GDPR-richtlijnen van PowerObjects

In mei van 2018 zullen de gegevensprivacy- en beschermingsregels van de Europese Unie (EU) de meest significante herziening in de afgelopen twintig jaar ontvangen. Sinds de huidige wetten in de jaren negentig zijn gemaakt, is de digitale wereld drastisch geëvolueerd. De hoeveelheid gegevens en informatie die we als individuen genereren en als bedrijven vastleggen en opslaan, is gegroeid, wat heeft geleid tot een oud regelgevingskader dat niet langer past. De GDPR introduceert een nieuw regelgevingsregime met een bredere definitie van persoonlijke gegevens, een groter territoriaal bereik wereldwijd en een hogere inzet voor niet-naleving.

Bij PowerObjects willen we onze klanten helpen de AVG-voorschriften te volgen bij het gebruik van onze producten en diensten. Hieronder worden de basisprincipes van GDPR beschreven, hoe PowerObjects zich op de impact voorbereidt en hoe u zich kunt voorbereiden.

Wat is GDPR?

GDPR staat voor General Data Protection Regulation; het is een nieuwe EU-verordening die van kracht wordt op de 25th Mei 2018. GDPR vervangt de 1995 EU-richtlijn gegevensbescherming. In tegenstelling tot EU-richtlijnen, die door elke lidstaat afzonderlijk worden geïmplementeerd, zijn EU-verordeningen in alle lidstaten tegelijk van toepassing. De impact van deze nieuwe wet reikt echter veel verder dan de EU-grenzen.

GDPR introduceert een reeks nieuwe maatregelen gericht op het bieden van verbeterde gegevensprivacy en bescherming voor alle inwoners van de Europese Unie. Dit heeft verstrekkende gevolgen omdat het niet alleen EU-organisaties treft, maar ook organisaties uit andere landen die gegevens van EU-ingezetenen verzamelen of verwerken. Het legt ook zware boetes op voor inbreuken en niet-naleving van maximaal € 20M of 4% van de wereldwijde jaaromzet.

GDPR heeft ook betrekking op de overdracht van persoonsgegevens van de EU naar derde landen, zoals de Verenigde Staten. De bepalingen over grensoverschrijdende gegevensuitwisseling veranderen niet radicaal van de voorschriften die voorheen onder de gegevensbeschermingsrichtlijnen golden. GDPR doet dat niet bevatten specifieke vereisten om af te dwingen dat persoonsgegevens van EU-ingezetenen in een EU-lidstaat moeten verblijven. Het bevat echter voorwaarden waaraan moet zijn voldaan voordat deze overdracht kan plaatsvinden, waaronder de toereikendheid van maatregelen voor gegevensbescherming.

GDPR heeft zes fundamentele principes met betrekking tot persoonlijke gegevens:
  1. Het moet rechtmatig, billijk en transparant worden verwerkt.
  2. Het moet worden verzameld voor specifieke, expliciete en legitieme zakelijke doeleinden.
  3. Het moet adequaat, relevant en beperkt zijn tot wat nodig is.
  4. Het moet nauwkeurig zijn en, indien nodig, worden bijgewerkt.
  5. Het mag alleen zo lang als nodig worden bewaard.
  6. Het moet op passende wijze worden verwerkt om de veiligheid te handhaven.
GDPR-sleuteldefinities

Dit zijn de essentiële definities die GDPR introduceert voor verschillende aspecten van gegevensbescherming.
  • controller: Persoon of organisatie die het doel en de middelen voor het verwerken van persoonsgegevens bepaalt.
  • Gegevensverwerker: Persoon of organisatie die persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke.
  • Toestemming: De overeenkomst om gegevens van de betrokkene te verwerken. Het moet vrij worden gegeven, specifiek, geïnformeerd en een ondubbelzinnige indicatie van de betrokkene door een verklaring of door expliciete bevestigende actie.
  • Persoonsgegevens: Alle informatie met betrekking tot een geïdentificeerde, of nog belangrijker identificeerbare, natuurlijke persoon. Dus alle gegevens die kunnen worden gebruikt om de identiteit van een persoon te bepalen, kunnen als persoonlijke gegevens worden beschouwd. bijv. IP-adressen en online identificatiegegevens.
  • Verwerking: Alle bewerkingen, al dan niet geautomatiseerd, uitgevoerd op persoonlijke gegevenssets.
Wat is de rol van PowerObjects in de GDPR-compliance van uw organisatie?

Wanneer u onze PowerPacks gebruikt, fungeert PowerObjects als gegevensverwerker voor u en moet deze voldoen aan alle vereisten die volgens de nieuwe verordening aan gegevensverwerkers worden opgelegd. Uw organisatie wordt volgens de nieuwe wet beschouwd als de gegevensbeheerder en het is de verantwoordelijkheid van uw organisatie om te voldoen aan de AVG.

PowerObjects wordt ook beschouwd als een gegevenscontroller voor de gegevens van onze klanten, en we zullen ervoor zorgen dat onze eigen gegevensverwerking voldoet aan de vereisten om u de best mogelijke ervaring te bieden terwijl we onze kernwaarden van 'het juiste doen' en 'het leven volgens de technologie' naleven '.

Wat zijn de verantwoordelijkheden van PowerObjects onder de AVG?

Als gegevensverwerker zijn onze primaire verantwoordelijkheden om ervoor te zorgen dat we beleid en praktijken hebben die voldoen aan de GDPR-vereisten en dat onze PowerPacks voldoen aan GDPR. Dit omvat beveiligingsmaatregelen, die we al hebben, evenals procedures en documentatie om naleving van GDPR aan te tonen, en dus de naleving van uw organisatie te ondersteunen.

De verantwoordelijkheid van PowerObjects is om gegevens te verwerken zoals overeengekomen, en om adequate beveiligingsmaatregelen te nemen om uw gegevens te beschermen.

Welke PowerPacks worden beïnvloed door GDPR?

Onze PowerPacks zijn add-on oplossingen die waarde leveren door het Dynamics 365-platform uit te breiden. Velen van hen werken rechtstreeks binnen het platform en vereisen dus niet dat de gegevens van uw klant door PowerObjects worden verwerkt. Sommige van onze PowerPacks hebben echter back-end integratie en synchronisatie nodig om hun functie te vervullen. Deze informatie kan snel worden gevonden door te navigeren naar de configuratiepagina voor elke PowerPack-invoegtoepassing die in uw CRM is geïmporteerd.

PowerPacks die afhankelijk zijn van Cloud Services van PowerObjects:
  • PowerChat: Vertrouwt op onze cloud om chatcommunicatie met de eindpunten van de klant in te stellen.
  • PowerEmail: Gebruikt onze cloud om e-mailbezorging te volgen en wordt geopend.
  • PowerMailChimp: Synchroniseert gegevens tussen Dynamics 365 en MailChimp met behulp van onze cloud.
  • PowerShare: Gebruikt onze cloud om bezoeken aan digitale middelen bij te houden die met de tool worden gedeeld.
  • PowerSMS: Synchroniseert gegevens tussen Dynamics 365 en de sms-provider met behulp van onze cloud.
  • PowerSurveyPlus: Gebruikt onze cloud om enquêtereacties vast te leggen en op te nemen in Dynamics 365.
  • PowerWebForm: Gebruikt onze cloud om formulierinzendingen vast te leggen en op te nemen in Dynamics 365.
  • PowerWebTraffic: Gebruikt onze cloud om bezoeken aan door u geconfigureerde websites bij te houden.
  • PowerZapEvent: Synchroniseert gegevens tussen Dynamics 365 en ZapEvent met behulp van onze cloud.
  • PowerAttachment: Gebruikt onze cloud om bijlagen uit te pakken en op te slaan in uw SharePoint.
  • PowerAutoNumber: Gebruikt onze cloud om het volgende volgnummer te genereren.
  • PowerGeoLog: Gebruikt onze cloud om Dynamics 365 gebruikersaanmeldingen te volgen.
Hoe gaat PowerObjects om met grensoverschrijdend delen en gegevensjurisdicties?

Het enige grensoverschrijdende gegevensuitwisseling PowerObjects is voor de gegevenssets die nodig zijn om een ​​PowerPack te registreren. Deze informatie wordt vastgelegd op ons eigen Amerikaans systeem. Wij doen niet grensoverschrijdende gegevensoverdracht uitvoeren binnen onze PowerPacks. Wanneer u een PowerPack installeert doet vereist back-end verwerking in onze PowerPack Cloud, u kunt beslissen in welke regio u uw gegevensverwerking wilt laten plaatsvinden. De huidige beschikbare locaties zijn de Verenigde Staten, Brazilië, Europa en Oost-Azië. We gebruiken Microsoft Azure-services voor onze PowerPack Cloud-systemen en onze Cloud-regio's komen overeen met de onderliggende Microsoft Azure-regio's.

Houd er rekening mee dat sommige van onze PowerPacks integratie met services van derden bieden. U bent verantwoordelijk voor de levering van deze services van derden en onze PowerPacks zullen met hen communiceren zoals door u wordt aangegeven tijdens de installatie. Dit kan in potentie grensoverschrijdende gegevensoverdrachten zijn en het is uw verantwoordelijkheid om ervoor te zorgen dat de derden die uw gegevens verwerken ook voldoen aan de AVG. MailChimp heeft bijvoorbeeld gedetailleerde richtlijnen binnen hun kennisbank over hoe ze dit bereiken in relatie tot de EU-VS Privacy Shield-overeenkomst.

Hoe we gegevens verwerken in onze PowerPacks

Wanneer we back-endverwerking op onze PowerPack Cloud nodig hebben om PowerPack-functionaliteit te leveren, gebruiken we services in het Microsoft Azure-platform. Dit platform biedt ons een hoog beveiligingsniveau en biedt extra voordelen om ervoor te zorgen dat de juiste technische beveiligingsmaatregelen zijn getroffen om de gegevens van uw klant optimaal te beschermen.

Onze PowerPack Cloud-verwerking is eenvoudig. We synchroniseren of integreren alleen gegevens met het doel deze op te nemen in uw Microsoft Dynamics 365-exemplaar. Daarom hebben we geen van uw klantgegevens permanent vastgelegd in onze cloudservices. We bewaren het alleen zolang als nodig is om de succesvolle verwerking te voltooien, en niet langer dan 30 dagen.

Over het algemeen kunnen we onze PowerPack-gegevensverwerking als volgt beschrijven:
  1. Wanneer u een nieuw PowerPack installeert, verzamelen we registratie-informatie, inclusief uw contactgegevens en uw Dynamics 365-organisatiegegevens - instantienaam en unieke id, aantal gebruikers en URL; evenals enkele andere details die nodig zijn voor elk specifiek PowerPack, zoals referenties of API-sleutels. Deze informatie wordt veilig verzonden naar onze PowerPack-registratiemotor met behulp van industriestandaard TLS-codering. De gegevens worden vervolgens vastgelegd in ons Amerikaans datacenter en in rust versleuteld.
  2. Als de PowerPack back-endverwerking of -synchronisatie nodig heeft, zoals eerder beschreven, kunt u een van onze PowerPack Cloud-locaties kiezen die beter aansluiten op uw vereisten voor gegevensbevoegdheid. Deze locaties komen overeen met de Microsoft Azure-cloudlocaties, omdat we Microsoft Azure Cloud-services gebruiken om deze infrastructuur te bieden. We sturen uw gegevens nooit naar verschillende PowerPack-cloudlocaties, dus u hebt volledige controle over waar uw gegevens zich bevinden. Dankzij de kracht van de Microsoft Cloud hebben we bovendien een extra aantal technische beveiligingsmaatregelen om ons te helpen uw gegevens tijdens deze verwerking te beschermen.
  3. Als de functionaliteit integratie met API's van derden vereist, bijvoorbeeld MailChimp of Twilio, biedt u deze configuratie tijdens de installatie van de oplossing om de PowerPack-functionaliteit in te schakelen. We gebruiken die informatie vervolgens om de gegevens zoals verwacht naar deze externe services te verzenden om het PowerPack te implementeren. Alle gegevensoverdracht tussen systemen is gecodeerd en volgt industriële beveiligingsstandaarden.
  4. De gegevens van uw klant worden maximaal dertig dagen in onze cloud bewaard, terwijl wij ervoor zorgen dat deze met succes zijn opgeslagen in uw Dynamics 365-exemplaar. Daarna verwijderen we de informatie uit onze systemen. Onze PowerPack Cloud houdt geen permanente registratie bij van uw klantgegevens.
Wat doet PowerObjects om naleving van GDPR te waarborgen?

We werken er hard aan om alles gereed te maken voor GDPR-compliance, sommige van de activiteiten die u vóór mei 2018 zult zien gebeuren.
  • Bijgewerkt beleid en documenten:
    We werken ons privacybeleid, licentieovereenkomsten en andere voorwaarden bij om te zorgen voor naleving en een juiste beschrijving van procedures voor toegang tot de Betrokkene.
  • Veiligheid:
    We nemen beveiliging zeer serieus, we voeren al wekelijkse en maandelijkse beveiligingsscans uit. We voeren ook regelmatig externe audits en penetratietests uit voor al onze infrastructuur.
  • mededeling:
    We herzien onze communicatie- en kennisgevingsprocedures om ervoor te zorgen dat deze volledig in overeenstemming zijn met de AVG.
  • Technische implementatiegegevens:
    We maken enkele technische handleidingen die meer informatie geven over hoe elke getroffen PowerPack de informatie van uw klant verwerkt. Deze handleidingen zijn op aanvraag beschikbaar voor onze klanten.
Waar kan ik meer informatie vinden over GDPR?

De volledige tekst van de AVG is beschikbaar hier. De Europese Commissie heeft een behulpzaam website gewijd aan het onderwerp Gegevensbescherming dat GDPR en andere gerelateerde kwesties behandelt. We bevelen ook de Ierse commissaris voor gegevensbescherming aan GDPR-site, en het UK's Information Commissioner's Office 12 Stappengids waardevolle bronnen om te helpen begrijpen hoe u aan AVG kunt voldoen.

Als PowerPack-abonnee kunt u altijd contact opnemen met ons PowerPack-team als u vragen hebt over de naleving van PowerObjects met GDPR of andere kwesties met betrekking tot gegevensprivacy.