AVG-naleving bij PandaDoc

Bijgewerkt op 19 maart 2021

Wat het is, wat we doen en wat jij kunt doen

Sinds 25 mei 2018 is de AVG van kracht en is er meer toezicht op wereldwijde privacyrechten en naleving. Wij, bij PandaDoc, hebben de AVG-vereisten omarmd en deze handleiding is bedoeld om onze klanten te helpen de AVG-houding van PandaDoc te begrijpen. De handleiding is niet bedoeld als een grondige verhandeling over de toepassing van de AVG en moet met dit in gedachten worden gelezen.

Wat is de AVG?

De Algemene Verordening Gegevensbescherming (de ‘AVG’) is een Europese wet inzake gegevensbescherming en privacy die op 14 april 2016 werd aangenomen en officieel van kracht werd op 25 mei 2018. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Het uitstel van twee (2) jaar tussen aanname en handhaving was bedoeld om organisaties de tijd te geven zich voor te bereiden op de handhaving

De AVG is een ambitieuze poging om de gegevensbeschermingswetgeving van de EU te versterken, te harmoniseren en te moderniseren en de individuele rechten en vrijheden te versterken, in overeenstemming met de Europese opvatting van privacy als een fundamenteel mensenrecht. De AVG regelt onder meer hoe personen en organisaties persoonsgegevens kunnen verkrijgen, gebruiken, opslaan en wissen. Deze richtlijn vervangt een eerdere privacyrichtlijn van de Europese Unie, Richtlijn 95/46/EG (de ‘richtlijn’), die van 1995 tot begin 2018 de basis van het Europese gegevensbeschermingsrecht vormde. In tegenstelling tot de eerdere richtlijn is de AVG onmiddellijk van toepassing in de hele Europese Unie (‘EU’) in alle lidstaten, zonder dat verdere wetgevende maatregelen van de lidstaten nodig zijn. 

Sinds half mei 2018 is de AVG van kracht en is er geen ‘respijtperiode’ meer. Het is belangrijk dat organisaties die met de AVG te maken krijgen, nu voldoen aan de bepalingen ervan. 

Hoe werkt de AVG?

Met de AVG worden veel principes en eisen ingevoerd, dus is het belangrijk de AVG in zijn geheel door te nemen om een volledig begrip te krijgen van de eisen en hoe ze op je organisatie van toepassing kunnen zijn. Hoewel in de AVG veel van de in de richtlijn vastgelegde principes behouden blijven, worden er ook enkele belangrijke en ambitieuze veranderingen ingevoerd. Hier volgen er een paar die volgens ons bijzonder relevant zijn voor PandaDoc en onze klanten:

  1. Uitbreiding van het toepassingsgebied: de AVG is van toepassing op alle organisaties die in de EU zijn gevestigd of gegevens van in de Unie wonende betrokkenen verwerken, waardoor het begrip extraterritorialiteit wordt ingevoerd en het toepassingsgebied van de EU-wetgeving inzake gegevensbescherming tot ver buiten de grenzen van alleen de EU wordt uitgebreid.
  2. Uitbreiding van de definities van persoonsgegevens en bijzondere categorieën gegevens.
  3. Uitbreiding van individuele rechten: Betrokkenen hebben op grond van de AVG verschillende belangrijke rechten, waaronder het recht om vergeten te worden, het recht om bezwaar te maken, het recht op rectificatie, het recht op toegang en het recht op portabiliteit. Je organisatie moet ervoor zorgen dat ze aan deze rechten kan voldoen als de persoonsgegevens van in de Unie wonende betrokkenen worden verwerkt.

4. Strengere toestemmingsvereisten: Toestemming is een van de fundamentele rechtsgrondslagen van de AVG, en organisaties moeten ervoor zorgen dat toestemming wordt verkregen in overeenstemming met de eisen van de AVG. Je organisatie zal voor elk gebruik van de betreffende persoonsgegevens toestemming moeten krijgen van haar abonnees en contactpersonen, tenzij ze zich op een andere rechtsgrond kan beroepen. De weg naar naleving is het verkrijgen van uitdrukkelijke toestemming. Houd rekening met het volgende:

5. Strikte verwerkingseisen: personen hebben recht op ‘eerlijke en transparante’ informatie over de verwerking van hun persoonsgegevens, waaronder:

Op wie heeft het betrekking?

Zoals hierboven vermeld, is het territoriale toepassingsgebied van de AVG zeer ruim. De twee meest voorkomende territoriale toepassingsvoorwaarden van de AVG zijn: de AVG is van toepassing (1) op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt of niet; en (2) op de verwerking van (a) het aanbieden van goederen of diensten, ongeacht of een betaling van de betrokkene vereist is, aan dergelijke betrokkenen in de Unie; of (b) het observeren van hun gedrag, voor zover hun gedrag in de Unie plaatsvindt. Met dit laatste introduceert de AVG het beginsel ‘extraterritorialiteit’, wat betekent dat de AVG van toepassing is op elke organisatie die persoonsgegevens van betrokkenen verwerkt, ongeacht waar deze is gevestigd, en ongeacht waar de verwerkingsactiviteiten plaatsvinden. Dit betekent dat de AVG op elke organisatie waar ook ter wereld van toepassing kan zijn, en dat alle organisaties een analyse moeten uitvoeren om na te gaan of ze al dan niet de persoonsgegevens van EU-burgers verwerken. De AVG geldt ook voor alle industrieën en branches.

Hieronder staan een paar definities die helpen om de brede reikwijdte van de AVG te begrijpen

Wat is een ‘Betrokkene’?

De AVG definieert een Betrokkene in de hieronder besproken definitie van ‘Persoonsgegevens’.  Een Betrokkene is een identificeerbare natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer factoren die kenmerkend zijn voor de fysieke, psychologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

Een betrokkene is niet beperkt tot natuurlijke personen die EU-burger zijn.  De gevolgen hiervan blijken uit de hierboven beschreven territoriale toepassing van de AVG.  Een organisatie die persoonsgegevens verwerkt in het kader van een vestiging in de EU betekent de verwerking van persoonsgegevens van elke identificeerbare natuurlijke persoon, ongeacht de fysieke locatie van de natuurlijke persoon, mits de verwerking plaatsvindt in het kader van de vestiging.  Een organisatie die niet in de EU is gevestigd, maar goederen of diensten aanbiedt aan een betrokkene die zich in de EU bevindt, valt ook onder de AVG. In dit geval geldt dus niet alleen dat de AVG op een natuurlijke persoon van toepassing is, maar ook dat de natuurlijke persoon fysiek in de EU aanwezig moet zijn.

Wat wordt als ‘persoonsgegevens’ beschouwd?

De AVG definieert Persoonsgegevens als alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; dat wil zeggen, informatie die, op zichzelf of in combinatie met andere gegevens, kan worden gebruikt om een Betrokkene te identificeren. Kijk eens naar de extreem ruime reikwijdte van deze definitie. Persoonsgegevens omvatten nu niet alleen gegevens die gewoonlijk als persoonlijk van aard worden beschouwd ( bijv. burgerservicenummers, namen, fysieke adressen, e-mailadressen), maar ook gegevens zoals IP-adressen, gedragsgegevens, locatiegegevens, biometrische gegevens, financiële gegevens, en nog veel meer. Dit betekent dat, voor PandaDoc-gebruikers, informatie die een organisatie over haar abonnees en contactpersonen verzamelt, als Persoonsgegevens volgens de AVG worden beschouwd. Daarnaast is het belangrijk erop te wijzen dat zelfs Persoonsgegevens die ‘gepseudonimiseerd’ zijn als Persoonsgegevens kunnen worden beschouwd als het pseudoniem met een bepaald persoon in verband kan worden gebracht, dus bij de beoordeling van de toepassing ervan moet de nodige zorgvuldigheid betracht worden.  De classificatie van gegevens als Persoonsgegevens volgens de AVG verplicht Organisaties tot het nakomen van bepaalde plichten en verplichtingen in verband met wat grofweg transparantie genoemd kan worden met betrekking tot het gebruik van die Persoonsgegevens. En dat omvat ook de beveiliging ervan.

Bijzondere categorieën gegevens, zoals gezondheidsgegevens of gegevens waaruit iemands raciale of etnische afkomst blijkt, zullen onder de AVG nog beter moeten worden beschermd. Een organisatie mag gegevens van deze aard niet in haar PandaDoc-account opslaan.

Wat houdt ‘verwerking’ van gegevens in?

Volgens de AVG is verwerking ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’ Het komt erop neer dat als je organisatie persoonsgegevens van betrokkenen verzamelt, beheert, gebruikt of opslaat, ze EU-persoonsgegevens verwerkt in de door de AVG voorgeschreven betekenis. Dit betekent bijvoorbeeld dat als een van haar PandaDoc-lijsten het e-mailadres, de naam of andere persoonsgegevens van een Betrokkene bevat, je organisatie volgens de AVG EU-persoonsgegevens verwerkt. Toepassing van de AVG is natuurlijk afhankelijk van het voldoen aan de hierboven uiteengezette territoriale drempelvereisten.

Houd er rekening mee dat ook als je organisatie niet van mening dat haar activiteiten door de AVG worden geraakt, de AVG en de onderliggende principes toch belangrijk voor haar kunnen zijn. De Europese wetgeving zet de trend voor internationale privacyregelgeving en een groter privacybesef nu kan haar later een concurrentievoordeel opleveren.

Wie verwerkt Persoonsgegevens onder de AVG?

Als een organisatie persoonsgegevens ‘verwerkt’, doet ze dat als ofwel een Verwerkingsverantwoordelijke ofwel een Verwerker, en voor elk van beide gelden andere eisen en verplichtingen. Een Verwerkingsverantwoordelijke is de organisatie die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt. Een Verwerkingsverantwoordelijke bepaalt ook de specifieke persoonsgegevens die bij een betrokkene worden verzameld voor verwerking. Een Verwerker is de organisatie die de gegevens namens de verwerkingsverantwoordelijke verwerkt. Zie de Verwerker als een dienstverlener of leverancier in de relatie.

De AVG heeft de fundamentele definities van Verwerkingsverantwoordelijke en Verwerker uit de richtlijn niet veranderd, maar wel de verantwoordelijkheden van elke partij uitgebreid. Verwerkingsverantwoordelijken blijven primair verantwoordelijk voor gegevensbescherming (waaronder bijvoorbeeld de verplichting om inbreuken op de gegevensbescherming aan de gegevensbeschermingsautoriteiten te melden); de AVG legt echter ook een aantal directe verantwoordelijkheden bij de Verwerker. Het is belangrijk om te begrijpen of je organisatie optreedt als een Verwerkingsverantwoordelijke of als een Verwerker, en dienovereenkomstig vertrouwd te raken met je verantwoordelijkheden.

In de context van de PandaDoc-toepassing en onze verwante diensten treden onze klanten in de meeste omstandigheden op als de Verwerkingsverantwoordelijke. Onze klanten beslissen bijvoorbeeld welke informatie van hun contactpersonen of abonnees in hun PandaDoc-account wordt geüpload of ernaar wordt doorgegeven. Hoe PandaDoc Persoonsgegevens verwerkt, wordt hieronder behandeld.

Hoe voldoet PandaDoc aan de AVG?

PandaDoc neemt AVG-naleving zeer serieus en begon ruim voor de ingangsdatum met de AVG-voorbereiding. Als onderdeel van dit proces hebben we al onze interne processen, procedures, systemen en documentatie onder de loep genomen (en waar nodig aangepast) om er zeker van te zijn dat we klaar zouden zijn zodra de AVG van kracht zou worden. Naleving is geen statische prestatie, en vereist dat we voortdurend waakzaam blijven voor veranderende omstandigheden en wettelijke voorschriften.

Een recente verandering betreft het arrest van het Hof van Justitie van de Europese Unie (‘HJEU’) in wat het Schrems II-arrest wordt genoemd.  Dit arrest draait om de doorgifte van Persoonsgegevens uit de lidstaten van de EU naar derde landen, zoals de Verenigde Staten. De AVG bevat, net als de richtlijn, geen specifieke eis dat de Persoonsgegevens van EU-burgers alleen in de EU-lidstaten worden opgeslagen. In plaats daarvan eist de AVG dat aan bepaalde voorwaarden wordt voldaan voordat Persoonsgegevens buiten de EU worden doorgegeven, waarbij een aantal verschillende rechtsgronden worden aangewezen waarop organisaties zich kunnen beroepen om dergelijke gegevensdoorgiften uit te voeren. Eén rechtsgrond voor de doorgifte van Persoonsgegevens die in de AVG wordt uiteengezet, is een ‘adequaatheidsbesluit’. Een adequaatheidsbesluit is een besluit van de Europese Commissie dat er een passend beschermingsniveau bestaat voor de Persoonsgegevens in het land, het gebied of de organisatie waar ze worden doorgegeven. Met het Schrems II-arrest werd het adequaatheidsbesluit voor transatlantische gegevensoverdracht naar de Verenigde Staten dat bekend staat als Privacy Shield II, nietig verklaard. Een ander effect dat uit dit besluit voortvloeide, betrof het gebruik van ‘modelcontractbepalingen’ (SCC’s) tussen de Verwerkingsverantwoordelijke of Verwerker en de Verwerkingsverantwoordelijke, Verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie. SCC’s zijn een vaak ingeroepen rechtsgrond onder de noemer ‘passende waarborgen’, waarbij de doorgifte van persoonsgegevens alleen mag plaatsvinden als er passende waarborgen zijn en als er afdwingbare rechten van de betrokkene en doeltreffende rechtsmiddelen beschikbaar zijn. Waar het HJEU de geldigheid van deze waarborg handhaafde, stelde het bepaalde voorwaarden aan het gebruik ervan.  

PandaDoc streeft ernaar te voldoen aan de resultaten van het Schrems II-arrest, en aan alle andere wettelijke mandaten in de toekomst. We volgen de ontwikkelingen op de voet, in het bijzonder wat betreft de publicaties van richtlijnen van het Europees Comité voor gegevensbescherming en adviezen van de Toezichthoudende autoriteit. 

Conform ons beleid gaan we in op alle verzoeken van onze klanten in verband met hun uitgebreide individuele rechten volgens de AVG. In het algemeen gaat het om:

Hoe verwerkt PandaDoc Persoonsgegevens? 

PandaDoc gebruikt, net als elk ander bedrijf, momenteel externe Subverwerkers (derden) voor verschillende bedrijfsfuncties zoals bedrijfsanalyses, cloudinfrastructuur, e-mailmeldingen, betalingen, en klantenondersteuning. Voordat PandaDoc met een externe subverwerker in zee gaat, evalueert het eerst hun bescherming en sluit het een overeenkomst die elke subverwerker verplicht tot minimaal aanvaardbare beveiligingspraktijken. We hebben onze subverwerkers op een aparte pagina genoteerd. We houden deze pagina actueel. Kom regelmatig terug om op de hoogte te blijven van alle veranderingen.

Moet je voldoen aan de AVG?

Zoals hierboven beschreven, heeft de AVG een ruime extraterritoriale reikwijdte en moet de nodige aandacht worden besteed aan de toepassing ervan in de activiteiten van je organisatie. We kunnen niet genoeg benadrukken dat je met juridische en andere professionele adviseurs moet overleggen over de volledige reikwijdte van de nalevingsverplichtingen van je organisatie in het kader van de AVG.

Wat gebeurt er als je niet voldoet aan de AVG?

Niet-naleving van de AVG kan leiden tot enorme financiële sancties. Sancties voor niet-naleving kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat het hoogste is.

Waar begin ik?

We hebben de onderstaande tabel hier opgenomen om onze klanten te helpen na te denken over de AVG en hun verantwoordelijkheden EN hoe PandaDoc daarbij een rol speelt. Deze lijst is niet exclusief of uitputtend.

AVG-vereisteAVG-referentieActor(en)Ondernomen acties
RechtsgrondslagArtikel 6, Artikel 11GedeeldPandaDoc: stelt een rechtsgrondslag vast om persoonsgegevens te verwerken. Betrokkene: als de rechtsgrondslag toestemming is, stemt de betrokkene ermee in dat PandaDoc gegevens over diegene verzamelt.
Persoonsgegevens van kinderen verwerkenArtikel 8PandaDocMaakt geen onderscheid tussen verschillende soorten persoonsgegevens en verzamelt niet bewust persoonsgegevens van kinderen.
Gegevensbescherming door ontwerpArtikel 25GedeeldPandaDoc: verzamelt de minimale persoonsgegevens die nodig zijn om de normale bedrijfsactiviteiten uit te voeren. Klant: beheert inhoud binnen het platform van PandaDoc.
Effectbeoordelingen gegevensbeschermingArtikel 35GedeeldPandaDoc: wijst verantwoordelijk personeel aan om de noodzakelijke effectbeoordelingen van gegevensbescherming uit te voeren. Klant: bepaalt de mate waarin inhoud met zakenpartners wordt gedeeld en kan PandaDoc, als verwerker, bijstaan.
EncryptieArtikel 32GedeeldPandaDoc en de Klant (als verwerker): voldoen aan de beveiligingseisen. Persoonsgegevens worden in doorgifte en in rust versleuteld met AES-256 bits encryptie.
Europees Comité voor gegevensbeschermingArtikel 68GedeeldPandaDoc en Klant (als verwerker): volgen de activiteit van het Europees Comité voor gegevensbescherming.
Inventaris van persoonsgegevensArtikel 30GedeeldPandaDoc en de Klant (als verwerker): voldoen aan de eisen voor een register van verwerkingsactiviteiten.
Recht op wissenArtikel 17GedeeldPandaDoc: benoemt verantwoordelijk personeel om te reageren op elke uitoefening van dit Recht. Betrokkene: oefent diens recht op wissen uit zoals PandaDoc biedt.