Kennisdatabase

25 mei 2018 markeert het begin van handhaving van de Algemene Verordening Gegevensbescherming van de Europese Unie. Deze nieuwe wetgeving heeft aanzienlijke gevolgen gehad voor iedereen wiens bedrijf het verwerken van persoonlijke gegevens van EU-burgers of binnen de EU omvat. Natuurlijk is persoonlijke gegevens essentieel voor werken in sales, dus Pipedrive en onze gebruikers hebben ook druk bezig geweest om te zorgen dat we voldoen aan de wetgeving.

Dit artikel geeft een overzicht van de gegevensgerelateerde rollen en verantwoordelijkheden wanneer je Pipedrive als jouw CRM-platform hebt gekozen en zal de inspanningen van Pipedrive toelichten om te voldoen aan de waarden en eisen van de GDPR.

Pipedrive als de gegevensverwerker

De personen die u in Pipedrive opslaat als contacten zijn uw gegevenssubjecten, en u wordt beschouwd als de gegevensbeheerder voor deze persoonlijke gegevens. In onze Servicevoorwaarden en Privacybeleid, verwijzen we naar deze gegevens als klantgegevens.

Het gebruiken van de Pipedrive-app om uw klanten te beheren betekent dat u Pipedrive heeft ingeschakeld als gegevensverwerker om bepaalde verwerkingsactiviteiten namens u uit te voeren.

Volgens artikel 28 van de AVG moet de relatie tussen de beheerder en de verwerker schriftelijk worden vastgelegd (elektronische vorm is aanvaardbaar in overeenstemming met lid 9 van hetzelfde artikel).

Hier komen onze Gegevensverwerkingsaanvulling (DPA), Servicevoorwaarden en Privacybeleid in beeld. Deze drie documenten dienen als uw gegevensverwerkingscontract, waarin de instructies staan die u aan Pipedrive geeft over het verwerken van de persoonlijke gegevens die u beheert en waarin de rechten en verantwoordelijkheden van beide partijen worden vastgelegd. Pipedrive zal uw klantgegevens alleen verwerken op basis van uw instructies als de gegevensbeheerder.

Tot slot is het cruciaal om sectie 14.1 van onze Servicevoorwaarden te controleren om te zien welke Pipedrive-entiteit uw contractuele partner is.

Alle EU-klanten hebben een contractuele relatie met onze EU-entiteit, gevestigd in Estland.

Gegevensoverdrachten

Een onderwerp dat vaak naar voren komt bij klanten is gegevensoverdrachten buiten de EER.

De GDPR stelt strenge eisen aan het verplaatsen van gegevens buiten zijn beschermingsgebied. Dit is alleen maar logisch - anders zou het onmogelijk zijn voor de wet om haar doel te bereiken.

Wie is verantwoordelijk voor het voldoen aan deze eisen voor gegevensoverdracht? Aangezien onze EU-klanten een juridische relatie hebben met onze EU-entiteit, blijft deze gegevensoverdracht binnen de EER. Als Pipedrive echter later subverwerkers buiten de EER inschakelt, is het onze taak ervoor te zorgen dat we de gegevens rechtmatig overdragen.

We zullen een actuele lijst van subverwerkers bijhouden op onze Subverwerkers pagina om volledig transparant te zijn over deze overdrachten. In deze lijst wordt ook uitgelegd welke gegevens erbij betrokken zijn en hoe we hebben gegarandeerd dat de gegevens voldoende beschermd zijn, zelfs nadat ze de EER hebben verlaten.

Dit doen we door ervoor te zorgen dat onze externe dienstverleners ofwel zijn gecertificeerd onder het EU-VS-gegevensbeschermingskader of de standaard contractuele clausules voor gegevensoverdrachten van de EU-Commissie met ons hebben ondertekend.

Pipedrive als de gegevensbeheerder

Daarnaast treedt Pipedrive op als de gegevensbeheerder voor de persoonlijke gegevens die we verzamelen over u, de gebruiker van onze web-app, mobiele apps en website.

Allereerst verwerken we gegevens die noodzakelijk zijn voor het uitvoeren van ons contract met u (AVG Artikel 6(1)(b)).

Ten tweede verwerken we gegevens om te voldoen aan onze wettelijke verplichtingen (AVG Artikel 6(1)(c)) - dit omvat voornamelijk financiële gegevens en informatie die we nodig hebben om te voldoen aan onze verantwoordingsplichten onder de AVG.

Ten derde verwerken we uw persoonlijke gegevens voor onze legitieme belangen in overeenstemming met AVG Artikel 6(1)(f).

Waarover hebben we het wanneer we praten over deze "legitieme belangen"?

• Het verbeteren van de app om u te helpen nieuwe niveaus van productiviteit te bereiken
• Ervoor zorgen dat uw gegevens en de systemen van Pipedrive veilig en beveiligd zijn
• Verantwoorde marketing van ons product en de functies ervan
  

Hopelijk helpt dit u om de vereisten voor gegevensbescherming van de EU beter te begrijpen. Als u vragen heeft over het bovenstaande, kunt u contact met ons opnemen via [email protected], en we zullen ons best doen om de zaken verder uit te leggen.

Wat doet Pipedrive voor de GDPR?

Als bedrijf met wortels in Europa, is Pipedrive goed op de hoogte van de implicaties die de Algemene verordening gegevensbescherming van de EU heeft voor bedrijven.

Wij waarderen de privacybehoeften van Pipedrive gebruikers en hun klanten en hebben daarom technische en organisatorische maatregelen geïmplementeerd - en zullen deze blijven verbeteren - in overeenstemming met de GDPR om de persoonlijke gegevens die door Pipedrive worden verwerkt te beschermen.

Interne processen, beveiliging en gegevensoverdrachten

Een groot deel van de GDPR-naleving is ervoor zorgen dat procedures zijn vastgesteld en gegevensprocessen in kaart zijn gebracht en controleerbaar zijn. Daarom hebben we elementen toegevoegd aan onze applicatie-ontwikkelingscyclus om functies te bouwen volgens de principes van Privacy by Design.

Elke toegang tot de klantgegevens die wij namens u verwerken, is strikt beperkt. Onze interne procedures en logs zorgen ervoor dat we voldoen aan de GDPR-verantwoordingsvereisten op dit gebied.

We hebben een proces opgezet voor het onboarden van externe serviceproviders en het aannemen van tools die ervoor zorgen dat deze derde partijen voldoen aan de hoge verwachtingen die Pipedrive en zijn klanten hebben op het gebied van privacy en beveiliging.

Bereidheid om te voldoen aan verzoeken tot inzage door de betrokkene

De eigendom van persoonsgegevens door de betrokkene staat centraal in de AVG. We zijn dan ook klaar om te reageren op verzoeken van betrokkenen om hun gegevens te verwijderen, aan te passen of over te dragen.

Dit betekent dat onze klantenservicespecialisten en de ingenieurs die hen helpen goed zijn voorbereid om u te helpen bij alle zaken met betrekking tot uw persoonsgegevens, naast het bieden van de fantastische klantenondersteuning die u gewend bent.

Documentatie

Onze Servicevoorwaarden en Privacybeleid worden voortdurend herzien om de transparantie te vergroten en ervoor te zorgen dat de documenten voldoen aan de GDPR-vereisten. Omdat dit de basis vormt van onze relatie met u, moeten we onze verbintenissen en uw rechten uitgebreid en openlijk uitleggen in deze documenten.

Bovendien brengen we voortdurend al onze gegevensverwerkingsactiviteiten in kaart om te kunnen voldoen aan de eisen voor verantwoording van de GDPR.

Opleiding

Dit alles wordt ondersteund door uitgebreide trainingsinspanningen binnen het bedrijf, waardoor de GDPR-conforme processen die we hebben opgezet, worden gevolgd. Bijvoorbeeld, sessies over gegevensprivacy en beveiliging zijn een integraal onderdeel van ons inwerkingsproces, en elke afdeling krijgt training die is afgestemd op hun werk met persoonsgegevens.

Pipedrive is er stellig van overtuigd dat voldoen aan GDPR-vereisten veel meer is dan alleen het afvinken van vakjes op een lijst. Voor ons vertegenwoordigt GDPR een levensstijl van respect voor de privacy van individuen en verantwoordelijkheid bij het omgaan met persoonsgegevens.