Zoals u ongetwijfeld weet is de GDPR-wetgeving een mijlpaal in de geschiedenis van de privacywetgeving. De regels van de GDPR geven de burgers binnen de EU meer macht over hun persoonlijke gegevens. Door de toenemende complexiteit van datastromen over de gehele wereld, wil de GDPR de EU-burger meer directe macht geven over de wijze waarop hun gegevens worden verwerkt en dit bovenop een verstevigde privacy.
Als Zoho-klant of –gebruiker is het belangrijk te weten wat er binnen uw systeem op komst is om volledig in regel te kunnen zijn met deze GDPR. Zoho heeft reeds een hele tijd geleden het engagement uitgesproken om tijdig rond te zijn met de aanpassingen van de systemen. De opstart van de .EU-datacenters zijn daar één voorbeeld van. Maar er komt meer. Veel meer.
Wil ons vergeven als we in de komende alinea’s wat technisch worden. We pogen u snel een inzicht te geven.
We hebben de GDPR opgedeeld in 3 blokken: Data Collection, Data Processin en Data Subject Rights. In de onderstaande alinea’s bespreken we wat GDPR verlangt over deze 3 onderwerpen en welke aanpassingen binnen Zoho werden gedaan om in overeenstemming te zijn met de vereisten.
De gebruikte terminologie:
Data Controller/Controller: elke organisatie die data verzamelt
Data Subject: Klanten, Personen
Data collection.
De GDPR-wetgeving vereist dat persoonlijke informatie die van Data Subjects wordt bijgehouden beperkt moet blijven tot die data die de Data Controller moet bijhouden om zijn diensten te kunnen garanderenen Wanneer additionele data wordt bijgehouden moet het belang daarvan kunnen aangetoond worden.
De Data Controller is bovendien verplicht om de reden en het doel te vermelden en een duidelijke goedkeuring te krijgen van het Data Subject wanneer persoonlijke gegevens worden verzameld.
Deze goedkeuring moet expliciet zijn. Data Subjects moeten een positieve actie ondernemen (dus geen vooraf aangevinkte checkboxes gebruiken). Data Controllers moeten ook transparant zijn over de vraag hoe lang data bewaard zullen worden.
Hier komt “Data source tracking.“
Informatie van Data Subjects kan in Zoho terecht komen uit verschillende bronnen. Er zijn directe bronnen zoals webformulieren, en indirecte bronnen zoals geïmporteerde bestanden, API’s en integraties met third-party-software (Google Contacts, Outlook,…)
De bron en de additionele details – indien beschikbaar (zoals URL, IP-adres en geo-locatie) zullen binnenkort zichtbaar gemaakt worden op de detailpagina van elk record. Het onderstaande screenshot toont een nieuwe sectie die ‘Data Privacy’ genoemd wordt waarin ook de Data Source zal ingevuld staan.
Goedkeuringsformulier of “Consent Form”
De goedkeuring is één van de hoekstenen van de GDPR omdat de verwerking van gegevens van uw klanten nu volledig afhankelijk wordt gemaakt van de expliciete goedkeuring van het Data Subject. Dus, om in regel te zijn moet u nu in staat zijn deze goedkeuring ook aan te tonen indien nodig.
Het goedkeuringsformulier dat volledig kan gecustomiseerd worden, geeft de Data Controllers de mogelijkheid om expliciete goedkeuring te krijgen omtrent:
- Het doel van de data-opslag
- Het geprefereerde communicatiekanaal
- De duurtijd van het bijhouden van de gegevens
- Gegevens delen met verbonden diensten
De goedkeuring door de Data Subjects, in een geschreven verklaring of mondeling verkregen (door e-mail of via de telefoon) kan vastgehangen worden aan het formulier via de Bijlage-optie.
Van zodra het Data Subject zijn of haar goedkeuring heeft gegeven zal deze op de detailpagina van de gegevens van de betrokkene opgeslagen zijn als een officieel gegeven. Op die manier kan de Data Controller exact weten wat met de gegevens van betrokkene mag gebeuren.
Bijvoorbeeld: indien een Data Subject expliciet heeft aangegeven dat zijn geprefereerde communicatiekanaal e-mail is, dan mag deze niet gecontacteerd worden op een andere manier.
Het Dubbele Opt-in Mechanisme.
Dit is een element dat u kunt gebruiken bij het aanwenden van webformulieren. Telkens wanneer een Data Subject informatie in het formulier achter laat, wordt een Opt-in email gestuurd om de registratie te bevestigen.
Data processing.
Informatie die door het Data Subject wordt verstrekt mag alleen gebruikt worden om de contractuele verplichtingen te eerbiedigen, of voor de doeleinden die in de goedkeuring vervat zitten. Er is een bijzondere nadruk op het feit dat de verwerking op dermate manier dient te gebeuren dat de persoonlijke informatie niet zomaar kan blootgesteld worden aan niet-betrokkenen.
Aanduiden van “Personal Fields” (Velden met gevoelige informatie)
Data Controllers kunnen bepaalde velden met persoonlijke informatie aanduiden en een gevoeligheidsgraad (Hoog en Laag) toekennen. Op basis van deze instellingen kunnen exports van gegevens of koppelingen met andere systemen beperkt worden.
Geconnecteerde Systemen (integraties met third-party-software)
Er kunnen beperkingen instegesteld worden op geconnecteerde systemen op 2 verschillende wijzen:
• Geval 1 – Data Subject heeft geen toelating gegeven om data te sharen met andere systemen. In dat geval zal geen informatie doorgestuurd worden vanuit Zoho CRM naar de geïntegreerde systemen.
• Geval 2 – Data Subject heeft toelating gegeven om data te sharen met geconnecteerde systemen, maar er is een interne beperking op het delen van de PII (Personally Identifiable Information). In dit geval zullen de velden met de PII niet gebruikt worden in API’s en geconnecteerde services.
Met betrekking tot de Zoho-systemen (zoals Zoho Books, Desk en Campaigns) is het eenvoudig: een goedkeuring die in één van de applicaties werd gegeven zal van toepassing zijn voor alle Zoho Producten.
Encryption At Rest (EAR)
Enterprise-gebruikers hebben de mogelijkheid tot Encryption At Rest voor de voornoemde “Personal Fields.”
Audit log & timeline
De Data Controller kan de verwerking van de gegevens in detail volgen via de tijdslijn.
Consent Management
Het consent management-systeem helpt de Data Controller om op de hoogte te blijven van de status van alle Data Subjects. Het systeem helpt de gebruikers van Zoho om gemakkelijk de Data Subjects te identificeren die nog geen goedkeuring hebben gegeven. Via het systeem kan onmiddellijk een email met een link naar het goedkeuringsformulier verstuurd worden. Zoals eerder aangehaald kan goedkeuring gegven worden via webformulier, het goedkeuringsformulier, een klantenportaal of via een offline goedkeuring (telefoongesprek).
Het screenshot hieronder geeft het consent dashboard weer met de verschillende statussen van goedkeuring. Door te klikken krijgt u een lijst met alle Data Subjects binnen een specifieke status.
De rechten van het Data Subject
De GDPR-wetgeving komt met een rist aan rechten die de EU-Data Subjects op eender welk ogenblik kunnen uitoefenen en die moeten ingewilligd worden binnen de termijn van 1 maand. Het data request management staat de Data Controller toe om bij te houden wie wanneer een aanvraag indiende en tijdig met een antwoord te komen.
Elke aanvraag door het Data Subject wordt bijgehouden op de detailpagina van de gegevens van betrokkene.
Het Data Subject kan zijn of haar rechten uitoefenen via het goedkeuringsformulier, de klantenportaal of offline via telefoon of email.
Toegang tot de gegevens (Right to Access):
Via Zoho CRM’s emailtoepassing kan een eenvoudige template gemaakt worden die via samenvoegvelden de gevraagde info aan het Data Subject kan bezorgen. Wie over de Enterprise-versie van Zoho CRM beschikt kan eveneens de betrokkene toegang verlenen via het aanmaken van een eigen portaal.
Aanpassen (Right to Rectify):
De gegevens van het Data Subject kunnen geëxporteerd worden en verstuurd worden naar de betrokkene zodat deze gecorrigeerd en ge-updated kunnen worden. Data Subjects kunnen evenwel ook via de klantenportaal data aanpassen en/of updaten. (In de Zoho CRM Enterprise versie)
Export (Right to Portability):
De gegevens van elk Data Subject kunnen geëxporteerd worden en in een ‘machine readable’ bestand (bijvoorbeeld een .csv-bestand) meegestuurd worden als een bijlage aan een e-mail.
Stoppen van verwerking (Right to Stop Processing):
De gegevens van het Data Subject’s zullen geblokkeerd worden waardoor verdere verwerking onmogelijk wordt indien dit recht wordt ingeroepen.
Wissen van gegevens (Right to be forgotten):
Wanneer dit recht uitgeoefend wordt zullen de gegevens van het Data Subject’s geblokkeerd worden voor de duur van overeengekomen of wettelijk verplichte periode waarna de Data Controller de gelegenheid krijgt om de data te vernietigen. Eénmaal de gegevens vernietigd zijn zal het gegevensbestand in een ‘blocked list’ terecht komen waardoor dezelfde gegevens niet opnieuw in het systeem kunnen ingegeven worden.
Zit u hierna nog met vragen? Aarzel niet en bel ons op 059 790 530, mail naar hello@salesbridge.be of vul onderstaand formulier in. We helpen u graag vooruit!