GDPR Compliance en Data Privacy

Introductie

Onze Amerikaanse software vindt de privacy van jou en je klanten super belangrijk. Ze houden alle ontwikkelingen rondom gegevensbescherming scherp in de gaten, zodat jij je geen zorgen hoeft te maken als je ons platform gebruikt.

We zijn officieel gecertificeerd onder het EU Data Privacy Framework. Dat betekent dat je persoonlijke gegevens nog beter beschermd zijn als je ons platform gebruikt.

Op deze pagina leggen we je uit wat de regels zijn, hoe ze van toepassing zijn op jouw gebruik van ons platform, en wat wij doen om alles netjes volgens de regels te laten verlopen.

Lees dit document samen met ons Privacybeleid door. Schroom niet om contact op te nemen met een juridisch expert wanneer je meer informatie of advies nodig hebt.

De General Data Protection Regulation (GDPR)

De GDPR, is een EU-verordening die ervoor zorgt dat de regels voor gegevensbescherming en privacy in de hele EU hetzelfde zijn. Deze regels gelden overal waar persoonlijke gegevens van EU-burgers worden gebruikt.

Het doel van de GDPR is om mensen meer controle te geven over hoe bedrijven hun gegevens gebruiken. Ook moet het duidelijker worden hoe gegevens worden verzameld en verwerkt.

Na de Brexit is de GDPR ook in het Britse recht opgenomen. Dat betekent dat Britse bedrijven zich nog steeds aan deze regels moeten houden, maar dan onder de naam 'UK GDPR'.

De basis van de GDPR

Verwerkingsverantwoordelijke en verwerker

De GDPR legt verschillende verplichtingen op, afhankelijk van of je een gegevensbeheerder of een gegevensverwerker bent.

Een gegevensbeheerder is degene die beslist om persoonlijke gegevens te verwerken en bepaalt hoe en waarom dat gebeurt. Als gegevensbeheerder heb je bepaalde verplichtingen. Zorg dat je die goed kent voordat je gegevens van je klanten gaat verzamelen.

Een verwerker verwerkt gegevens in opdracht van de gegevensbeheerder. Ze nemen zelf geen beslissingen over de gegevens of de verwerking ervan, maar volgen alleen de instructies van de gegevensbeheerder.

Als je onze Amerikaanse software gebruikt, ben jij de gegevensbeheerder. Jij bepaalt welke gegevens je in ons systeem zet, wat je ermee doet en waarom. Het is dus jouw verantwoordelijkheid om ervoor te zorgen dat je een goede reden hebt om de gegevens te verwerken en dat je ze niet langer bewaart dan nodig is.

Zorg dat je snapt wat je verplichtingen als gegevensbeheerder zijn. Pas je eigen systemen en beleid aan zodat je op een legale manier persoonlijke gegevens naar onze Amerikaanse software kunt sturen.

Onze Amerikaanse software is de verwerker. Wij slaan de gegevens die jij verzamelt op en beheren ze volgens jouw instructies. We zullen nooit persoonlijke gegevens die jij in ons systeem hebt gezet voor onze eigen doeleinden gebruiken of iets doen zonder jouw toestemming.

Wettelijke basis voor verwerking

Je mag alleen persoonlijke gegevens verzamelen en verwerken als je daar een goede reden voor hebt. De GDPR noemt een aantal van die redenen.

Als verwerker vertrouwen wij erop dat onze klanten de juiste reden kiezen voor het verzamelen en verwerken van persoonlijke gegevens. We gaan er ook vanuit dat je de juiste mededelingen doet en toestemmingen vraagt. Voordat je onze Amerikaanse software gaat gebruiken, is het slim om even na te denken over welke redenen voor jou van toepassing zijn. Verzamel en bewaar alleen de gegevens die je echt nodig hebt voor die reden. Verander niet zomaar de reden waarom je gegevens hebt verzameld. Het is belangrijk dat je de verschillende redenen goed begrijpt en de juiste kiest vanaf het begin.

Rechten van betrokkenen

De GDPR geeft mensen (in dit geval jouw klanten) bepaalde rechten over hun persoonlijke gegevens. Ze mogen bijvoorbeeld vragen om inzage, correctie of verwijdering van hun gegevens.

Onze Amerikaanse software heeft handige systemen om ons te laten weten als jij zo'n verzoek krijgt van een klant, of om jou te informeren als wij zo'n verzoek krijgen. We zorgen er dan voor dat we deze verzoeken snel afhandelen volgens jouw instructies. Zorg dat je weet wat jouw verplichtingen zijn, ook voor gegevens die je in je eigen systemen hebt of in andere diensten dan onze Amerikaanse software.

Gegevens naar de VS sturen

Je mag niet zomaar persoonlijke gegevens buiten de EER (Europese Economische Ruimte) sturen. Wij gebruiken de Standaard Contractbepalingen in onze Verwerkersovereenkomst die we met al onze klanten afsluiten om ervoor te zorgen dat dit wel mag.

Gegevensbeveiliging

We hebben sterke beveiligingsmaatregelen genomen om ervoor te zorgen dat alle persoonlijke gegevens die we hebben veilig zijn opgeslagen. We testen onze producten regelmatig op fouten en zwakke plekken.

We zorgen voor regelmatige back-ups en hebben systemen en processen om gegevens te herstellen en de integriteit te bewaren. Zo verkleinen we het risico dat gegevens beschadigd raken of verloren gaan. Lees hier meer over onze veiligheid: Voluit Suite en veiligheid (zie link onderaan).

Wat we hebben gedaan om aan de GDPR te voldoen

We nemen onze taak als verwerker heel serieus. We hebben een aantal procedures ingevoerd en stappen genomen om ervoor te zorgen dat we aan de GDPR voldoen en dat jij op een legale manier de persoonlijke gegevens die je verzamelt naar ons kunt sturen. Bijvoorbeeld:

• Onze verwerkersovereenkomst gebruikt de Standaard Contractbepalingen zodat je op een legale manier persoonlijke gegevens naar ons in de VS kunt sturen.
• We kunnen datalekken ontdekken en onze klanten zo snel mogelijk informeren.
• We kunnen omgaan met verzoeken om inzage en verwijdering van gegevens, en we laten je weten als iemand zo'n verzoek bij ons indient.
• We hebben in kaart gebracht welke persoonlijke gegevens we voor jou verwerken.
• We hebben onze beveiliging beoordeeld en waar nodig verbeterd om ervoor te zorgen dat die past bij het risico dat we lopen bij een datalek.