Alles wat u online deelt, wordt verwerkt en opgeslagen, of u nu een vlucht boekt of een foto op social media plaatst. Bedrijven die met gegevens omgaan zijn verantwoordelijk voor de veiligheid ervan.
Om ervoor te zorgen dat zij verantwoordelijk worden gehouden, zijn er wereldwijd privacywetten aangenomen – de bekendste daarvan is de GDPR (AVG), oftewel de Algemene Verordening Persoonsgegevens.
Het internet staat vol met verwarrende juridische terminologie over dit onderwerp. Hoewel het een complex stuk wetgeving is, zijn de beginselen ervan voor iedereen gemakkelijk te begrijpen.
Wij bij System23 vinden het belangrijk dat u, als gebruiker van onze diensten, op de hoogte bent van de manier waarop wij met uw data omgaan. Daarom hebben we dit document opgesteld dat, op een makkelijk te begrijpen manier, dit onderwerp bespreekt.
1 – Belangrijke begrippen
Er zijn veel namen en acroniemen verbonden aan de GDPR. Als u deze kent, zal u het beleid dat websites gebruiken om hun gegevensverzameling praktijken uit te leggen, beter begrijpen.
Data subject (betrokkene):
Ik ben er een en jij ook. Een betrokkene is iedereen die zijn
gegevens laat verzamelen door een bedrijf. Eigenlijk iedereen
die ooit het internet heeft gebruikt.
Data controller (verantwoordelijke):
Een voor de verwerking verantwoordelijke is elke entiteit die
gegevens verzamelt en opslaat – bijv. een bedrijf.
Data processor (verwerker):
Dit is wie een bedrijf inhuurt om namens hen gegevens te
verwerken.
Supervisory authority (toezichthouder):
Elk land in de EU heeft zijn eigen toezichthoudende autoriteit.
Als een sheriff voor gegevensprivacy handhaven zij de GDPR in
hun regio.
Data protection officer (DPO):
Bedrijven en overheidsinstanties die veel gegevens verwerken,
moeten een functionaris (DPO) aanstellen die al hun
GDPR-activiteiten en -papierwerk afhandelt.
2 – Algemene omschrijving
De klant beschikt als verantwoordelijke over persoonsgegevens en deelt deze met verwerker. Het onderwerp van de verwerking is: een CRM systeem met
(marketing)automatiseringen.
Het doel van de verwerking is dienstverlening. Het inrichten, hosten en onderhouden van een CRM systeem, om bedrijfsprocessen met commerciële doeleinden efficiënter te laten verlopen.
3 – De Verantwoordelijke en de Verwerker van persoonsgegevens
De GDPR legt een persoon verschillende verplichtingen op, afhankelijk van de vraag of hij een ‘verantwoordelijke’ of een ‘verwerker’ van persoonsgegevens is. Een ‘verantwoordelijke’ is een entiteit die besluit om persoonsgegevens te verwerken. De verantwoordelijke neemt beslissingen over de grondslag van de verwerking en de methoden die zullen worden gebruikt. Voor de verantwoordelijken zijn er bepaalde verplichtingen met betrekking tot persoonsgegevens, die u als verantwoordelijke moet kennen voordat u persoonsgegevens van uw klanten verzamelt.
Een ‘verwerker’ is een entiteit die gegevens verwerkt voor en namens een
‘verantwoordelijke’. Zij nemen geen onafhankelijke beslissingen over de gegevens of de verwerking ervan, aangezien zij deze slechts verwerken namens de verantwoordelijke en alle instructies van de verantwoordelijke moeten opvolgen. Door gebruik te maken van de dienst die System23 levert, besluit u de gegevens te verwerken die u als verantwoordelijke verzameld. Het is belangrijk om te begrijpen dat in deze overeenkomst u de ‘verantwoordelijke’ bent en System23 de ‘verwerker’.
Wanneer u de System23 dienst gebruikt, bent u een verantwoordelijke voor de
verwerking. U bepaalt dus welke gegevens u uploadt naar het System23 platform, wat u met die gegevens doet en waarom. Als gevolg daarvan bent u er verantwoordelijk voor dat u een wettelijke basis heeft om de gegevens te verwerken en dat u de gegevens niet langer bewaart dan noodzakelijk.
U dient ervoor te zorgen dat u uw verplichtingen als gegevensverwerking
verantwoordelijke begrijpt, en uw eigen systemen en beleid aanpast om de rechtmatige overdracht van persoonsgegevens aan System23 mogelijk te maken.
System23 is een gegevensverwerker. Wij bewaren en beheren via het System23 platform de gegevens die u in uw opdracht hebt verzameld. Wij zullen persoonlijke gegevens die u in het System23 platform heeft ingevoerd nooit voor eigen doeleinden of zonder uw instructies gebruiken.
4 – Toestemming voor verwerking
Persoonsgegevens mogen alleen worden verzameld en verwerkt als daarvoor een wettelijke basis bestaat én toestemming voor is gegeven door de betrokkene (de klant/lead/internetgebruiker).
Als verwerker vertrouwt System23 op u (de verantwoordelijke) om de juiste grondslag te kiezen én op de juiste momenten om toestemming te vragen. Voordat u de System23 dienst gebruikt, dient u de tijd te nemen om na te gaan welke wettelijke grondslagen voor u beschikbaar kunnen zijn en welke toestemming daarvoor vereist is.
4.1 – Soort gegevens
U als verantwoordelijke bepaald welke gegevens verzameld worden. System23 gaat ervan uit dat alle gegevens die in het System23 platform worden gebruikt, op een rechtmatige manier verworven worden.
Gegevens die in de meeste gevallen verwerkt worden zijn: voornaam, achternaam, email, telefoonnummer, adres, IP-adres, browser type, geboortedatum.
5 – Rechten van betrokkenen
De GDPR geeft betrokkenen (d.w.z. uw klanten en leads) bepaalde rechten met betrekking tot hun persoonsgegevens, waaronder het recht om:
● Precies te weten hoe hun gegevens worden verzameld en gebruikt
● Te vragen welke gegevens over hun is verzameld
● Foutieve gegevens te laten corrigeren
● Gegevens te laten verwijderen uit dossiers
● Gegevensverwerking te weigeren (bijv. marketinginspanningen)
System23 heeft eenvoudige systemen opgezet waarmee u ons kunt informeren als u een dergelijk verzoek van een betrokkene ontvangt, en waarmee wij u kunnen informeren als wij een dergelijk verzoek ontvangen. Wij zullen ervoor zorgen dat, volgens uw instructies, onmiddellijk aan deze verzoeken wordt voldaan.
6 – Subverwerkers en Data Processing Agreements (DPA)
Sub-verwerkers zijn verwerkers die door de hoofdverwerker (System23) wordt
ingeschakeld. In het geval van System23 zijn onze sub-verwerkers
gegevensverwerkers die we inschakelen om je gegevensopslag mogelijk te maken.
Het is onze verantwoordelijkheid om ervoor te zorgen dat deze sub-verwerkers de principes van de GDPR navolgen. Daarom tekenen we een Data Processing
Agreement (DPA) met deze partijen. Dit garandeert dat deze partijen de GDPR-regels volgen, zodat wij (de hoofdverwerker) je een veilig platform kunnen aanbieden. Dit telt echter enkel voor sub-verwerkers waarbij we zelf kiezen voor een samenwerking. Kies je om ander sub-verwerkers te gebruiken in combinatie met System23, bijvoorbeeld een boekhoudprogramma? Dan is het jouw verantwoordelijkheid om een DPA met hen af te sluiten.
Door deze overeenkomst te tekenen gaat u er als verantwoordelijke mee akkoord, dat System23 deze subverwekers inschakelt om haar dienst optimaal uit te kunnen voeren. Bij het niet nakomen van de verplichtingen van de subverwerker, is de verwerker nog steeds aansprakelijk voor het nakomen van verplichtingen aan verantwoordelijke. De verwerker kan echter niet aansprakelijk worden gesteld voor schade die de subverwerker veroorzaakt, aangezien de verantwoordelijke hiermee akkoord is gegaan.
Wilt u een overzicht van de namen van deze partijen? Neem dan contact op met info@system23.nl.
6.1 – Dataverwerking buiten de Europese Unie
De verwerker mag de gegevens normaliter niet verwerken aan organisaties/landen buiten de EU, die minder waarborging bieden dan de Europese Unie, tenzij schriftelijk anders overeengekomen.
Eén van de subverwerkers waarmee System23 werkt, betreft een Amerikaanse partij. Om data te mogen versturen buiten de EU naar de VS, moet gebruik worden gemaakt van modelcontracten (ook wel standard contractual clauses of SCC genoemd) met aanvullende maatregelen, om toch aan de privacy eisen te voldoen. Denk hierbij aan goede encryptie en pseudonimisering.
Deze partij, die data opslaan buiten de EU, maakt gebruik van deze modelcontracten en de extra maatregelen om te kunnen voldoen aan de privacywetgeving. Zij voldoen daarbij aan het meest actuele modelcontract dat op 27 juni 2021 van kracht is gegaan. Door het tekenen van deze overeenkomst gaat u ermee akkoord dat de data gedeeld wordt met deze partij en dat uw data op een rechtmatige manier naar de VS wordt
verstuurd.
Direct na ondertekening van deze overeenkomst zal het modelcontract worden
uitgevoerd en zal de derde partij daaraan gebonden zijn. Zij zullen alle relevante details in de modelcontractbepalingen invullen en uitvoeren, en zullen alle andere handelingen verrichten die nodig zijn om de doorgifte van persoonsgegevens te legitimeren, om zo te kunnen voldoen aan de AVG.
6.2 – Beveiliging
De verwerker neemt passende technische en organisatorische maatregelen zodat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen zijn gewaarborgd.
Daarnaast werkt System23 alleen met partijen die aan strenge controles voor
gegevensbescherming voldoen, waaronder versleuteling van gegevens in transit om de gegevens van de betrokkene te beschermen tegen onbedoelde openbaarmaking of misbruik.
Kortom, enkel partijen die de beste praktijken op het gebied van informatiebeveiliging handhaven en haar producten streng testen om bugs en kwetsbaarheden proactief te verhelpen.
7 – Overig
Naast bovengenoemde zijn beide partijen ook op de volgende punten
overeengekomen:
● De verwerker werkt mee aan audits door verantwoordelijke of een door
verantwoordelijke ingeschakelde derde partij. Verwerker stelt alle relevante
informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de in deze overeenkomst genoemde verplichtingen.
● De verwerker bewaart de gegevens zolang als de overeenkomst van kracht is. Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens (of
retourneert aan verantwoordelijke), tenzij men wettelijk verplicht is deze te bewaren. Dit gebeurt zo snel mogelijk maar in ieder geval binnen vier weken na afloop van de verwerkingsdiensten.
● Personen in dienst van of werkzaam voor de verwerker die in aanraking komen met de betreffende gegevens hebben een geheimhoudingsplicht.
● De verwerker helpt de verantwoordelijke om te voldoen aan de plichten van
verantwoordelijke als betrokkenen hun privacy rechten uitoefenen, zoals
beschreven in artikel 6.
● De verwerker helpt mee om te voldoen aan de verplichtingen rond de meldplicht datalekken. Dit betekent dat verwerker mogelijke datalekken direct meldt aan verantwoordelijke en meewerkt aan onderzoek/analyse. De verwerker hoeft niet te melden aan de Autoriteit Persoonsgegevens (AP), dit doet de verantwoordelijke.
● De verwerker helpt mee om te voldoen aan de verplichtingen rond Data Protection Impact Assessment.
● De verwerker maakt geen gebruik van geautomatiseerde besluitvorming
● Klachten kunnen ten alle tijden ingediend worden via info@system23.nl
Deze punten gelden zolang de overeenkomst van kracht is.