweest om ervoor te zorgen dat we voldoen aan de regels.

Dit artikel geeft een overzicht van de rollen en verantwoordelijkheden met betrekking tot gegevens wanneer u Pipedrive als uw CRM-platform heeft gekozen en zal de inspanningen van Pipedrive uitleggen om aan de waarden en vereisten van de AVG te voldoen.

Pipedrive als de gegevensverwerker

De mensen die u opslaat in Pipedrive als contacten zijn uw gegevensonderwerpen, en u wordt beschouwd als de gegevensbeheerder voor deze persoonsgegevens. In onze Gebruiksvoorwaarden en Privacybeleid verwijzen we naar deze gegevens als klantgegevens.

Het gebruik van de Pipedrive-app om uw klanten te beheren betekent dat u Pipedrive heeft ingeschakeld als een gegevensverwerker om bepaalde verwerkingsactiviteiten namens u uit te voeren.

Volgens artikel 28 van de AVG moet de relatie tussen de verwerkingsverantwoordelijke en de verwerker schriftelijk worden vastgelegd (elektronische vorm is aanvaardbaar volgens lid 9 van hetzelfde artikel).

Hier komen ons Gegevensverwerkingsaanhangsel (GVA), Gebruiksvoorwaarden en Privacybeleid in beeld. Deze drie documenten dienen als uw gegevensverwerkingsovereenkomst, waarin de instructies worden uiteengezet die u aan Pipedrive geeft over de verwerking van de persoonsgegevens die u beheert, en waarin de rechten en verantwoordelijkheden van beide partijen worden vastgelegd. Pipedrive zal uw klantgegevens alleen verwerken op basis van uw instructies als gegevensbeheerder.

Tot slot is het cruciaal om Sectie 14.1 van onze Gebruiksvoorwaarden te controleren om te zien welke Pipedrive-entiteit uw contractuele partner is.

Alle EU-klanten hebben een contractuele relatie met onze EU-entiteit, gevestigd in Estland.

Gegevensoverdrachten

Eén onderwerp dat vaak ter sprake komt bij klanten is gegevensoverdrachten buiten de EER.

De AVG stelt strenge eisen aan het verplaatsen van gegevens buiten haar beschermingsgebied. Dit is alleen maar logisch - anders zou de wet haar doel niet kunnen bereiken.

Wie is verantwoordelijk voor het voldoen aan deze eisen voor gegevensoverdracht? Aangezien onze EU-klanten een juridische relatie hebben met onze EU-entiteit, blijft deze gegevensoverdracht binnen de EER. Als Pipedrive echter later subverwerkers buiten de EER inschakelt, is het onze taak om ervoor te zorgen dat we de gegevens rechtmatig overdragen.

We zullen een actuele lijst van subverwerkers bijhouden op onze Subverwerkerspagina om volledige transparantie te bieden over deze overdrachten. Deze lijst zal ook uitleggen welke gegevens betrokken zijn en hoe we ervoor hebben gezorgd dat de gegevens voldoende beschermd zijn, zelfs nadat ze de EER hebben verlaten.

Dit doen we door ervoor te zorgen dat onze externe dienstverleners ofwel gecertificeerd zijn onder het EU-VS-privacyschild, ofwel de standaard contractuele clausules voor gegevensoverdracht naar de EU-Commissie hebben ondertekend met ons.

Pipedrive als de gegevensbeheerder

Daarnaast treedt Pipedrive op als de gegevensbeheerder voor de persoonlijke gegevens die we verzamelen over u, de gebruiker van onze webapp, mobiele apps en website.

Ten eerste verwerken we gegevens die noodzakelijk zijn voor de uitvoering van ons contract met u (AVG Artikel 6(1)(b)).

Ten tweede verwerken we gegevens om te voldoen aan onze wettelijke verplichtingen (AVG Artikel 6(1)(c)) - dit omvat voornamelijk financiële gegevens en informatie die we nodig hebben om te voldoen aan onze verantwoordingsverplichtingen onder de AVG.

Ten derde verwerken we uw persoonlijke gegevens voor onze legitieme belangen in overeenstemming met AVG Artikel 6(1)(f).

Waar bestaan deze "legitieme belangen" waar we het over hebben uit?

• Verbeteren van de app om u te helpen nieuwe niveaus van productiviteit te bereiken
• Zorgen dat uw gegevens en de systemen van Pipedrive veilig en beveiligd zijn
• Verantwoordelijke marketing van ons product en de functies ervan
  

Hopelijk helpt dit u om beter te voldoen aan de vereisten voor gegevensbescherming in de EU. Als u vragen heeft over het bovenstaande, kunt u contact met ons opnemen via [email protected], en we zullen ons best doen om uitleg te geven.

Wat doet Pipedrive voor de GDPR?

Als bedrijf met wortels in Europa is Pipedrive goed op de hoogte van de implicaties die de Algemene verordening gegevensbescherming (AVG) heeft voor bedrijven.

Wij waarderen de privacybehoeften van Pipedrive-gebruikers en hun klanten en hebben daarom technische en organisatorische maatregelen geïmplementeerd - en zullen blijven verbeteren - in overeenstemming met de AVG om de persoonsgegevens die door Pipedrive worden verwerkt te beschermen.

Interne processen, beveiliging en gegevensoverdrachten

Een groot deel van de naleving van de AVG (Algemene Verordening Gegevensbescherming) is ervoor zorgen dat procedures goed zijn ingevoerd en data-processen zijn in kaart gebracht en controleerbaar zijn. Daarom hebben we elementen toegevoegd aan onze applicatieontwikkelingscyclus om functies op te bouwen volgens de principes van Privacy by Design.

Toegang tot de klantgegevens die we namens u verwerken is strikt beperkt. Onze interne procedures en logs zorgen ervoor dat we voldoen aan de verantwoordingsvereisten van de AVG op dit gebied.

We hebben een proces opgesteld voor het aan boord nemen van externe dienstverleners en het overnemen van tools die ervoor zorgen dat deze derden voldoen aan de hoge verwachtingen die Pipedrive en zijn klanten hebben op het gebied van privacy en beveiliging.

Bereidheid om te voldoen aan verzoeken voor inzage van gegevens

De eigendom van persoonlijke gegevens van de betrokkenen staat centraal in de AVG. Wij zijn dan ook klaar om te reageren op verzoeken van betrokkenen om hun gegevens te verwijderen, aan te passen of over te dragen.

Dit betekent dat onze klantenspecialisten en de engineers die hen ondersteunen goed voorbereid zijn om u te helpen bij alle zaken die betrekking hebben op uw persoonlijke gegevens, naast het bieden van de fantastische klantenservice-ervaring waaraan u gewend bent.

Documentatie

Onze Algemene voorwaarden en Privacybeleid worden voortdurend herzien om de transparantie te vergroten en ervoor te zorgen dat de documenten voldoen aan de GDPR-vereisten. Aangezien deze documenten de basis vormen voor onze relatie met u, moeten we onze verplichtingen en uw rechten uitgebreid en openlijk uitleggen in deze documenten.

Bovendien brengen we voortdurend al onze gegevensverwerkingsactiviteiten in kaart om te voldoen aan de verantwoordingsplichtvereisten van de GDPR.

Opleiding

Dit alles wordt ondersteund door uitgebreide opleidingsinspanningen binnen het bedrijf, zodat de GDPR-conforme processen die we hebben geïmplementeerd worden gevolgd. Bijvoorbeeld, privacy en beveiliging van gegevens zijn een integraal onderdeel van ons inwerkproces, en elke afdeling ontvangt training op maat voor hun werk met persoonlijke gegevens.

Pipedrive is ervan overtuigd dat voldoen aan de GDPR-eisen veel meer is dan alleen maar vakjes afvinken op een lijst. Voor ons vertegenwoordigt GDPR een levensstijl van respect voor de privacy van individuen en verantwoordelijkheid bij het omgaan met persoonlijke gegevens.