Dit artikel is automatisch vertaald
Pipedrive en AVG
25 mei 2018 markeert het begin van de handhaving van de Algemene verordening gegevensbescherming van de Europese Unie.
Deze nieuwe wetgeving heeft grote gevolgen gehad voor iedereen wiens bedrijf te maken heeft met het verwerken van persoonsgegevens van EU-inwoners of binnen de EU. Persoonsgegevens vormen van nature de kern van het werk in de verkoop, dus Pipedrive en onze gebruikers zijn ook druk bezig geweest om ervoor te zorgen dat we voldoen aan de regelgeving.
Dit artikel geeft een overzicht van de gegevensgerelateerde rollen en verantwoordelijkheden wanneer u Pipedrive als uw CRM-platform heeft gekozen, en legt uit welke inspanningen Pipedrive levert om te voldoen aan de waarden en vereisten van de Algemene verordening gegevensbescherming.
Pipedrive als verwerker
De personen die u in Pipedrive als contactpersonen opslaat, zijn uw betrokkenen, en u wordt beschouwd als de verwerkingsverantwoordelijke voor deze persoonsgegevens. In onze Gebruiksvoorwaarden en Privacyverklaring verwijzen we naar deze gegevens als klantgegevens (de gegevens die u binnen Pipedrive verwerkt).
Het gebruik van de Pipedrive-app om uw klanten te beheren betekent dat u Pipedrive hebt ingeschakeld als verwerker om bepaalde verwerkingsactiviteiten namens u uit te voeren.
Volgens artikel 28 van de AVG moet de relatie tussen de verwerkingsverantwoordelijke en de verwerker schriftelijk worden vastgelegd (ook in elektronische vorm zoals toegestaan in lid 9 van hetzelfde artikel).
Hiervoor dienen ons Addendum voor gegevensverwerking (DPA), de Gebruiksvoorwaarden en de Privacyverklaring. Deze drie documenten vormen uw verwerkersovereenkomst, waarin de instructies staan die u aan Pipedrive geeft voor de verwerking van de persoonsgegevens waarvoor u verantwoordelijk bent en waarin de rechten en verantwoordelijkheden van beide partijen worden vastgelegd. Pipedrive zal als verwerker uw klantgegevens uitsluitend verwerken op basis van uw instructies als verwerkingsverantwoordelijke.
Controleer ten slotte sectie 14.1 van onze Gebruiksvoorwaarden om te zien welke Pipedrive-entiteit uw contractuele partner is.
Alle EU-klanten hebben een contractuele relatie met onze EU-entiteit, gevestigd in Estland.
Gegevensoverdrachten
Een onderwerp dat bij klanten vaak naar voren komt, is gegevensoverdrachten buiten de EEA.
De AVG stelt strikte eisen aan het overdragen van gegevens buiten haar beschermingsgebied. Dat is alleen maar logisch – anders zou het voor de wet onmogelijk zijn haar doel te vervullen.
Wie is verantwoordelijk voor het voldoen aan deze eisen voor gegevensoverdracht? Aangezien onze EU-klanten een juridische relatie hebben met onze EU-entiteit, blijft deze gegevensoverdracht binnen de EEA. Als Pipedrive echter later subverwerkers buiten de EEA inschakelt, is het onze taak te zorgen dat we de gegevens op een rechtmatige manier overdragen.
We houden een actuele lijst van subverwerkers bij op onze pagina met subverwerkers om volledige transparantie over deze overdrachten te waarborgen. Deze lijst legt ook uit welke gegevens erbij betrokken zijn en hoe we hebben gegarandeerd dat de gegevens adequaat beschermd blijven, zelfs nadat ze de EEA hebben verlaten.
Dit doen we door ervoor te zorgen dat onze dienstverleners van derden ofwel gecertificeerd zijn onder het EU-US Data Privacy Framework, ofwel de standaardcontractbepalingen van de Europese Commissie voor gegevensoverdrachten met ons hebben ondertekend. Het is echter belangrijk op te merken dat we niet vertrouwen op DPF als mechanisme voor gegevensoverdracht.
Wij houden ons aan de toepasselijke wet- en regelgeving op het gebied van gegevensbescherming bij het overdragen van gegevens tussen regio's of landen, en passen daarvoor passende waarborgen toe, zoals gegevensversleuteling en contractuele afspraken (DPA's, SCC's indien van toepassing), om naleving te waarborgen en de privacy van onze klanten te beschermen.
Pipedrive als verwerkingsverantwoordelijke
Daarnaast treedt Pipedrive op als verwerkingsverantwoordelijke voor de persoonsgegevens die we van u verzamelen, de gebruiker van onze webapp, mobiele apps en website.
Allereerst verwerken we gegevens die noodzakelijk zijn om onze overeenkomst met u uit te voeren (GDPR Artikel 6(1)(b)).
Ten tweede verwerken we gegevens om te voldoen aan onze wettelijke verplichtingen (GDPR Artikel 6(1)(c)). Dit betreft voornamelijk financiële gegevens en informatie die we nodig hebben om te voldoen aan onze verantwoordingsverplichtingen onder de GDPR.
Ten derde verwerken we uw persoonsgegevens voor onze gerechtvaardigde belangen in overeenstemming met GDPR Artikel 6(1)(f).
Wat zijn die “gerechtvaardigde belangen” waar we het over hebben?
- De app verbeteren om u te helpen nieuwe niveaus van productiviteit te bereiken
- Zorgen dat uw gegevens en de systemen van Pipedrive veilig en beveiligd zijn
- Verantwoorde marketing van ons product en de bijbehorende functies
Hopelijk helpt dit u om de gegevensbeschermingsvereisten van de EU beter te begrijpen.
Wat doet Pipedrive om te voldoen aan de AVG?
Als een bedrijf met wortels in Europa is Pipedrive goed gepositioneerd om de implicaties van de EU Algemene Verordening Gegevensbescherming (AVG) voor bedrijven te begrijpen.
Wij begrijpen de privacybehoeften van Pipedrive-gebruikers en hun klanten en hebben daarom technische en organisatorische maatregelen ingevoerd — en zullen deze blijven verbeteren — in overeenstemming met de AVG om de door Pipedrive verwerkte persoonsgegevens te beschermen.
Interne processen, beveiliging en gegevensoverdrachten
Een groot deel van de naleving van de AVG bestaat uit het waarborgen dat procedures zijn vastgelegd en dat gegevensprocessen in kaart zijn gebracht en controleerbaar zijn. Daarom hebben wij elementen in onze applicatieontwikkelingscyclus opgenomen om functionaliteiten te bouwen in overeenstemming met de principes van Privacy by Design en Security by Design.
Elke toegang tot de klantgegevens die wij namens u verwerken is strikt beperkt. Onze interne procedures en logboeken zorgen ervoor dat we in dit opzicht voldoen aan de verantwoordingsvereisten van de AVG.
We hebben een proces opgezet voor het onboarden van externe dienstverleners en het inzetten van tools die ervoor zorgen dat deze derden voldoen aan de hoge verwachtingen die Pipedrive en haar klanten hebben op het gebied van privacy en beveiliging.
Bereidheid om te voldoen aan verzoeken van betrokkenen om inzage
Het eigenaarschap van persoonsgegevens door betrokkenen staat centraal in de AVG. Wij zijn daarom klaar om te reageren op verzoeken van betrokkenen om hun gegevens te verwijderen, te wijzigen of over te dragen.
Dit betekent dat onze medewerkers van de klantenservice en de technici die hen ondersteunen goed voorbereid zijn om u te helpen bij alle zaken die uw persoonsgegevens betreffen, naast het bieden van de uitstekende klantenservice-ervaring waaraan u gewend bent.
Documentatie
Onze Algemene Voorwaarden en Privacyverklaring worden regelmatig bijgewerkt om de transparantie te vergroten en te zorgen voor naleving van de AVG-vereisten.
Aangezien deze documenten de basis vormen van onze relatie met u, moeten wij een uitgebreide en transparante uitleg geven van onze verplichtingen en uw rechten.
Bovendien brengen we voortdurend al onze gegevensverwerkingsactiviteiten in kaart om te voldoen aan de verantwoordingsvereisten van de AVG.
Training
Het bovenstaande wordt ondersteund door uitgebreide trainingsinspanningen binnen het bedrijf, waarmee wordt gegarandeerd dat de door ons ingevoerde AVG-conforme processen worden nageleefd.
Onze medewerkers volgen regelmatig trainingen en bewustwordingsprogramma’s over privacy en beveiliging, zodat zij op de hoogte zijn van best practices, actuele bedreigingen en hoe zij persoonsgegevens kunnen beschermen. Zo maken sessies over gegevensprivacy en -beveiliging integraal deel uit van ons onboardingproces, en ontvangt iedere afdeling training op maat die is afgestemd op hun werkzaamheden met persoonsgegevens.
Pipedrive is er stellig van overtuigd dat het voldoen aan de eisen van de AVG veel meer is dan het afvinken van punten op een lijst. Voor ons staat de AVG voor een verplichting om de privacy van personen te respecteren en verantwoordelijkheid te nemen voor de verwerking van persoonsgegevens.
Was dit artikel nuttig?
Ja
Nee