europese wetgeving privacy

KorènCRM AVG Ready

Koren AVG Ready banner.png

Op 25 mei 2018 is het zover. De AVG (Algemene Verordening Gegevensbescherming), ook wel bekend als de GDPR (General Data Protection Regulation) vervangt dan de huidige WBP (Wet Bescherming Persoonsgegevens). Als software leverancier vinden we privacy belangrijk en nemen we onze verantwoordelijkheid in zowel het waarborgen van de priuvacy in de software als ook het adviseren van klanten op dit gebied.. We hebben een pagina op deze website gecreëerd waarin we uitegebreid laten zien wat wel doen op privacy gebied en welke technische en organisatorische maatregelen we nog nemen met oog op de AVG. Bekijk de pagina hier. Hieronder lichten we een paar interessante zaken uit.

AVG Tool voor dataportabiliteit en inzage

We ontwikkelen een nieuwe tool waarmee er vanuit KorènCRM een bestand kan worden gegenereerd met alle mogelijke gegevens van een relatie (inclusief dossier). Deze kun je vervolgens downloaden en zelf op een eigen (beveiligde) wijze naar de klant versturen. Het bestand zal als een ZIP bestand downloadbaar zijn met de relatiegegevens in Docx (Word) format en daarmee dus leesbaar voor de klant. Daarnaast wordt dezelfde data als XML aangeleverd (deze is computer leesbaar dus hiermee voldoe je aan de dataportabiliteit AVG eis). Lees hier over hoe de software je eenvoudig ook helpt voldoen aan het recht op vergetelheid en correctie.

UPDATE: 

Verwerkersovereenkomst

In april is onze nieuwe verwerkersovereenkomst beschikbaar. Nieuw hierin is de Data Pro Statement waarin we al onze technische en organisatorische maatregelen ter waarborging van de privacy. Voorheen was dit verweven met de bewerkersovereenkomst maar nu is het een documkent dat daar aan is gekoppeld met een uitbreiding op het gebied van de AVG vereisten. Deze verwerkersovereenkomst is conform de AVG qua inhoud en terminologie en vervangt de huidige bewerkersovereenkomst. 

Let op! Wellicht heb je al een bewerkersovereenkomst gebaseerd op de WBP. Deze is vanaf 25 mei niet meer geldig. Je moet een verwerkersovereenkomst ondertekenen met je software leverancier.

Privacy by Design & Default

We hebben verschillende Privacy by Design (PbD) en default features in de software zitten om de privacy van persoonsgegevens te waarborgen. We hebben verschillende PbD features die al aanwezig zijn in de software en een aantal die we binnenkort toevoegen. Lees daar hier meer over.

Privacy by Design (deel 6): Respect voor gebruiker privacy

Respect voor privacy.png

The right to be forgotten, the right of access to information en dataportabiliteit. zijn drie factoren waar je rekening mee moet gaan houden als het gaat om privacy. 

The right to be forgotten

Kun je iemand definitief verwijderen uit een database? Dat is de vraag die met een volmondig "ja" moet kunnen beantwoorden. De aanstormende GDPR EU wetgeving vereist dat als een betrokkene zijn of haar gegevens wil laten verwijderen je dit z.s.m. moet regelen met enkele uitzonderingen (bijv. als iemand openstaande facturen heeft staan). 
In onze software kun je relaties inactief maken en vervolgens of per stuk of in bulk (Tip: richt je proces zo in dat je dit op gezette tijden doet) alle inactieve relaties eventueel met specifieke redenen kunt verwijderen.

The right of access to information

Kun je een betrokkene inzage geven in zijn of haar gegevens? Het voorkomen dat iemand als zijn of haar gegevens wil inzien. Met ingang van de GDPR is het verplicht om iemand inzicht te verschaffen en zijn of haar gegevens. Hoe je dit doet mag je natuurlijk zelf weten. Je kunt een brief opsturen
Denk er wel aan dat iemand dus ook zijn of haar gegevens moet kunnen aanpassen. Dat gaat omslachtig worden als diegene dat via bijv. een wijzigingesformulier kan doen duie je vervolgens weer moet overtypen in je eigen database.
Wij geven alle onze klanten de mogelijkheid om gebruik te maken van een webapp waarmee relatie bijv. hun eigen NAW gegevens kunnen wijzigen.

Dataportabiliteit

Dataportabiliteit betekent dat iemand zijn of haar gegevens mag meenemen.  Dit moet je kunnen aanleveren aan de betrokkene in een voor een machine leesbare bestand. Je kunt dus niet enkel een fysieke brief met de gegevens erin opsturen of een Word bestand of pdf. Denk eerder aan een XML bestand. 
In onze software heb je de mogelijkheid om met een druk op een knop bij een relatie een ZIP bestand genereren met alle mogelijke gegevens in XML format, HTML format en als Docx. document. Deze kun je dan op een (goed beveiligde) wijze naar keuze aanleveren.

 

 

Privacy by Design (deel 4): Volledige functionaliteit

Functionaliteit.png

Deze blog maakt deel uit van een serie blogs over Privacy by Design. In deze reeks gaan we steeds kort in op 1 van de 7 principes. Het vierde principe is "Volledige functionaliteit". Het gaat erom valse tegenstellingen zoals security vs. privacy of functionaliteit vs privacy te vermijden.

In klare taal: ja privacy is heel belangrijk maar de gebruiker moet ook gewoon goed kunnen werken in de software. Software staat of valt bij functionaliteit. Als zaken omslachtig en hinderlijk worden of onnodig ingewikkeld zijn dan gaat er iets mis. Tegelijkertijd is privacy van heel groot belang en moet software dit op een juiste manier waarborgen zonder dat de functionaliteit verloren gaat.

In de praktijk

Een voorbeeld hiervan is het verwijderen van relaties uit de database in KorènCRM. Je kunt een relatie volledig verwijderen uit de database om te voldoen aan de Right to be Forgotten. Het is belangrijk om iemand in zijn geheel te kunnen verwijderen uit je systeem op diens verzoek.

innactief.JPG

Als gebruiker zou het enerzijds handig zijn om dat direct te kunnen doen maar als je een fout maakt is dit onherstelbaar. The best of both worlds is om een relatie direct op inactief te kunnen zetten (met 1 klik) en in een later stadium alle relaties in bulk te verwijderen. Op deze wijze kun je een fout goed maken. Maar als je een persoon op inactief zet dan weet je dat bij de eerstvolgende bulkverwijdering de gegevens verdwenen zijn en je aan je plicht hebt voldaan.

Er is dus een extra stap nodig, namelijk het definitief verwijderen van inactieve relaties maar daar tegenover staan de volgende functionele voordelen:

  • Iemand die inactief is ontvangt per direct geen facturen, mail of andere correspondentie meer wat natuurlijk wel zo klantvriendelijk is naast dat het ook wettelijk verplicht is
  • Iemand wil niet helemaal verwijderd worden maar wil alleen geen mails meer ontvangen of andere zaken. Hierdoor blijft de persoon wel nog in database maar zonder daar last van te hebben. Je moet natuurlijk altijd kritisch kijken naar hoe lang je persoonlijke gegevens opslaat.
  • Foutief op inactief gezette relaties kunnen kunnen weer op actief worden gezet. Dit is minder foutgevoelig. 

  

the right to be forgotten

Functionaris voor de Gegevensbescherming

Functionaris voor de gegevensbescherming

Het is vanaf 25 mei 2018 straks een verplichting in een aantal situaties. Iedere organisatie die persoonsgegevens verwerkt onder bepaalde omstandigheden moet straks een Functionaris voor de Gegevensbescherming (FG), ook wel Data Protection Officer genoemd, aanstellen. Wat houdt dit in?
Wij hebben enkele handige links op een rijtje gezet zodat je weet wat dit inhoud en wat je als organisatie eventueel voor actie moet ondernemen. Heb je zelf nog handige tips of links, geef ze aan ons door in een comment hieronder of stuur ons een mail dan voegen we je tip/link toe.

  • Handige online check van brancheorganisatie Nederland ICT om te zien of je organisatie een FG nodig heeft.
  • Vanuit de E.U.  Artikel 29 Werkgroep de FAQ ten aan zien van de AG (hier Data Protection Officer/DPO genoemd)
  • Hier krijg je een goed overzicht over wanneer het in mei 2018 wel en niet verplicht is om een FG aan te stellen.
  • Infopagina van de Autoriteit Persoonsgegevens zelf met een beknopt overzicht van o.a. de taken, eisen en bevoegdheden mbt een FG. 
  • Deze website geeft goed weer wat de voordelen zijn van het aanstellen een FG. 
  • De VNG (Vereniging van Nederlandse Gemeenten) heeft twee inhoudelijk sterke handreikingen gepubliceerd, één over de rol en taken van de FG en één andere over de positionering van de FG. Hoewel de handreikingen natuurlijk zijn toegespitst op gemeentes is het ook zeker de moeite waard om door te nemen met name op gebied van de onafhankelijkheid van de FG.
  • Lees de factsheet van ICTRecht over de AVG (Algemene Europese Verordening Gegevensbescherming) in het algemeen.

Wanneer is het verplicht?

 


Kort samengevat is het in deze gevallen verplicht:

1. Voor overheidsinstanties (met uitzondering van de rechterlijke macht)

2. Organisaties waar het vanwege de aard van de verwerking van persoonsgegevens verplicht is. Denk hierbij aan het regelmatig en structureel observeren van data mbt betrokkenen. 

3. Bij grootschalige verwerking van bijzondere (en strafrechtelijke)  persoonsgegevens; Hieronder vallen onder anderen politieke voorkeur, seksuele geaardheid, ras en gezondheidsinformatie.