Hoe gaat Plek om met de AVG en wat betekent dat voor jouw organisatie?
door Bart op 5-jun-2018 12:51:00
Sinds eind mei is de AVG (Algemene Verordening Gegevensbescherming) van kracht. Hierover is al veel gezegd en geschreven - ook door ons - maar voor de volledigheid hebben we voor je op een rijtje gezet hoe wij omgaan met de AVG en wat dat voor Plekklanten en -gebruikers betekent.
De AVG en Plek
Plek voldoet aan de eisen van de AVG. Wij verzamelen persoonlijke gegevens van gebruikers alleen indien ze noodzakelijk zijn. Dit heet dataminimalisatie. Een voorbeeld hiervan is onze koppeling met Office 365. De informatie die in Plek weergegeven wordt, staat dan opgeslagen in Office 365. Plek vraagt achter de schermen de benodigde info op en toont deze aan jou, maar slaat zelf de gegevens niet op.
De gegevens die wij verzamelen en verwerken hebben als doel het zorgen dat Plekgebruikers hun communicatieplatform kunnen gebruiken. Hieronder valt ook het analyseren van data ter verbetering van Plek - en deze data is geanonimiseerd. We gebruiken de gegevens die wij verzamelen niet voor andere doeleinden.
Onze hostingpartij is ISO27001, NEN7510 en ISAE3402 gecertificeerd en Plek voldoet zelf aan ISO27001 en NEN7510 - waarmee we aantonen dat onze interne processen op orde zijn en dat we veilig omgaan met persoonsgegevens.
De AVG garandeert individuen onder andere het recht op dataportabiliteit, vergetelheid en inzage. Hieronder zetten we op een rijtje hoe deze rechten van toepassing zijn voor Plekgebruikers.
Rechten van Plekgebruikers
Het recht op dataportabiliteit Dit is het recht om persoonsgegevens over te dragen. Als Plekgebruiker kun je de persoonsgegevens die Plek verwerkt vinden door te navigeren naar je profielpagina. Deze gegevens kun je ontvangen door te printen (eventueel naar een PDF) of te kopiëren / plakken.
Het recht op vergetelheid Dit is het recht om ‘vergeten’ te worden. Dit recht houdt in dat wij in een aantal gevallen persoonsgegevens moeten wissen als degene van wie we gegevens verwerken erom vraagt. Omdat wij met onze klanten een verwerkersovereenkomst hebben, moet zo’n verzoek vanuit de betreffende organisatie bij Plek worden ingediend (niet vanuit de betreffende persoon).
Je kunt als Plekgebruiker zelf de gegevens op je profielpagina aanpassen. Bij sommige organisaties zijn bepaalde profielvelden verplicht. Alleen door je account te deactiveren, worden deze gegevens van Plek verwijderd. Als jouw Plek-account gedeactiveerd wordt door de admin van jullie Plek, is je profiel niet meer zichtbaar, wordt het niet meer teruggevonden via de zoekfunctie en kunnen er geen chatberichten of @mentions meer naartoe gestuurd worden. Je kunt dan ook niet meer inloggen op Plek en je profielfoto wordt niet meer getoond bij berichten en andere content die je eerder op Plek hebt geplaatst.
Na 6 maanden worden alle gegevens behalve naam en e-mailadres uit gedeactiveerde accounts verwijderd. Als je wilt kan de admin van jullie Plek jouw naam wijzigen in je initialen, en hij/zij kan het e-mailadres waaraan Plek jou als gebruiker herkende wijzigen (eventueel in een niet-bestaand e-mailadres) om herleidbaarheid naar jouw naam te voorkomen.
Het recht op vergetelheid geldt op Plek in de volgende situaties:
- Als Plek de persoonsgegevens niet meer nodig heeft voor de doeleinden waarvoor ze zijn verzameld of waarvoor ze verwerkt worden.
- Als Plek eerder (uitdrukkelijke) toestemming heeft gekregen voor het gebruik van gegevens, maar die toestemming nu ingetrokken wordt.
- Als er bezwaar wordt gemaakt tegen de verwerking. Er gelden op grond van de AVG verschillende rechten van bezwaar (absoluut en relatief).
- Als Plek gegevens onrechtmatig verwerkt.
- Als de wettelijk bepaalde bewaartermijn van de gegevens verstreken is.
Recht op inzage Dit is het recht om persoonsgegevens in te zien. Zoals we onder het recht op dataportabiliteit schreven, kun je als Plekgebruiker zelf op je profielpagina zien welke gegevens wij over jou bewaren. Wij hebben een verwerkersovereenkomst met jouw werkgever (of andere organisatie tot wiens Plekomgeving jij toegang hebt) waarin we het volgende hebben vastgelegd:
- Waarom we gegevens verwerken Dit doen wij omdat collega’s en/of anderen waarmee je communiceert op Plek de betreffende gegevens nodig hebben voor een goede samenwerking. Wij verzamelen en gebruiken persoonsgegevens omwille van interne communicatie, niet omwille van enig ander (marketing)doeleinde.
- Aan welke organisaties wij persoonsgegevens doorgeven Wij geven persoonsgegevens in principe niet door aan andere organisaties, maar maken wel gebruik van een (uitvoerig gecertificeerde en beveiligde) hostingpartij genaamd True.
- Hoe lang we je persoonsgegevens bewaren Wij bewaren jouw persoonsgegevens in ieder geval zo lang jij een actief account op een Plekomgeving hebt. Als jouw profiel wordt gedeactiveerd, bewaren we je gegevens nog 6 maanden. Berichten of andere content die je geplaatst hebt op Plek blijft wel beschikbaar voor andere Plekgebruikers. Je profielfoto die daarbij staat wordt vervangen door je initialen.
- Welke privacyrechten je als Plekgebruiker hebt Dit zijn de rechten die we in dit artikel omschrijven.
- Dat de organisatie het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens Kijk op de site van de Autoriteit Persoonsgegevens voor meer informatie hierover.
- Van welke organisatie we persoonsgegevens hebben ontvangen Dit is doorgaans jouw werkgever of de organisatie waar je anderszins bij betrokken bent en tot wiens Plek je daarom toegang hebt.
De impact van de AVG op jouw interne communicatie
Aangezien er veel geschreven wordt over AVG-proof omgaan met klanten, maar weinig over de impact van de AVG op interne communicatie, geven we hieronder een aantal tips waarmee je zelf aan de slag kunt.
- Maak afspraken over de privacy van medewerkers Stel een reglement op waarin o.a. staat beschreven in welke gevallen het bedrijfsbelang boven het recht op privacy van de medewerker gaat.
- Train werknemers Train medewerkers op het gebied van apparaat- en databeveiliging, ongeacht of ze werk- of privé-apparaten gebruiken. Een organisatiebreed bewustzijn van de risico's is een goede eerste stap in het voorkomen van incidenten.
- Voer een audit uit Welke geautoriseerde en niet-geautoriseerde apparaten hebben toegang tot persoonlijke gegevens? Als je niet weet wie toegang tot wat heeft, kun je niet voorkomen dat er iets mis gaat en kun je vervolgens ook geen passende maatregelen nemen.
- Beveilig apparaten Voorzie computers en telefoons die eigendom zijn van de organisatie van een up-to-date besturingssysteem, virusscanner, firewall, en een verplichte VPN-verbinding om toegang te krijgen tot het bedrijfsnetwerk. Installeer op deze apparaten ook software die medewerkers verplicht regelmatig hun wachtwoord te wijzigen. Als medewerkers privé-apparaten gebruiken, kun je ze dit soort eisen ook opleggen, zo lang ze redelijk zijn.
- Wis gegevens bij verlies of diefstal Zorg dat de inhoud van zakelijke apparaten wordt gewist bij verlies of diefstal. Maar let op: bij BYOD-apparaten gaat er dan ook privédata verloren, dus het wissen op afstand zou dan alleen mogen met toestemming van de medewerker. Maak hier dus vooraf goede afspraken over zodat je de discussie niet pas voert als het kwaad al is geschied: je moet per direct klaar zijn voor wissen op afstand met een druk op de knop.
AVG-proof en 'future-proof' met Plek
Zoals je begrijpt, is Plek 100% AVG-proof. Maar wij doen altijd graag meer dan vereist. Zo hebben we zojuist een functionaliteit toegevoegd waarmee een admin een gebruiker op al zijn/haar apparaten kan uitloggen van Plek: handig als een apparaat is gestolen of kwijtgeraakt. Zelfs als het toestel dan niet volledig gewist kan worden, kunnen we de data die Plek verwerkt beschermen. Daarnaast denken we aan het implementeren van inloggen met een extra beveiliging zoals banken dat ook doen, bijvoorbeeld met je vingerafdruk. Dit soort maatregelen zijn geen noodzaak onder de AVG maar wij zijn graag 'future-proof', en zetten hiermee graag de kers op de (superveilige) taart die Plek nu al is!
Wil je meer weten over hoe Plek voldoet aan de AVG, of over hoe jij de interne communicatie van jouw organisatie AVG-proof maakt? Neem dan contact op.
P.S. Heb je onze gratis product tours al gezien?
- sociaal intranet (46)
- covid-19 (16)
- technologie (16)
- onboardingproces (15)
- Medewerkerbetrokkenheid (12)
- bedrijfsnieuws (12)
- interne communicatie (12)
- AVG (9)
- slimme gesprekken (9)
- klantverhalen (7)
- hybride werken (5)
- zorg (4)
- MTO (3)
- onboarding (3)
- Medewerkerconversatie (2)
- communityplatform (2)
- evenementen (2)
- partners (2)
- social learning (2)
- Leren & Activeren (1)
- Luisteren & Verbeteren (1)
- Medewerker App (1)
- december 2024 (3)
- november 2024 (1)
- oktober 2024 (2)
- augustus 2024 (1)
- juni 2024 (1)
- mei 2024 (4)
- april 2024 (1)
- maart 2024 (4)
- februari 2024 (2)
- juli 2023 (1)
- juni 2023 (1)
- mei 2023 (8)
- april 2023 (3)
- maart 2023 (2)
- februari 2023 (1)
- januari 2023 (1)
- november 2022 (1)
- oktober 2022 (3)
- augustus 2022 (1)
- juli 2022 (1)
- juni 2022 (2)
- mei 2022 (1)
- april 2022 (1)
- maart 2022 (3)
- februari 2022 (1)
- januari 2022 (1)
- november 2021 (4)
- oktober 2021 (2)
- september 2021 (1)
- juli 2021 (2)
- april 2021 (2)
- maart 2021 (2)
- januari 2021 (2)
- november 2020 (1)
- mei 2020 (5)
- april 2020 (13)
- november 2019 (1)
- september 2019 (1)
- juli 2019 (1)
- juni 2019 (1)
- mei 2019 (3)
- april 2019 (1)
- maart 2019 (1)
- februari 2019 (3)
- januari 2019 (1)
- december 2018 (2)
- november 2018 (3)
- oktober 2018 (2)
- juni 2018 (2)
- mei 2018 (2)
- april 2018 (1)
- maart 2018 (1)
- februari 2018 (1)