Wat is de AVG?

AVG is een privacy- en gegevensbeschermingswet in de EU die reguleert hoe de gegevens van inwoners van de EU worden beveiligd door bedrijven en ze meer controle geeft over hun persoonsgegevens. 

De AVG is relevant voor elk wereldwijd opererende onderneming en niet alleen voor EU-gebaseerde bedrijven en EU-ingezetenen. De gegevens van onze klanten zijn even belangrijk, ongeacht hun locatie. Daarom hebben we AVG-beleidslijnen geïmplementeerd als onze standaard voor al onze activiteiten, wereldwijd. De AVG is ingegaan op 25 mei 2018.

Wat zijn persoonsgegevens?

Informatie die is gerelateerd aan een geïdentificeerde of identificeerbare persoon. De AVG omvat een breed spectrum van informatie die kan worden gebruikt, hetzij in combinatie met andere informatie, om een persoon te identificeren. Persoonsgegevens gaan verder dan een naam of e-mailadres van een persoon. Enkele voorbeelden zijn financiële informatie, politieke meningen, genetische gegevens, biometrische gegevens, IP-adressen, fysiek adres, seksuele geaardheid en etniciteit.

Hoe heeft Zoho zich voorbereid op de AVG?

We hebben op verschillende gebieden actie ondernomen om ervoor te zorgen dat we deze nieuwe wetgeving naleven.

  • Wij hebben bewustzijn gecreëerd in de hele organisatie door regelmatig discussies aan te gaan op onze interne kanalen en door getrainde medewerkers toe te wijzen om gegevens naar behoren te verwerken. Zij begrijpen nu het belang van informatiebeveiliging en de hoge eisen van de AVG.
  • Wij hebben alle producten van Zoho individueel beoordeeld ten opzichte van de vereisten van de AVG en we implementeren nieuwe functies die u meer controle geven over uw gegevens zodat u zich geen zorgen hoeft te maken over de AVG.
  • Bekijk wat er is doorgevoerd bij een aantal van onze producten om te voldoen aan de vereisten van de AVG.

  • We hebben een register met persoonsgegevens samengesteld met daarin alle rollen die Zoho aanneemt, zoals gegevenscontroller en -verwerker. Het register omvat diverse categorieën van persoonsgegevens die door onze organisatie worden verwerkt en welke afdeling toegang krijgt tot welke gegevens en met welk doel. Al onze processen en procedures worden uitgebreid behandeld.
  • Wij hebben onze subverwerkers (leveranciers van derde partijen, partners) beoordeeld en het contractproces gestroomlijnd om ervoor te zorgen dat zij de behoeften van de huidige veiligheids- en privacywereld erkennen.
  • Wij hebben interne privacykampioenen voor al onze teams benoemd. Daarnaast hebben wij een Functionaris voor de gegevensbescherming aangewezen. 
  • Onze toepassingsteams hebben het concept van privacy omarmd en hebben u meer controle gegeven over de gegevens die u opslaat in onze systemen. Deze bepalingen kunnen variëren, afhankelijk van de kenmerken en het domein van een product. We streven er voortdurend naar om u meer verbeteringen te bieden. Deze worden in fases geïmplementeerd.
  • Wij hebben ons Addendum Gegevensverwerking (gebaseerd op Modelcontractbepalingen) aangepast aan de vereisten voor de gegevensverwerking van de AVG. Op verzoek delen wij het herziene Addendum Gegevensverwerking om u in staat te stellen om te voldoen aan uw AVG-verplichtingen. 

    Als u de beheerder van uw bedrijf bent en een Addendum Gegevensverwerking met ons wilt tekenen, kunt u dit digitaal doen in een paar eenvoudige stappen.

  • Wij hebben effectbeoordelingen op het gebied van gegevensbescherming uitgevoerd. Op basis van de resultaten hebben wij gepaste controles uitgevoerd op de verwerking en het beheer van gegevens.
  • Wij voeren interne controles uit op onze producten, processen, bedrijfsvoering en management. De bevindingen werden meegedeeld aan onze teams die oplossingen hebben gevonden op de ontdekte problemen.
  • Gebaseerd op de effectbeoordelingen en interne controles hebben wij onze methodes en processen voor gegevensbeveiliging verbeterd. Dit bestaat uit het coderen van ongebruikte gegevens, gebaseerd op het niveau van gevoeligheid en de kans op risico's. Wij hebben onze eigen tools ontwikkeld voor een beter beheer van gegevens en gegevensherkenning.
  • Wij hebben onze database opgeschoond om er zeker van te zijn dat we alleen de nieuwste en meest accurate informatie hebben. Dit opschoningsproces bestaat uit het verwijderen van beëindigde en inactieve accounts volgens onze servicevoorwaarden.
  • Indien nodig zullen kennisgevingen met betrekking tot inbreuk worden gemeld in overeenstemming met ons interne beleid met betrekking tot privacyschendingen. Klanten worden binnen 72 uur na ontdekking van de overtreding op de hoogte gebracht van een overtreding. Voor algemene incidenten zullen wij gebruikers informeren via onze blogs, forums en sociale media. Voor incidenten die specifiek van toepassing zijn op een individuele gebruiker of een organisatie, zullen wij de betrokken partij per e-mail informeren (op hun primaire e-mailadres).
  • Wij hebben ons privacybeleid herzien en hebben de vereisten van de toepasselijke privacywetten erin verwerkt gebaseerd op onze gegevensinventaris, datastromen en gegevensverwerking.

Neem deel aan de live Q&A-sessie op forumbasis en krijg antwoorden op uw vragen over Zoho's bijgewerkte Privacybeleid in overeenstemming met de AVG. Vraag nu!

Veelgestelde vragen:

1. Wat is de AVG?

  • De Algemene verordening gegevensbescherming (AVG) van de EU is een belangrijke toevoeging aan gegevensbescherming en privacywetten. De EU heeft zich gerealiseerd dat hoewel de technologie in de laatste decennia drastisch is veranderd, de privacywetten vrijwel ongewijzigd zijn gebleven. In 2016 hebben regelgevende instanties in de EU besloten om de huidige richtlijnen inzake gegevensbescherming bij te werken volgens de veranderende tijden. Deze wet verplicht een uitgebreide lijst van voorschriften die de verwerking van de persoonsgegevens van EU-ingezetenen beheren.

2. Op wie is de AVG van toepassing?

  • De AVG geldt voor elke organisatie die werkt met de persoonsgegevens van de EU-ingezetenen. Deze wet introduceert nieuwe verplichtingen voor gegevensverwerkers, terwijl de verantwoordingsplicht van de gegevenscontrollers duidelijk wordt aangegeven.

3. Waar is de AVG op van toepassing?

  • Deze wet heeft geen territoriale grenzen. Het maakt niet uit waar uw organisatie zich bevindt - als u de persoonsgegevens van onderdanen in de EU verwerkt, dient u aan de wet te voldoen.

4. Wat zijn de sancties voor het niet naleven van de AVG?

  • Een inbreuk op de AVG kan leiden tot een boete van maximaal 4% van de jaarlijkse totale omzet of EUR 20 miljoen (wat hoger is).

5. Wie zijn de belangrijkste belanghebbenden?

  • Betrokkene- Een natuurlijk persoon die in de EU woont en die het onderwerp is van de gegevens
  • Gegevenscontroller- Bepaalt het doel en de wijze waarop de gegevens worden verwerkt
  • Gegevensverwerker- Verwerkt gegevens volgens de instructies van de controller
  • Toezichthoudende autoriteiten- Overheidsinstanties die toezicht houden op de toepassing van de regulering

6. Wat zijn persoonsgegevens of persoonlijk identificeerbare informatie?

  • Alle informatie betreffende een geïdentificeerd of identificeerbaar natuurlijke persoon. De identificaties zijn ingedeeld in twee soorten: direct (zoals naam, e-mailadres, telefoonnummer, etc.) en indirect (bijvoorbeeld geboortedatum, geslacht, enz.).

7. Wat zijn de belangrijkste wijzigingen ten opzichte van voorgaande verordeningen?

  • Nieuwe en verbeterde rechten voor betrokkenen- Deze wet geeft een individu het recht op volledig gezag over zijn of haar persoonsgegevens. Een paar van de in de verordening genoemde rechten zijn:
  • Expliciete toestemming: Betrokkenen moeten worden geïnformeerd over de manier waarop hun persoonsgegevens worden verwerkt. Organisaties moeten het de betrokkenen zo makkelijk mogelijk maken om hun toestemming in te trekken.
  • Recht op toegang: De betrokkene kan op elk gewenst moment de controller vragen welke persoonsgegevens er over hem of haar worden opgeslagen of bewaard.
  • Recht om te worden vergeten: De betrokkene kan de controller vragen om zijn/haar persoonsgegevens te verwijderen uit de systemen van de controller.
  • Verplichtingen van de verwerkers - De AVG heeft de lat hoger gelegd wat betreft de verantwoordelijkheden en verplichtingen van gegevensverwerkers. De verwerkers moeten voldoen aan de AVG en moeten de instructies van de gegevenscontroller opvolgen.
  • Functionaris voor de gegevensbescherming- Organisaties kunnen een staflid of externe serviceprovider aanwijzen die verantwoordelijk is voor het toezicht op de AVG, het naleven van het algemene privacybeheer en praktijken met betrekking tot gegevensbescherming.
  • Effectbeoordelingen op het gebied van gegevensbescherming- Organisaties moeten privacyeffectbeoordelingen van hun grootschalige gegevensverwerking uitvoeren om risico's te minimaliseren en maatregelen in te voeren om ze te beperken.
  • Melding van inbreuk- Controllers moeten de belanghebbenden (de toezichthoudende autoriteit, en indien van toepassing ook de betrokkenen) binnen 72 uur na de ontdekking van een inbreuk op de hoogte brengen.
  • Gegevensportabiliteit: De controller moet gegevens kunnen verstrekken met een kopie van hun persoonsgegevens in door een machine leesbaar bestandstype. Indien mogelijk moeten zij de gegevens naar een andere controller kunnen overbrengen.

8. Wat zijn de juridische grondslagen die de gegevenscontroller kan gebruiken om klantgegevens te verwerken?

  • De gegevenscontroller kan uit zes grondslagen voor gegevensverwerking kiezen. Dit zijn:
  • Contractueel - Dit geldt wanneer u de persoonsgegevens van de klant moet verwerken om te voldoen aan uw contractuele verplichtingen of om enige actie te ondernemen op basis van het verzoek van de klant (bijvoorbeeld een offerte of factuur).
  • Wettelijke verplichting - Dit geldt wanneer u zich dient te houden aan een verplichting op grond van een toepasselijke wetgeving (bijvoorbeeld het verstrekken van informatie in antwoord op geldige verzoeken, zoals een onderzoek door een autoriteit). 
  • Vitale belangen - Dit geldt voor dringende kwesties van leven en dood, vooral met betrekking tot gezondheidsgegevens.
  • Openbare taak - Dit geldt voor activiteiten van overheidsinstanties. 
  • Legitieme belangen - Legitieme belangen kunnen commerciële belangen zijn, zoals directe marketing, maar ook individuele belangen of bredere maatschappelijke voordelen omvatten. De controller moet de legitieme belangen vastleggen en bewaren in de vorm van een Evaluatie van Legitieme Belangen (ELB).
  • Toestemming - Toestemming is tevens een wettelijke basis om gegevens te mogen verwerken. Toestemming van de betrokkene betekent 'vrij gegeven, specifieke, geïnformeerde, en ondubbelzinnige aanduiding van de wensen van de betrokkene die door een verklaring of door een duidelijke bevestigend handelen toestemming geeft voor de verwerking van persoonsgegevens met betrekking tot hem of haar.' 

9. Wat is ELB?

  • ELB staat voor Evaluatie van Legitieme Belangen. Het specificeert het doel waarvoor een organisatie de persoonsgegevens van een klant wil verwerken. De organisatie moet met een ELB kunnen aantonen dat de verwerking noodzakelijk is.
  • Er wordt geëvalueerd of er een legitiem belang bestaat.
  • De noodzaak voor de verwerking moet worden vastgelegd.
  • De uitvoering van de afwegingstoets.

10. Vereist de AVG dat persoonsgegevens van de EU in de EU blijven?

  • Nee, de AVG vereist niet dat persoonsgegevens van de EU in de EU moeten blijven, noch is er een nieuwe beperking op de overdracht van persoonsgegevens buiten de EU. Ons Addendum Gegevensverwerking, dat verwijst naar de modelclausules van de Europese Commissie, zal onze klanten helpen de overdracht van persoonsgegevens in de EU buiten de EU te vergemakkelijken.

11. Waar worden mijn gegevens opgeslagen?

  • De gegevens van klanten van zoho.com worden opgeslagen in datacenters in de VS en die van klanten van zoho.eu worden opgeslagen in datacenters in de EU.

12. Waar vind ik meer informatie over de AVG? 

Bronnen:

Onze voortdurende inzet voor uw privacy - Sridhar Vembu, CEO Zoho Corp.

AVG - de essentie

Aarzel niet om vragen te stellen en te delen opPrivacy@zohocorp.com.

Kies voor uw privacy. Kies voor Zoho.

Meer informatie over Zoho's toepassing van de AVG.

  • BSI Assurance
  • Privacy Shield
  • TRUSTe
  • SOC

Disclaimer: De informatie die hierin wordt gepresenteerd, mag niet worden opgevat als juridisch advies. Wij raden u aan om juridisch advies in te winnen om te voldoen aan de eisen van de AVG.