Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wetgeving staat over het algemeen ook bekend als de General Data Protection Regulation (GDPR). Vrijwel alle organisaties binnen de EU hebben hiermee te maken: bedrijven, webshops, verenigingen, stichtingen en (semi) overheden. Ook Procurios is volledig GDPR-proof. In dit artikel lees je wat je van Procurios kunt verwachten en wat Procurios van haar klanten verwacht met betrekking tot de GDPR. Daarnaast vind je de antwoorden op veelgestelde vragen over de GDPR en Procurios.
Welke maatregelen neemt Procurios met betrekking tot de GDPR?
Welke acties heeft Procurios ondernomen?
Procurios is een verwerker van grote hoeveelheden persoonsgegevens. De beveiliging van onze systemen en processen is iets wat daarom altijd prioriteit heeft bij Procurios.
Het volgende heeft Procurios voorafgaand aan eind mei 2018 ondernomen ten behoeve van GDPR.
- We hebben al onze processen nogmaals onder de loep genomen.
- Waar nodig hebben we onze processen aangescherpt.
- We hebben ervoor gezorgd dat ons platform het voor ons en ons klanten mogelijk maakt om aan de richtlijnen van de GDPR te voldoen.
Wat verwachten wij van jou als klant?
Als verwerker zorgen wij ervoor dat alle persoonsgegevens veilig opgeslagen zijn en hebben we interne richtlijnen voor de omgang met deze gegevens.
Als klant ben je echter zelf verantwoordelijk voor de persoonsgegevens en verwachten we dat ook jouw organisatie volledig voldoet aan de richtlijnen van de GDPR.
Veelgestelde vragen
Op 25 mei 2018 is de GDPR in werking getreden. Vrijwel alle organisaties heeft hiermee te maken. Aangezien Procurios een verwerker is van persoonsgegevens en we regelmatig vragen krijgen over hoe Procurios omgaat met de GDPR, vind je in dit artikel de veelgestelde vragen over de GDPR.
We hebben de vragen in twee thema's verdeeld:
- Hoe gaat Procurios als verwerker om met persoonsgegevens?
- Vragen over de GDPR voor jou als gegevensverantwoordelijke
Ook de rijksoverheid heeft een uitgebreide handleiding opgesteld voor de GDPR. Deze kun je vinden op deze pagina van de rijksoverheid.
De GDPR voor Procurios als gegevensverwerker
Met een team vanuit verschillende disciplines hebben we ons destijds voorbereid op de GDPR. Zo was er binnen alle afdelingen iemand goed op de hoogte van de GDPR. Daarnaast is Marianne van het serviceteam centraal aanspreekpunt voor alle medewerkers van Procurios voor vragen over de GDPR.
Alle medewerkers hebben een interne GDPR training gevolgd om te zorgen dat iedereen volledig op de hoogte is van de omgang met persoonsgegevens.
Daarnaast hanteren we de volgende basisprincipes bij de omgang van persoonsgegevens.
Procurios backupt haar servers dagelijks. Wij bewaren backups van 1 dag per jaar 5 jaar, van 1 dag in de maand 5 weken en de dagelijkse backups 2 weken.
In het geval een backup moet worden teruggezet, worden hiervoor kosten in rekening gebracht indien de klant verzoekt om een backup terug te zetten en de oorzaak en de reden daarvoor niet is veroorzaakt door een bug of een downtime van het Procurios platform. Zulks uitsluitend ter beoordeling van Procurios.
Procurios heeft naast de colocatie voor de hosting van ons serverplatform een tweede hosting locatie (off-site) waarop de backups worden opgeslagen. Hierdoor bevindt de backup zich altijd op een andere fysieke geheime locatie.
Procurios test steekproefsgewijs of backups correct kunnen worden hersteld en dat de gegevens van de programmatuur correct zijn.
De servers waaruit het Procurios Cluster is opgebouwd, hangen in datacenters in Amsterdam. De datacenters worden 24/7 bewaakt door mensen en camera's. De fysieke voorzieningen zoals de racks, stroom en netwerk worden geleverd door True (https://www.true.nl).
Zowel de datacenters als True voldoen aan de hoogste standaarden voor informatiebeveiliging en kwaliteitsmanagement (NEN 7510, ISO 9001, ISO 27001).
Het Procurios Cluster is zo ontworpen dat een minimaal deel van de servers rechtstreeks benaderbaar is vanaf het internet (meer lezen: attack surface). Deze servers kunnen we aandachtig in de gaten houden en controleren.
Waar we software hosten van derden zijn de servers fysiek afgescheiden van het Procurios cluster. Onze netwerkprovider True ondersteunt ons bij het minimaliseren van de impact van een DDOS-aanval.
Al onze servers worden 24/7 gemonitord op allerlei gebieden. Van defecte hardware en problemen met het netwerk tot correct functioneren van het Procurios Platform. Ook worden we meteen gewaarschuwd als er updates zijn van de serversoftware die we gebruiken. Als het een relevante veiligheidsupdate betreft, voeren we die zo snel mogelijk uit, vaak binnen enkele uren na de beschikbaarheid ervan.
Wij hebben ervoor gezorgd dat zowel Procurios zelf als onze klanten kunnen voldoen aan 'Het recht om vergeten te worden'. Hiervoor hebben we het proces 'Archiveren' en 'Verwijderen' aangepast.
Het serviceteam, ontwikkelaars en ontwerpers kunnen en mogen alleen in klant implementaties om werkzaamheden op verzoek van de klant uit te kunnen voeren. Daarbij is persoonsdata zichtbaar.
Deze data mag alleen ingezien worden ten behoeve van het uitvoeren van de werkzaamheden. Daarnaast hebben al onze medewerkers een geheimhoudingsverklaring in het contract.
Ook dit is een van de processen die wij ter voorbereiding op de ingang van de GDPR onder de loep nemen en waar nodig zullen aanscherpen.
Ja, Procurios heeft een verwerkersovereenkomst. We zullen onze actieve klanten benaderen met de verwerkersovereenkomst.
Daarnaast zijn zowel de algemene voorwaarden als de privacystatement ge-update conform de GDPR voorwaarden.
Ja, wij houden voor de persoonsgegevens waar wij als verantwoordelijke verantwoordelijk voor zijn (zoals personeelsgegevens en klantgegevens) een register bij. Dat betekent dus dat wij geen register bijhouden van de persoonsgegevens waar wij als verwerker mee werken, maar waar onze klanten verantwoordelijk voor zijn. Als verantwoordelijke van deze persoonsgegevens ben je als klant zelf verantwoordelijk voor het registreren van deze gegevens om te voldoen aan de GDPR.
De GDPR voor u als gegevensverantwoordelijke
Wij adviseren de klant om bestanden in de eigen library te uploaden en met Procurios te delen. Bestanden die met jou gedeeld worden zullen ook via jouw library geupload worden.
Wij zullen nooit persoonsgegevens delen via de mail of onveilige applicaties.
Wanneer je ervoor kiest om gegevens op een onveilige manier via Procurios te delen, is dit voor eigen risico.
Om te voldoen aan 'Het recht om vergeten te worden' hebben we de mogelijkheid om te 'Archiveren' en 'Verwijderen' makkelijker gemaakt.
Een deel van de persoonsgegevens wordt beschouwd als gevoelig. Voorbeelden hiervan zijn: gegevens over politieke opvattingen, religieuze overtuigingen, gezondheidsinformatie.
In principe is het verboden om deze persoonsgegevens te verwerken. Hierbij zijn er een aantal uitzonderingen welke je kunt teruglezen in de GDPR wetgeving.
Neem bij het vermoeden van een gegevenslek zo snel mogelijk contact op met Procurios.
Scenario's op het Procurios platform
Je relaties hebben het recht op inzage in hun persoonsgegevens. Zij mogen, zonder reden, vragen of je persoonsgegevens van hen hebt vastgelegd en zo ja, welke.
Om aan dit soort verzoeken te kunnen voldoen, kun je de exportmogelijkheden van het CRM gebruiken.
Zoek in het Relatiebeheer de relatie op. Dit kun je het beste doen vanuit `Alle relaties`, zodat je eventuele dubbele relatiekaarten ook vindt. Eventuele dubbelen kun je ook vinden door te zoeken op bijvoorbeeld het e-mailadres.
Het resultaat van deze zoekopdracht kun je exporteren door middel van de knop `Exporteren naar CSV-bestand`. Hier kun je de velden exporteren die persoonsgegevens bevatten in een begrijpelijk formaat.
Voor meer informatie over het recht op inzage: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/recht-op-inzage
Wanneer een bezoeker zich via de website registreert, dan wordt er een activatiemail gestuurd voor het bevestigen van het e-mailadres. Hoe lang deze activatielink geldig is, stel je in in het CMS-artikel waar je het registratieformulier koppelt.
Na het verlopen van de activatielink verdwijnt de registratie uit de Lopende Registraties.
Wanneer je hebt ingesteld dat registraties goedgekeurd moeten worden, blijven deze registraties staan onder ‘Wijzigingsverzoeken die wachten op goedkeuring’ totdat deze zijn goedgekeurd of afgewezen.
Wanneer de relatie niet de mogelijkheid heeft om zelf zijn gegevens te wijzigen via een profielformulier, kan je in het CRM persoonsgegevens wijzigen. Lukt het niet om de gevraagde persoonsgegevens te wijzigen? Neem dan contact op met ons serviceteam via [email protected].
In de module Formulieren wordt alle data die je in een formulier of peiling uitvraagt, opgeslagen. Let er dus op dat je formulier verwijdert als er geen gerechtvaardigd belang is om die data te hebben.
Archiveren en bij weer mogen gebruiken beschikbaar maken.
Daarnaast kunt u de gegevens ook fysiek bewaren door ze uit te printen, de gegevens te (laten) verwijderen, in een kluis te leggen en bij toestemming weer opnieuw in te voeren.
Dit kun je op dezelfde manier doen als bij inzage verlenen in persoonsgegevens. Door gebruik van de exportmogelijkheden van het CRM.
Zoek in het Relatiebeheer de relatie op. Dit kun je het beste doen vanuit `Alle relaties`, zodat je eventuele dubbele relatiekaarten ook vindt. Eventuele dubbelen kun je ook vinden door te zoeken op bijvoorbeeld het e-mailadres.
Het resultaat van deze zoekopdracht kun je exporteren door middel van de knop `Exporteren naar CSV-bestand`. De relatie kun je vervolgens (laten) verwijderen.