Hoe gaat Plek om met de AVG en wat betekent dat voor jouw organisatie?

Sinds eind mei is de AVG (Algemene Verordening Gegevensbescherming) van kracht. Hierover is al veel gezegd en geschreven - ook door ons - maar voor de volledigheid hebben we voor je op een rijtje gezet hoe wij omgaan met de AVG en wat dat voor Plekklanten en -gebruikers betekent.

De AVG en Plek

Plek voldoet aan de eisen van de AVG. Wij verzamelen persoonlijke gegevens van gebruikers alleen indien ze noodzakelijk zijn. Dit heet dataminimalisatie. Een voorbeeld hiervan is onze koppeling met Office 365. De informatie die in Plek weergegeven wordt, staat dan opgeslagen in Office 365. Plek vraagt achter de schermen de benodigde info op en toont deze aan jou, maar slaat zelf de gegevens niet op.

De gegevens die wij verzamelen en verwerken hebben als doel het zorgen dat Plekgebruikers hun communicatieplatform kunnen gebruiken. Hieronder valt ook het analyseren van data ter verbetering van Plek - en deze data is geanonimiseerd. We gebruiken de gegevens die wij verzamelen niet voor andere doeleinden.

Onze hostingpartij is ISO27001, NEN7510 en ISAE3402 gecertificeerd en Plek voldoet zelf aan ISO27001 en NEN7510 - waarmee we aantonen dat onze interne processen op orde zijn en dat we veilig omgaan met persoonsgegevens.

De AVG garandeert individuen onder andere het recht op dataportabiliteit, vergetelheid en inzage. Hieronder zetten we op een rijtje hoe deze rechten van toepassing zijn voor Plekgebruikers.

Rechten van Plekgebruikers

Het recht op dataportabiliteit Dit is het recht om persoonsgegevens over te dragen. Als Plekgebruiker kun je de persoonsgegevens die Plek verwerkt vinden door te navigeren naar je profielpagina. Deze gegevens kun je ontvangen door te printen (eventueel naar een PDF) of te kopiëren / plakken.

Het recht op vergetelheid Dit is het recht om ‘vergeten’ te worden. Dit recht houdt in dat wij in een aantal gevallen persoonsgegevens moeten wissen als degene van wie we gegevens verwerken erom vraagt. Omdat wij met onze klanten een verwerkersovereenkomst hebben, moet zo’n verzoek vanuit de betreffende organisatie bij Plek worden ingediend (niet vanuit de betreffende persoon).

Je kunt als Plekgebruiker zelf de gegevens op je profielpagina aanpassen. Bij sommige organisaties zijn bepaalde profielvelden verplicht. Alleen door je account te deactiveren, worden deze gegevens van Plek verwijderd. Als jouw Plek-account gedeactiveerd wordt door de admin van jullie Plek, is je profiel niet meer zichtbaar, wordt het niet meer teruggevonden via de zoekfunctie en kunnen er geen chatberichten of @mentions meer naartoe gestuurd worden. Je kunt dan ook niet meer inloggen op Plek en je profielfoto wordt niet meer getoond bij berichten en andere content die je eerder op Plek hebt geplaatst.

Na 6 maanden worden alle gegevens behalve naam en e-mailadres uit gedeactiveerde accounts verwijderd. Als je wilt kan de admin van jullie Plek jouw naam wijzigen in je initialen, en hij/zij kan het e-mailadres waaraan Plek jou als gebruiker herkende wijzigen (eventueel in een niet-bestaand e-mailadres) om herleidbaarheid naar jouw naam te voorkomen.

Het recht op vergetelheid geldt op Plek in de volgende situaties:

• Als Plek de persoonsgegevens niet meer nodig heeft voor de doeleinden waarvoor ze zijn verzameld of waarvoor ze verwerkt worden.
• Als Plek eerder (uitdrukkelijke) toestemming heeft gekregen voor het gebruik van gegevens, maar die toestemming nu ingetrokken wordt.
• Als er bezwaar wordt gemaakt tegen de verwerking. Er gelden op grond van de AVG verschillende rechten van bezwaar (absoluut en relatief).
• Als Plek gegevens onrechtmatig verwerkt.
• Als de wettelijk bepaalde bewaartermijn van de gegevens verstreken is.

Recht op inzage Dit is het recht om persoonsgegevens in te zien. Zoals we onder het recht op dataportabiliteit schreven, kun je als Plekgebruiker zelf op je profielpagina zien welke gegevens wij over jou bewaren. Wij hebben een verwerkersovereenkomst met jouw werkgever (of andere organisatie tot wiens Plekomgeving jij toegang hebt) waarin we het volgende hebben vastgelegd:

• Waarom we gegevens verwerken Dit doen wij omdat collega’s en/of anderen waarmee je communiceert op Plek de betreffende gegevens nodig hebben voor een goede samenwerking. Wij verzamelen en gebruiken persoonsgegevens omwille van interne communicatie, niet omwille van enig ander (marketing)doeleinde.
• Aan welke organisaties wij persoonsgegevens doorgeven Wij geven persoonsgegevens in principe niet door aan andere organisaties, maar maken wel gebruik van een (uitvoerig gecertificeerde en beveiligde) hostingpartij genaamd True.
• Hoe lang we je persoonsgegevens bewaren Wij bewaren jouw persoonsgegevens in ieder geval zo lang jij een actief account op een Plekomgeving hebt. Als jouw profiel wordt gedeactiveerd, bewaren we je gegevens nog 6 maanden. Berichten of andere content die je geplaatst hebt op Plek blijft wel beschikbaar voor andere Plekgebruikers. Je profielfoto die daarbij staat wordt vervangen door je initialen.
• Welke privacyrechten je als Plekgebruiker hebt Dit zijn de rechten die we in dit artikel omschrijven.
• Dat de organisatie het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens Kijk op de site van de Autoriteit Persoonsgegevens voor meer informatie hierover.
• Van welke organisatie we persoonsgegevens hebben ontvangen Dit is doorgaans jouw werkgever of de organisatie waar je anderszins bij betrokken bent en tot wiens Plek je daarom toegang hebt.

De impact van de AVG op jouw interne communicatie

Aangezien er veel geschreven wordt over AVG-proof omgaan met klanten, maar weinig over de impact van de AVG op interne communicatie, geven we hieronder een aantal tips waarmee je zelf aan de slag kunt.

• Maak afspraken over de privacy van medewerkers Stel een reglement op waarin o.a. staat beschreven in welke gevallen het bedrijfsbelang boven het recht op privacy van de medewerker gaat.
• Train werknemers Train medewerkers op het gebied van apparaat- en databeveiliging, ongeacht of ze werk- of privé-apparaten gebruiken. Een organisatiebreed bewustzijn van de risico's is een goede eerste stap in het voorkomen van incidenten.
• Voer een audit uit Welke geautoriseerde en niet-geautoriseerde apparaten hebben toegang tot persoonlijke gegevens? Als je niet weet wie toegang tot wat heeft, kun je niet voorkomen dat er iets mis gaat en kun je vervolgens ook geen passende maatregelen nemen.
• Beveilig apparaten Voorzie computers en telefoons die eigendom zijn van de organisatie van een up-to-date besturingssysteem, virusscanner, firewall, en een verplichte VPN-verbinding om toegang te krijgen tot het bedrijfsnetwerk. Installeer op deze apparaten ook software die medewerkers verplicht regelmatig hun wachtwoord te wijzigen. Als medewerkers privé-apparaten gebruiken, kun je ze dit soort eisen ook opleggen, zo lang ze redelijk zijn.
• Wis gegevens bij verlies of diefstal Zorg dat de inhoud van zakelijke apparaten wordt gewist bij verlies of diefstal. Maar let op: bij BYOD-apparaten gaat er dan ook privédata verloren, dus het wissen op afstand zou dan alleen mogen met toestemming van de medewerker. Maak hier dus vooraf goede afspraken over zodat je de discussie niet pas voert als het kwaad al is geschied: je moet per direct klaar zijn voor wissen op afstand met een druk op de knop.

AVG-proof en 'future-proof' met Plek

Zoals je begrijpt, is Plek 100% AVG-proof. Maar wij doen altijd graag meer dan vereist. Zo hebben we zojuist een functionaliteit toegevoegd waarmee een admin een gebruiker op al zijn/haar apparaten kan uitloggen van Plek: handig als een apparaat is gestolen of kwijtgeraakt. Zelfs als het toestel dan niet volledig gewist kan worden, kunnen we de data die Plek verwerkt beschermen. Daarnaast denken we aan het implementeren van inloggen met een extra beveiliging zoals banken dat ook doen, bijvoorbeeld met je vingerafdruk. Dit soort maatregelen zijn geen noodzaak onder de AVG maar wij zijn graag 'future-proof', en zetten hiermee graag de kers op de (superveilige) taart die Plek nu al is!

Wil je meer weten over hoe Plek voldoet aan de AVG, of over hoe jij de interne communicatie van jouw organisatie AVG-proof maakt? Neem dan contact op.

P.S. Heb je onze gratis product tours al gezien?