AVG staat voor Algemene Verordening Gegevensbescherming en dit is de Nederlandse naam voor de General Data Protection Regulation (GDPR).
Wat is de nieuwe privacywetgeving, de GDPR?
De wetgeving ziet erop toe dat persoonsgegevens van een eindgebruiker alleen verwerkt worden wanneer hij of zij hiervoor zelf toestemming heeft gegeven. Sinds de ingang van deze wet in 2018 hebben wij al de nodige maatregelen genomen om onze systemen en software te laten voldoen aan deze wetgeving. We hebben een extra setting toegevoegd aan de beheeromgeving om jou te motiveren de privacy voorkeuren in jouw organisatie goed in kaart te brengen.
Deze wijzigingen aan onze kant betekenen ook dat er voor jou dingen veranderen, en dat je gebruikersdata niet meer zomaar kan inzien. Doordat in jouw beheeromgeving persoonsgegevens zijn gekoppeld aan passen en rekeningen, kan je nu bijvoorbeeld nog zien welke producten iemand koopt, wat het saldo van de verschillende passen is en kan je grote gebruikersimports doen. Wij moeten deze data verwerken, en de vrijheid om dát te doen is door de nieuwe privacywetgeving aan banden gelegd.
Dat betekent dat het alleen mag als je gebruikers (op papier) toestemming hebben geven voor het delen van hun persoonsgegevens met derden – zoals ons, in dit geval. Lees hieronder wat deze veranderingen voor jou betekenen.
Wie is wie, een kort overzicht
Wij functioneren als Verwerker van de persoonsgegevens: wij verwerken gegevens ten behoeve van jouw organisatie. Deze mogen wij alleen gebruiken voor doelen die wij met jullie hebben afgesproken. Dit hebben wij onder meer vastgelegd in de verwerkingsovereenkomst, die wij als bijlage hebben toegevoegd aan onze Algemene Voorwaarden (zie ook https://www.twelve.eu/voorwaarden/).
Jouw organisatie is de Verwerkingsverantwoordelijke en dit betekent dat jij verantwoordelijk bent voor wat er met de gegevens gebeurt. Als je gegevens wil delen met derden, moet je daarvoor toestemming vragen bij de eigenaar van die gegevens. Er moet dus op voorhand toestemming zijn gegeven door de betreffende persoon, om zijn of haar gegevens door een derde partij (wij, in dit geval) te laten verwerken. Wanneer hier toestemming voor is gegeven, dan mogen de gegevens officieel worden verwerkt (en dus worden getoond) door een derde partij. Met de nieuwe setting geef je aan dat je dit in kaart hebt gebracht.
Deze eindgebruiker blijft uiteraard altijd eigenaar (in de AVG: Betrokkene) en houdt zeggenschap over zijn persoonsgegevens. Het is daarom dat de eindgebruiker schriftelijk toestemming moet geven dat een derde partij (wij in dit geval) zijn persoonsgegevens mag verwerken. Hij mag ook altijd vragen om inzage in of verwijdering van zijn gegevens. Als enkele gebruikers dit hebben aangegeven, kan je ook hun gegevens opschonen, zonder inzicht en functionaliteiten te verliezen.
Wat betekent dit voor jou?
Jouw gebruikers moeten jou toestemming geven dat een derde partij, wij in dit geval, hun gegevens verwerkt. Wij hebben die gegevens nodig om bijvoorbeeld betaalpasjes te koppelen en rapportages voor jou inzichtelijk te maken. Daarom is het belangrijk dat je deze toestemming goed (schriftelijk) vastlegt [waar moet deze toestemming aan voldoen?]. Nadat je dit hebt geregeld met alle eindgebruikers, teken je als verantwoordelijke onze GDPR-overeenkomst. Op die manier verzeker jij ons dat wij de gegevens mogen verwerken. Alleen zo kunnen de gegevens voor jou volledig inzichtelijk blijven.
Mochten er leden zijn die niet akkoord zijn met de verwerking van hun gegevens, koppel je die apart weer los, na het ondertekenen van onze overeenkomst. Lees hoe je dat doet in het artikel ‘Opschonen gebruikersgegevens', of contacteer de helpdesk.