AVG / GDPR heeft invloed op jouw bedrijf in combinatie met het gebruik van Simplicate, want in Simplicate verwerken we namens jouw bedrijf persoonsgegevens. Op deze pagina lees je hoe Simplicate je helpt om klaar te zijn voor de AVG / GDPR.

Privacy krijgt steeds meer aandacht en dat is natuurlijk ook heel logisch. Het is belangrijk te weten wat er met gegevens gebeurt en te voorkomen dat deze voor ongewenste doeleinden gebruikt worden. 

De General Data Protection Regulation (GDPR) is een verordening vanuit de EU. In Nederland is deze bekend als de Algemene Verordening Gegevensbescherming (AVG). Dus GDPR en AVG zijn hetzelfde.  

De wet heeft als doelstelling om personen het vertrouwen te geven dat er alles aan gedaan wordt om gegevens niet zomaar te gebruiken voor processen waarvan we geen weet hebben. En te waarborgen dat gegevens niet zomaar op straat komen te liggen of in handen komen van bedrijven, instellingen of personen zonder dat de persoon in kwestie daar toestemming voor heeft gegeven. 

De toezichthouder op de naleving van de AVG / GDPR is in Nederland de Autoriteit Persoonsgegevens. 

Wanneer jouw bedrijf werkt met persoonsgegevens, en dat is bijna altijd zo, dan moet je voldoen aan deze AVG / GDPR.

Over het ontstaan en alle gevolgen van de wet is recent al heel veel informatie gedeeld, door allerlei partijen. In dit artikel leggen we je uit hoe Simplicate je helpt om te voldoen aan de wettelijke eisen. 

In de AVG / GDPR wetgeving worden voor de betrokken partijen verschillende rollen onderscheiden. Deze zijn als volgt:

In deze verdeling:

Daarnaast is Simplicate naast verwerker ook verantwoordelijke voor de persoonsgegevens die wij zelf vergaren. Bijvoorbeeld voor marketing richting onze prospects, bij het bieden van support aan onze gebruikers maar ook bij het verwerken van de gegevens van onze medewerkers.

De belangrijkste aandachtspunten binnen de GDPR / AVG hebben we op een rij gezet. Eerst vertellen we wat de rechten van ‘betrokken personen’ zijn en de verplichtingen die je als bedrijf hebt. Daaronder staat hoe Simplicate je helpt om hieraan te voldoen:

Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt én als er geen geldig tegenargument gegeven kan worden.

In Simplicate kun je persoonsgegevens verwijderen. Hierbij leidt het verwijderen van een persoon ook tot een fysieke verwijdering van het record. De gegevens blijven nog tot maximaal 30 dagen in de back-ups bewaard en zijn daarna volledig verwijderd.

Wanneer een persoon is gekoppeld aan bijvoorbeeld offertes of projecten in het systeem dan kun je de persoon niet direct verwijderen, omdat er verbanden bestaan. Je moet dan de persoon eerst ontkoppelen bij deze modules om hem/haar vervolgens te verwijderen.

Een betrokkene heeft het recht om zijn of haar gegevens te exporteren zodat deze in andere situaties weer kunnen worden gebruikt. 

De mogelijkheden in Simplicate, zoals (Excel) exports en API-mogelijkheden om gegevens uit de software te halen zijn voldoende om aan dit deel van de wetgeving te kunnen voldoen.

Een betrokkene heeft het recht om zijn of haar vastgelegde gegevens in te zien en op te vragen.

In Simplicate zoek je eenvoudig op een persoon. Als je de persoon opent zie je precies welke persoonsgegevens zijn vastgelegd. Je kunt ze vervolgens delen met de persoon die om inzicht heeft verzocht. Als je het verzoek van een natuurlijk persoon krijgt om de vastgelegde gegevens in te mogen zien, dan kun je deze gegevens via de exportfunctie exporteren. Hiermee kan de aanvrager kijken welke gegevens er zijn vastgelegd en of deze juist zijn.

Het is niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk. Daarom is het belangrijk om in het ontwerp van je processen de vraag mee te nemen tot wanneer gegevens nog nodig zijn. Het antwoord op die vraag geeft een bewaartermijn.

Je kunt bij persoonsgegevens een datumveld ‘bewaartermijn’ toevoegen waarin je de uiterlijke bewaartermijn registreert. Hierop kun je zoeken en filteren om overzichten te maken van gegevens buiten de bewaartermijn.

Je moet voor ieder persoonsgegeven dat je verwerkt een zogenaamde grondslag hebben. Dit kan bijvoorbeeld zijn omdat je een contractuele verplichting hebt en de gegevens nodig hebt voor het uitvoeren van de overeenkomst. Een ander voorbeeld van een grondslag is dat de persoon actief toestemming heeft gegeven voor verwerking.

Bij de persoonsgegevens kun je de voor jouw proces gewenste velden toevoegen voor het vastleggen van de grondslag waarom je deze gegevens verwerkt. Op basis van deze velden kun je lijsten genereren van bijvoorbeeld alle personen in je database waarvan de grondslag nog niet is vastgelegd.

Gegevens moeten zo verwerkt worden dat gepaste beveiliging van persoonsgegevens is gewaarborgd. Op deze manier moeten persoonsgegevens beschermd zijn tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. 

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Hoewel datalekken vaak vooral alleen vanuit een technisch risico worden gezien kunnen datalekken ook op andere manieren ontstaan, bijvoorbeeld:

Bedrijven zijn verplicht binnen 72 uur na constatering een datalek te melden bij de Autoriteit Persoonsgegevens, tenzij je kunt aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

Beveiliging en data privacy nemen we zeer serieus bij Simplicate. Zo ontwikkelden wij onze architectuur zo dat alle omgevingen en databases van verschillende klanten fysiek gescheiden zijn. Aanvullend loopt al ons dataverkeer via versleutelde verbindingen. Wil je meer weten over de maatregelen die wij nemen dan kun je dit artikel lezen. 

Simplicate heeft een interne procedure voor incidentmanagement. Deze procedure specificeert ook de stappen die wij ondernemen in het geval van een datalek.

De software van Simplicate beschikt daarnaast over een zeer uitgebreide autorisatiemodule waar je de rechten rondom persoonsgegevens voor alle gebruikers kunt regelen. Je kunt daarnaast precies zien welke personen en API keys toegang hebben tot (exports van) persoonsgegevens. Op die manier helpen we je het risico op data- en beveiligingslekken te verminderen.

Als verwerker van de persoonsgegevens die jij als verantwoordelijke vergaart, vastlegt en beheert sluiten wij met elkaar een overeenkomst genaamd de verwerkersovereenkomst. Onze overeenkomst is opgesteld door een advocaat die gespecialiseerd is in ICT en privacyrecht en hierin leggen we een aantal afspraken vast die wij met elkaar maken omtrent de rollen en verantwoordelijkheden. De overeenkomst is ter ondertekening beschikbaar gesteld aan de Account Eigenaar die tekenbevoegd moet zijn in jouw Simplicate omgeving. 

Wil je na dit bericht meer weten over de AVG / GDPR dan raden we je aan om de blogs van advocaat Koen Konings van NORD Advocaten over dit onderwerp te lezen. Hij is expert op het gebied van privacy en heeft geholpen om Simplicate AVG / GDPR compliant te maken.