Kennisdatabase

25 mei 2018 markeert het begin van de handhaving van de Algemene Verordening Gegevensbescherming van de Europese Unie. Deze nieuwe wetgeving heeft aanzienlijke gevolgen gehad voor iedereen wiens bedrijf betrokken is bij het verwerken van persoonlijke gegevens over EU-burgers of binnen de EU. Natuurlijk staat persoonlijke data centraal bij het werken in sales, dus Pipedrive en onze gebruikers zijn ook druk bezig geweest om ervoor te zorgen dat we voldoen aan de regelgeving.

Dit artikel geeft een overzicht van de rollen en verantwoordelijkheden met betrekking tot gegevens wanneer u Pipedrive heeft gekozen als uw CRM-platform en zal de inspanningen van Pipedrive toelichten om te voldoen aan de waarden en eisen van de GDPR.

Pipedrive als de gegevensverwerker

De mensen die u in Pipedrive opslaat als contacten zijn uw gegevenssubjecten en u wordt beschouwd als de gegevensbeheerder voor deze persoonsgegevens. In onze Servicevoorwaarden en Privacybeleid verwijzen wij naar deze gegevens als klantgegevens.

Het gebruik van de Pipedrive-app voor het beheren van uw klanten betekent dat u Pipedrive hebt ingeschakeld als gegevensverwerker om bepaalde verwerkingsactiviteiten namens u uit te voeren.

Volgens artikel 28 van de GDPR moet de relatie tussen de beheerder en de verwerker schriftelijk worden vastgelegd (elektronische vorm is acceptabel onder lid 9 van hetzelfde artikel).

Hier komen ons Addendum gegevensverwerking (DPA), Servicevoorwaarden en Privacybeleid in beeld. Deze drie documenten dienen als uw gegevensverwerkingscontract, waarin de instructies worden uiteengezet die u aan Pipedrive geeft over de verwerking van de persoonsgegevens die u beheert en waarin de rechten en verantwoordelijkheden van beide partijen worden vastgesteld. Pipedrive zal uw klantgegevens alleen verwerken op basis van uw instructies als de gegevensbeheerder.

Tot slot is het cruciaal om Sectie 14.1 van onze Servicevoorwaarden te controleren om te zien welke Pipedrive-entiteit uw contractuele partner is.

Alle EU-klanten hebben een contractuele relatie met ons EU-entiteit, gevestigd in Estland.

Gegevensoverdrachten

Een onderwerp dat vaak ter sprake komt bij klanten is gegevensoverdrachten buiten de EER.

De AVG stelt strenge eisen aan het verplaatsen van gegevens buiten haar beschermingsgebied. Dit is alleen maar logisch - anders zou het onmogelijk zijn voor de wet om haar doel te bereiken.

Wie is verantwoordelijk voor het voldoen aan deze eisen voor gegevensoverdracht? Aangezien onze EU-klanten een juridische relatie hebben met onze EU-entiteit, blijft deze gegevensoverdracht binnen de EER. Als Pipedrive echter later subverwerkers buiten de EER inschakelt, is het onze taak om ervoor te zorgen dat we de gegevens rechtmatig overdragen.

We zullen een actuele lijst van subverwerkers op onze Subverwerkers pagina bijhouden om volledig transparant te zijn over deze overdrachten. Deze lijst zal ook uitleggen welke gegevens erbij betrokken zijn en hoe we hebben gegarandeerd dat de gegevens adequaat worden beschermd, zelfs nadat ze de EER hebben verlaten.

Dit doen we door ervoor te zorgen dat onze externe dienstverleners ofwel zijn gecertificeerd onder het EU-VS-gegevens privacykader of de standaard contractuele clausules voor gegevensoverdrachten van de EU-Commissie met ons hebben ondertekend.

Pipedrive als de gegevensbeheerder

Daarnaast treedt Pipedrive op als de gegevensbeheerder voor de persoonlijke gegevens die we verzamelen over jou, de gebruiker van onze web-app, mobiele apps en website.

Allereerst verwerken we gegevens die nodig zijn om onze overeenkomst met jou uit te voeren (AVG Artikel 6(1)(b)).

Ten tweede verwerken we gegevens om te voldoen aan onze verplichtingen onder de wet (AVG Artikel 6(1)(c)) - dit betreft voornamelijk financiële gegevens en informatie die we nodig hebben om te voldoen aan onze verantwoordingsplichten onder de AVG.

Ten derde verwerken we jouw persoonlijke gegevens voor onze legitieme belangen in overeenstemming met AVG Artikel 6(1)(f).

Wat zijn deze "legitieme belangen" waarover we praten?

• Verbetering van de app om je te helpen nieuwe niveaus van productiviteit te bereiken
• Zorgen dat jouw gegevens en de systemen van Pipedrive veilig en beveiligd zijn
• Verantwoorde marketing van ons product en de functies ervan
  

Hopelijk helpt dit je om de eisen voor gegevensbescherming van de EU beter te begrijpen. Als je vragen hebt over het bovenstaande, kun je contact met ons opnemen via [email protected], en we zullen ons best doen om de zaken verder uit te leggen.

Wat doet Pipedrive voor de GDPR?

Als bedrijf met wortels in Europa, is Pipedrive goed op de hoogte van de implicaties die de Algemene verordening gegevensbescherming van de EU heeft voor bedrijven.

Wij waarderen de privacybehoeften van Pipedrive-gebruikers en hun klanten en hebben daarom technische en organisatorische maatregelen geïmplementeerd – en zullen blijven verbeteren – in overeenstemming met de GDPR om de persoonlijke gegevens die door Pipedrive worden verwerkt, te beschermen.

Interne processen, beveiliging en gegevensoverdrachten

Een groot deel van de GDPR-naleving is ervoor te zorgen dat procedures zijn ingevoerd en gegevensprocessen zijn gemapt en controleerbaar zijn. Daarom hebben we elementen toegevoegd aan onze applicatie-ontwikkelingscyclus om functies te bouwen volgens de principes van Privacy by Design.

Toegang tot de clientgegevens die we namens u verwerken is strikt beperkt. Onze interne procedures en logs zorgen ervoor dat we voldoen aan de GDPR-verantwoordingsvereisten op dit gebied.

We hebben een proces opgesteld voor het onboarden van derde serviceproviders en het adopteren van tools die ervoor zorgen dat deze derde partijen voldoen aan de hoge verwachtingen die Pipedrive en haar klanten hebben op het gebied van privacy en beveiliging.

Bereidheid om te voldoen aan verzoeken tot inzage van gegevens

Het eigendom van hun persoonlijke gegevens door de betrokkenen staat centraal in de AVG. We zijn daarom klaar om te reageren op verzoeken van betrokkenen om hun gegevens te verwijderen, wijzigen of over te dragen.

Dit betekent dat onze klantensupportspecialisten en de ingenieurs die hen assisteren goed zijn voorbereid om u te helpen bij alle zaken die uw persoonlijke gegevens betreffen, naast het bieden van de fantastische klantenservice-ervaring waar u aan gewend bent.

Documentatie

Onze Servicevoorwaarden en Privacybeleid worden voortdurend herzien om de transparantie te vergroten en ervoor te zorgen dat de documenten voldoen aan de GDPR-vereisten. Aangezien dit de basis vormt voor onze relatie met u, moeten we onze verplichtingen en uw rechten uitgebreid en openlijk uitleggen in deze documenten.

Daarnaast brengen we voortdurend al onze gegevensverwerkingsactiviteiten in kaart om te kunnen voldoen aan de verantwoordingsvereisten van de GDPR.

Training

Dit alles wordt ondersteund door uitgebreide trainingsinspanningen binnen het bedrijf, waardoor de GDPR-conforme processen die wij hebben geïmplementeerd worden gevolgd. Bijvoorbeeld, gegevensprivacy- en beveiligingssessies maken integraal deel uit van ons inwerkproces, en elk departement ontvangt training op maat voor hun werk met persoonlijke gegevens.

Pipedrive is er stellig van overtuigd dat het voldoen aan de GDPR-vereisten veel meer is dan alleen vakjes afvinken op een lijst. Voor ons vertegenwoordigt GDPR een levensstijl van respect voor de privacy van individuen en verantwoordelijkheid bij het omgaan met persoonsgegevens.