Algemene Verordening Gegevensbescherming (AVG)
Veiligheid van informatie en privacy zijn onze belangrijkste assets. Het is in ons grootste belang dat u vertrouwen heeft in de manier waarop wij met uw persoonsgegevens en de gegevens in uw database omgaan. Dat kan alleen als onze software goed en veilig werkt, onze interne processen en beleid kloppen en als onze medewerkers op de juiste manier omgaan met uw (bedrijfs) gegevens.
Op 25 mei 2018 moet ieder bedrijf dat persoonsgegevens van Europese burgers verwerkt, voldoen aan de General Data Protection Regulation (GDPR) in het Nederlands ook wel de Algemene verordening gegevensbescherming (AVG) genoemd. Ook uw bedrijf zal hiermee te maken krijgen.
Wat staat er in de AVG / GDPR?
In de GDPR staan een aantal basisprincipes voor dataprotectie die voor bedrijven van belang zijn:
Rechtmatigheid, eerlijkheid en transparantie – Bedrijven moeten persoonlijke data op een rechtmatige, eerlijke en transparante manier verwerken in relatie tot de personen waarop de data betrekking hebben.
Integriteit en vertrouwelijkheid – Bedrijven moeten persoonlijke data verwerken op een manier die zorgt voor een gepaste beveiliging van de persoonlijke data. Inclusief beveiliging tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit moeten bedrijven doen door gebruik te maken van gepaste technische en organisatorische maatregelen.
Dataminimalisering – Persoonlijke data moeten adequaat, relevant en alleen beschikbaar zijn voor die personen die nodig zijn in relatie tot de doelen waarvoor de data verwerkt worden.
Afbakening van het doel – Bedrijven moeten persoonlijke data verzamelen voor gespecificeerde, expliciete en rechtmatige doelen, en niet verder verwerken op een manier die niet aansluit bij die gestelde doelen. Verdere verwerking van persoonlijke data voor archiveringsdoeleinden voor publiek belang, wetenschappelijk en historisch onderzoek, of statistische doeleinden wordt niet gezien als ‘niet in aansluiting’ met de originele doelen. Maar in dat geval moeten organisaties wel voldoen aan de voorwaarden in Artikel 83(1). Dit artikel beschrijft de waarborgen en afwijkingen in relatie tot het verwerken van data voor de hierboven genoemde doeleinden.
Afbakening van de opslag – Bedrijven moeten persoonlijke data opslaan op een manier die de identificatie van de personen, waarop de data betrekking hebben, voor niet langer mogelijk maakt dan strikt noodzakelijk is voor het bereiken van de doelen waarvoor het bedrijf de persoonlijke data verwerkt. Persoonlijke data mogen wel voor langere periodes opgeslagen worden als ze specifiek worden verwerkt voor archiveringsdoeleinden voor publiek belang, wetenschappelijk en historisch onderzoek, of statistische doeleinden. Dit moet dan echter wel in overeenstemming zijn met Artikel83(1), en onder de voorwaarde dat het bedrijf gepaste technische en organisatorische maatregelen treft.
Nauwkeurigheid – Persoonlijke data moeten nauwkeurig zijn en, als nodig, geüpdatet worden. Bedrijven moeten iedere redelijke maatregel nemen om ervoor te zorgen dat persoonlijke data die niet nauwkeurig zijn, in relatie tot de doelen waarvoor ze verwerkt worden, worden gewist of gerectificeerd – direct en zonder vertraging.
Wat doet SpinOffice CRM aan de AVG?
We bieden u een verwerkersovereenkomst
Indien u gebruikmaakt van SpinOffice CRM dan is onze organisatie (Mulberry Garden B.V.) als externe partij de ‘verwerker’ van uw gegevens. Volgends de aankomende AVG-wetgeving is het noodzakelijk om een ‘verwerkersovereenkomst’ af te sluiten met al uw verwerkers. De verwerkersovereenkomst is dus een overeenkomst tussen verantwoordelijke (jullie als klant) en verwerker (wij), waarin wordt vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan.
Het 10-stappen plan van Autoriteit Persoonsgegevens
Wat kunt u nu alvast doen om per 25 mei 2018 klaar te zijn voor de nieuwe privacywetgeving, de Algemene verordening gegevensbescherming (AVG)? Een goed begin is het 10-stappenplan op de website van de Autoriteit Persoonsgegevens, waar u ook terecht kunt voor gedetailleerde informatie over de AVG.
De verantwoordelijkheid voor het hebben van zo’n overeenkomst ligt bij de ‘verwerkingsverantwoordelijke’, maar wij als verwerker hebben een verwerkersovereenkomst voor u opgesteld. Wilt u deze overeenkomst ter ondertekening ontvangen, neem dan contact met ons op. Na ontvangst tekenen wij de overeenkomst en sturen wij deze digitaal naar jullie retour.
Twee-stapsverificatie bij inloggen
We hebben met het oog op de AVG een nieuwe feature geïntroduceerd, die het inloggen binnen SpinOffice nog veiliger maakt. Als uw inloggegevens in handen vallen van hackers dan kunnen zij in jullie SpinOffice database alle persoonsgegevens bekijken en downloaden. Met het gebruik van tweestapsverificatie maakt u het echter onmogelijk dat van gehackte inloggegevens misbruik gemaakt kan worden. Er is dan namelijk altijd een extra code nodig die u genereert via een zogenoemde ‘authenticator’ app op uw telefoon.
Periodieke Pentest
Ondanks dat alle data versleuteld wordt opgeslagen laten wij periodiek onze software tegen het licht houden om de veiligheid te garanderen. Dit doen wij door het laten uitvoeren van een pentest door een extern gespecialiseerd bureau.
Het doel van een pentest is om inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem en om verbeteringen te definiëren voor de beveiliging -met andere woorden, de risico’s en kwetsbaarheden te bestrijden.
Veelgestelde vragen van onze klanten m.b.t. de AVG en SpinOffice
Hoe wordt de veiligheid van het CRM systeem gegarandeerd?
We nemen adequate organisatorische en technologische maatregelen om de veiligheid en vertrouwelijkheid van uw persoonlijke gegevens te waarborgen.
We maken gebruik van Amazon Web Services (AWS) om de applicatieservers to hosten die nodig zijn om SpinOffice CRM kunnen draaien. Alle klantendatabases, e-mailberichten en bestanden worden veilig binnen AWS opgeslagen en beheerd. De twee AWS-datacenters die wij gebruiken zijn gevestigd binnen de EU, ons netwerk is een ‘private network’ waar niemand anders toegang toe heeft. Indien er zich een probleem voordoet binnen een van de twee datacenters, zal de ander alles overnemen en kunt u als gebruiker gewoon doorwerken.
Tevens zijn alle Pro databases versleuteld met een unieke company key en alle bestanden die in SpinOffice worden opgeslagen zijn versleuteld.
Op welke locatie worden databases opgeslagen?
Alle klantendatabases, e-mailberichten en bestanden worden veilig binnen Amazon Web Services opgeslagen en beheerd. Het datacenter dat wij gebruiken is gevestigd binnen de EU.
Hoe zijn de back-ups geregeld?
Zonder dat u iets hoeft te doen wordt er dagelijks automatisch een externe back-up gemaakt van uw database. Deze back-up bevat alle berichten, bestanden en relaties in uw database.
Naast een back-up van uw database, worden versies van bestanden en documenten continue opgeslagen. U kunt eerdere versies van een bestand bekijken en herstellen en zien welke persoon specifieke bewerkingen heeft uitgevoerd. SpinOffice houdt snapshots bij van alle wijzigingen die in de afgelopen 5 dagen zijn aangebracht aan bestanden in uw database. Daarna verplaatsen we uw document naar een back-up server voor de komende 100 dagen.
Hoelang worden verwijderde gegevens uit de database nog in een back-up opgeslagen?
Indien een gebruiker gegevens uit de database verwijderd, dan bewaren wij deze gegevens nog 30 dagen. Wij doen dit zodat wij eventuele onjuist verwijderde gegevens op verzoek van een klant binnen een afzienbare termijn kunnen terugzetten. Na 30 dagen worden alle verwijderde gegevens automatisch verwijderd.
Voor e-mailberichten geldt dat verwijderde berichten 90 dagen in de verwijderde-map blijven staan, daarna worden ze definitief verwijderd van onze server.
Dient men zelf het systeem op te schonen, of geeft SpinOffice een melding van gebruikers die lange tijd niet actief zijn geweest?
Het beheer van gebruikers is de verantwoordelijkheid van u als klant. Binnen het Beheer-gedeelte in het menu kan de beheerder binnen de database de rollen & rechten van alle gebruikers beheren en gebruikers op ‘uit-dienst’ zetten indien deze niet meer werkzaam is voor het bedrijf. De toegang wordt dan direct ontzegd.
SpinOffice informeert de klant automatisch per mail indien betaalde licenties aflopen en wanneer er een betaling gedaan moet worden. Bij klanten die per maand betalen ontvangen elke maand een factuur met daarop het aantal licenties vermeld.
Hoe worden datalekken gemeld?
Zoals in de verwerkersovereenkomst tussen de verwerker (SpinOffice) en de verwerkingsverantwoordelijke (u als klant) is vastgelegd, stellen wij de getroffen klant binnen 24 uur na het ontdekken van een datalek daarvan op de hoogte door het sturen van een e-mail aan de verantwoordelijke contactpersoon bij de verwerkingsverantwoordelijke.
SpinOffice zal aan de Verwerkingsverantwoordelijke haar medewerking verlenen om aan de wettelijke verplichtingen inzake de melding bij de Autoriteit Persoonsgegevens te voldoen. Wij verlenen medewerking aan het onderzoek naar het datalek, en wij stellen de verwerkingsverantwoordelijke op de hoogte van de reeds geïmplementeerde beveiligingsmaatregelen die worden getroffen om de gevolgen van het datalek te beperken en om een herhaling te voorkomen.
Over welke instellingen beschikt SpinOffice CRM, zodat men als organisatie kan voldoen aan de AVG?
Zie de punten die boven de veelgestelde vragen worden vermeld.
Wij zullen u blijven informeren over stappen die gezet moeten worden om nog beter aan deze nieuwe wetgeving te voldoen. Het voldoen aan de AVG wetgeving is niet enkel het hebben van goede verwerkersovereenkomsten maar vraagt ook aandacht voor interne processen binnen de eigen organisatie.
Voor meer details over hoe wij de veiligheid van informatie en privacy waarborgen, verwijzen we u naar de geldende algemene voorwaarden van SpinOffice. Uiteraard kunt ook altijd contact met ons opnemen voor een persoonlijke toelichting op hoe we uw privacy en veiligheid waarborgen.