Kennisdatabase

25 mei 2018 markeert de start van de handhaving van de Algemene Verordening Gegevensbescherming van de Europese Unie. Deze nieuwe wetgeving heeft een aanzienlijke impact gehad op iedereen wiens bedrijf te maken heeft met het verwerken van persoonlijke gegevens over EU-burgers of binnen de EU. Natuurlijk staat persoonlijke data centraal in de verkoop, dus Pipedrive en onze gebruikers zijn ook druk bezig om ervoor te zorgen dat we compliant zijn.

Dit artikel biedt een overzicht van de gegevensgerelateerde rollen en verantwoordelijkheden wanneer je voor Pipedrive als je CRM-platform hebt gekozen en zal Pipedrive's inspanningen uitleggen om te voldoen aan de waarden en vereisten van de AVG.

---

Pipedrive als de gegevensverwerker

De personen die je in Pipedrive als contactpersonen opslaat, zijn jouw dat onderwerpen, en jij wordt beschouwd als de gegevensbeheerder voor deze persoonlijke gegevens. In onze Servicevoorwaarden en Privacybeleid, verwijzen we naar deze gegevens als cliëntgegevens.

Het gebruik van de Pipedrive-app om je klanten te beheren betekent dat je Pipedrive hebt ingeschakeld als gegevensverwerker om bepaalde verwerkingsactiviteiten namens jou uit te voeren.

Volgens artikel 28 van de GDPR moet de relatie tussen de beheerder en de verwerker schriftelijk worden vastgelegd (electronic vorm is aanvaardbaar volgens subsectie (9) van hetzelfde artikel).

Hier komt onze Gegevensverwerkingsovereenkomst (DPA), Servicevoorwaarden en Privacybeleid om de hoek kijken. Deze drie documenten fungeren als jouw gegevensverwerkingscontract, waarin de instructies zijn vastgelegd die je aan Pipedrive geeft over de verwerking van de persoonlijke gegevens die jij beheert en waarin de rechten en verantwoordelijkheden van beide partijen worden vastgesteld. Pipedrive zal jouw cliëntgegevens alleen verwerken op basis van jouw instructies als gegevensbeheerder.

Ten slotte is het van cruciaal belang om Sectie 14.1 van onze Servicevoorwaarden te controleren om te zien welke Pipedrive-entiteit jouw contractuele partner is.

Alle EU-klanten hebben een contractuele relatie met onze EU-entiteit, gevestigd in Estland.

---

Gegevensoverdrachten

Een onderwerp dat vaak ter sprake komt bij klanten, zijn gegevensoverdrachten buiten de EER.

De AVG stelt strenge eisen voor het verplaatsen van gegevens buiten de beschermingsscope. Dit is natuurlijk – anders zou het onmogelijk zijn voor de wet om zijn doel te vervullen.

Wie is verantwoordelijk voor het voldoen aan deze vereisten voor gegevensoverdracht? Aangezien onze EU-klanten een juridische relatie hebben met onze EU-entiteit, blijft deze gegevensoverdracht binnen de EER. Echter, als Pipedrive vervolgens sub-verwerkers buiten de EER inschakelt, is het onze taak om ervoor te zorgen dat we de gegevens op een wettelijke manier overdragen.

We zullen een actuele lijst van sub-verwerkers bijhouden op onze Sub-verwerkerspagina om volledig transparant te zijn over deze overdragen. Deze lijst zal ook uitleggen welke gegevens betrokken zijn en hoe we ervoor hebben gezorgd dat de gegevens adequaat worden beschermd, zelfs nadat ze de EER verlaten.

We doen dit door ervoor te zorgen dat onze externe serviceproviders zijn gecertificeerd onder het EU-VS Data Privacy Framework of de standaardcontractbepalingen van de EU-commisie voor gegevensoverdrachten met ons hebben ondertekend.

---

```html

Pipedrive als de verwerkingsverantwoordelijke

Bovendien fungeert Pipedrive als de verwerkingsverantwoordelijke voor de persoonlijke gegevens die we over jou verzamelen, de gebruiker van onze webapp, mobiele apps en website.

Allereerst verwerken we gegevens die nodig zijn om onze overeenkomst met jou na te komen (AVG Artikel 6(1)(b)).

Ten tweede verwerken we gegevens om te voldoen aan onze verplichtingen onder de wet (AVG Artikel 6(1)(c)) – dit betreft voornamelijk financiële gegevens en informatie die we nodig hebben om aan onze verantwoordingseisen onder de AVG te voldoen.

Ten derde verwerken we jouw persoonlijke gegevens voor onze legitieme belangen in overeenstemming met AVG Artikel 6(1)(f).

Wat zijn deze “legitieme belangen” waar we het over hebben?

• De app verbeteren om je te helpen nieuwe niveaus van productiviteit te bereiken
• Zorg ervoor dat jouw gegevens en de systemen van Pipedrive veilig en beveiligd zijn
• Verantwoord marketing van ons product en de functies ervan
  

Hopelijk helpt dit je om beter te navigeren door de gegevensbeschermingsvereisten van de EU. Als je vragen hebt over het bovenstaande, neem dan gerust contact met ons op via [email protected], en we zullen ons best doen om dingen verder uit te leggen.

```

---

Wat doet Pipedrive voor de AVG?

Als een bedrijf met wortels in Europa is Pipedrive goed op de hoogte van de implicaties die de Algemene Verordening Gegevensbescherming (AVG) heeft voor bedrijven.

We waarderen de privacybehoeften van Pipedrive-gebruikers en hun klanten en hebben dienovereenkomstig technische en organisatorische maatregelen geïmplementeerd – en zullen deze blijven verbeteren – in overeenstemming met de AVG om de persoonlijke gegevens die door Pipedrive worden verwerkt te waarborgen.

---

```html

Interne processen, beveiliging en gegevensoverdracht

Een groot deel van de naleving van de AVG is ervoor te zorgen dat procedures zijn ingesteld en gegevensprocessen in kaart zijn gebracht en controleerbaar zijn. Daarom hebben we elementen aan onze applicatie-ontwikkelingscyclus toegevoegd om functies te bouwen volgens de principes van Privacy by Design.

Toegang tot de klantgegevens die wij namens jou verwerken is strikt beperkt. Onze interne procedures en logs zorgen ervoor dat we voldoen aan de aansprakelijkheidseisen van de AVG in dit opzicht.

We hebben een proces opgesteld voor het onboarden van externe serviceproviders en het aannemen van tools die ervoor zorgen dat deze derden voldoen aan de hoge verwachtingen die Pipedrive en haar klanten hebben met betrekking tot privacy en beveiliging.

```

---

```html

Klaarheid om te voldoen aan verzoeken om toegang tot gegevens van betrokkenen

De eigendom van persoonsgegevens door betrokkenen staat centraal in de AVG. We zijn daarom bereid te reageren op verzoeken van betrokkenen om hun gegevens te verwijderen, te wijzigen of over te dragen.

Dit betekent dat onze klantenservicespecialisten en de ingenieurs die hen assisteren goed voorbereid zijn om u te helpen bij alle zaken met betrekking tot uw persoonsgegevens, naast het bieden van de fantastische klantenservice-ervaring waar u aan gewend bent.

```

---

Documentatie

Onze Algemene Voorwaarden en Privacyverklaring worden voortdurend herzien om de transparantie te vergroten en ervoor te zorgen dat de documenten voldoen aan de GDPR-eisen. Aangezien dit de basis vormt voor onze relatie met jou, moeten we onze verplichtingen en jouw rechten in deze documenten uitgebreid en openlijk uitleggen.

Bovendien brengen we voortdurend al onze gegevensverwerkingsactiviteiten in kaart om te voldoen aan de verantwoordingsvereisten van de GDPR.

---

Training

Al het bovenstaande wordt ondersteund door uitgebreide inspanningen op het gebied van training binnen het bedrijf, om ervoor te zorgen dat de GDPR-conforme processen die we hebben ingevoerd, worden gevolgd. Bijvoorbeeld, sessies over gegevensprivacy en -beveiliging zijn een integraal onderdeel van ons onboardingproces, en elke afdeling ontvangt training die is afgestemd op hun werk met persoonlijke gegevens.

Pipedrive is er sterk van overtuigd dat het voldoen aan GDPR-eisen veel meer is dan alleen het afvinken van vakjes op een lijst. Voor ons vertegenwoordigt GDPR een levensstijl van respect voor de privacy van individuen en verantwoordelijkheid in het omgaan met persoonlijke gegevens.