Wat is een persoonsgegeven?

Volgens de AVG is een persoonsgegeven elke gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Het moet dus gaan om natuurlijke personen. Rechtspersonen, zoals stichtingen, bv’s en verenigingen vallen hier dus buiten. Tevens is niet elke technisch of toevallig verband met een natuurlijk persoon voldoende om een persoonsgegeven te zijn. Het hangt sterk af van de context, intentie en het gebruik van het gegeven.

Is het telefoonnummer van een contactpersoon bij een bedrijf een persoonsgegeven? Dit hangt van de context af. Indien het gewoon een nummer is waarmee u contact wilt opnemen met een bedrijf en toevallig heeft de betreffende persoon hier een vast nummer in zijn functie binnen het bedrijf, dan is het geen persoonsgegeven. Indien het nummer wordt gebruikt door zijn leidinggevende binnen het bedrijf om het belgedrag van de medewerker te analyseren, dan is het wel een persoonsgegeven.

De richtlijn is, indien je over gegevens van een persoon beschikt en deze kunnen invloed hebben op het beeld welke je hebt over die persoon door het gebruik van deze gegevens. Dan zijn het persoonsgegevens. Dit dient bij de toepassing van de AVG (GDPR) in de gaten worden gehouden.

Hoe dient u om te gaan met persoonsgegevens?

Met het gebruik van persoonsgegevens dienen de volgende aspecten volgens de AVG (GDPR) goed in de gaten worden gehouden:

  1. Wettelijkheid, eerlijkheid en transparantie. Om persoonlijke gegevens te verzamelen, dien je een wettelijke basis te hebben, een helder doel en je moet de persoon hierover informeren. Een wettelijke basis is gelegen in:
    • Toestemming. Er dient toestemming te worden gegeven om de gegevens te verwerken. Er dient helder te zijn gecommuniceerd met een afgebakend doel.
    • Noodzakelijk voor het hebben van contact of het leveren van een dienst of product. Bijvoorbeeld: contactgegevens, factuurgegevens en/of afleveradressen.
    • Wettelijke verplichting om de gegevens te verzamelen. Bijvoorbeeld: Het btw-nummers van afnemers buiten Nederland en binnen de EU.
    • Beschermen van een vitaal belang.
    • Publiek belang of een overheidsinstantie.
    • Een legitiem belang bij degene welke de gegevens verzameld.
  2. Doelbeperking. Gegevens mogen alleen voor een beperkt doel worden gebruikt. Indien je deze gegevens voor wat anders wilt gebruiken, dan moet er opnieuw een wettelijke basis hiervoor bestaan en eventueel opnieuw toestemming worden gevraagd. Indien je de gegevens gebruikt voor het houden van contact met je klanten dan mag je dezelfde gegevens niet doorverkopen aan iemand anders welke deze gegevens voor een ander doel gaat gebruiken.
  3. Minimalisatie. Verzamel alleen gegevens welke voor een specifiek doel van belang is. Bijvoorbeeld: Het verzamelen van de politieke voorkeur van je klanten is niet nodig om goederen bij hen af te leveren.
  4. Accuraatheid. De gegevens dienen te kloppen. Er dient ervoor te worden gezorgd dat deze worden gecontroleerd. Als bijvoorbeeld een e-mailadres niet correct is, dient deze te worden aangepast of worden verwijderd.
  5. Opslag beperking. Persoonlijke gegevens hoeven alleen te worden bewaard voor het vervullen van het doel. Indien men geen klant meer is bij het bedrijf en de wettelijke bewaartermijnen zijn vervallen, dan dienen de gegevens te worden vernietigd, omdat ze geen doel meer dienen.
  6. Integriteit en betrouwbaarheid. De gegevens moet veilig worden opgeslagen en beschikbaarheid door middel van backups dienen te worden gegarandeerd, beveiliging van de gegevens moet op orde zijn, gebruik afdoende encryptie voor veilig opslaan en gebruik van gegevens.
  7. Rekenschap. Je moet kunnen uitleggen hoe je omgaat met persoonsgegevens om aan te tonen dat je om aan bovenstaande eisen voldoet. Dit doe je door een privacy statement en het in kaart brengen van de processen welke de persoonsgegevens gebruiken en hoe je ermee omgaat.

Hoe helpt Oi1 zijn klanten om aan de AVG (GDPR) te voldoen?

Voor u is OntwikkelingInEenvoud een dataverwerker volgens de AVG (GDPR). Wij zorgen ervoor dat uw gegevens veilig en betrouwbaar worden opgeslagen en verwerkt. Zie onze verklaring en handleiding. Hiermee voldoet u deels aan de eisen van accuraatheid, integriteit, betrouwbaarheid en ondersteunen wij u hiermee.

Indien u werkt met Odoo dan worden in principe al uw persoonsgegevens op 1 plek opgeslagen. Dit vereenvoudigt voor u het beheer van deze gegevens. Met Odoo kunt u toegang tot deze gegevens beperken tot medewerkers welke deze nodig hebben voor de uitoefening van hun werkzaamheden.

Hieronder leggen wij voor u uit op welke wijze u de verschillende aspecten van de AVG(GDPR) binnen Odoo kunt regelen. Graag helpen wij u met praktische toepassingen om met deze op zich goede wet te gaan werken. Het juridisch feestje laten we aan anderen over.

odoo-privacy van gegevens

Het recht om te worden vergeten.

Binnen Odoo kan je geen contactdata verwijderen als deze is gekoppeld aan andere documenten, zoals orders, facturen, etc. Het verwijderen van deze gegevens zullen de integriteit en betrouwbaarheid van de data aantasten. Indien je deze data wilt verwijderen, dien je eerst af te vragen of er andere wettelijke eisen zijn waarom deze gegevens dienen te worden bewaard. Bijvoorbeeld de bewaarplicht van 7 jaar van de belastingdienst. Indien dit belang minder weegt dan het belang om vergeten te worden, kan je de contactgegevens anoniem maken middels een generiek anoniem contact. Dan zijn deze gegevens geen persoonlijke data meer en blijft de structuur van de database gehandhaafd.

Let op: Gegevens van rechtspersonen vallen buiten de persoonsgegevens.

Beperking van verwerking van gegevens

Binnen Odoo kan je per gebruiker of contact aangegeven dat deze geen e-mails/berichten wilt ontvangen. Ook bij het versturen van mails kunnen contacten aangeven geen mailing meer te ontvangen.

Je kunt verschillende rollen aangeven welke een contact vervuld, o.a. klant, prospect of leverancier. De organisatie kan zodanig worden ingericht dat alleen contact gegevens met een specifieke rol worden gebruikt.

Minimalisatie

Indien contacten niet meer actief zijn binnen een bedrijf of er geen zaken meer worden gedaan met bepaalde personen. Kunnen deze gegevens worden gearchiveerd binnen Odoo en zijn deze niet meer rechtstreeks zichtbaar voor de gebruikers. Toegang tot historische gegevens kunnen worden beperkt tot bepaalde medewerkers binnen uw onderneming.

Rectificatie

Binnen Odoo kunnen contacten, klanten en leveranciers zelf hun gegevens inzien als het portaal is geactiveerd. Vanaf Odoo kunnen vlot op verzoek Excel-exporten en/of pdf- overzichten van de contactgegevens worden uitgedraaid en op verzoek worden geleverd.

Deze gegevens kunnen worden ingezien en eventueel op verzoek worden gecorrigeerd.

Toestemming

Indien je werkt met formulieren binnen Odoo dan is het doel vaak wel duidelijk, zoals het inschrijven van bepaalde event. Bij het leveren van goederen of het maken van offertes is de doelstelling van de gegevens vaak ook wel duidelijk.

Indien je de gegevens verder wilt gebruiken, dan is het handig om een extra vinkje toe te voegen met het bericht. Ik ben geïnteresseerd in kortingen en promoties op identieke producten van uw bedrijf. U kunt hiervoor met mij in contact treden. Dan kan je gebaseerd op dit veld verder in contact treden met je prospects of klanten en mailings versturen en aanmaken. De wettelijke grond en het doel is dan grotendeels geborgd.

Privacy bij ontwerp

Door middel van beveiliging kunnen wij toegang op gegevens beperken. Afhankelijk van de verschillende rollen binnen uw bedrijf kunt u hiervoor een toegang tot verschillende groepen beperken. Belangrijk is dat u deze rollen goed beschrijft en deze minimaal toegang geeft tot de persoonsgegevens.

Wij kunnen deze voor u technisch beperken en zodanig inrichten dat deze beperkingen worden ondersteund.

Wachtwoorden

Deze worden encrypted opgeslagen en zijn niet zichtbaar voor ons of uw medewerkers.

Wij kunnen voor u alleen wachtwoorden resetten.

Werknemers gegevens

Er komt de mogelijkheid om bij contacten een adrestype private toe te voegen. Alleen medewerkers met de functie personeelszaken zullen hier toegang tot hebben. Odoo ontwikkelt deze momenteel voor de nieuwe versies. Wij zullen voor u in de gaten houden of dit ook voor uw huidige versie zal worden ingevoerd.

Indien u vragen heeft over een specifieke inrichting binnen Odoo van uw gegevensverwerkende processen, dan kunt u uiteraard altijd contact met ons opnemen. Wij zullen dan samen met u tot een goede eenvoudige oplossing komen. Graag helpen wij u om aan de AVG (GDPR) te voldoen en uiteraard stellen wij er groot belang bij dat de privacy wordt gewaarborgd.

Afhankelijk van de sector waarbinnen u actief bent, zullen er aanvullende eisen worden gesteld. Bijvoorbeeld als u werkt met gegevens over kinderen, zult u bepaalde zaken strenger moeten regelen, dan wanneer u alleen werkt met contactgegevens van klanten.

Dit is een gezamenlijke inspanning en bewustwording.

Let op: Wij streven erna om u zo goed mogelijk te helpen met het garanderen van de privacy. Onze inzichten kunnen hierin veranderen en hierdoor kunnen wij de inhoud van dit document continu aanpassen. Daarnaast is er nog veel onduidelijk op welke wijze de AVG (GDPR) zich in de praktijk zal gaan gedragen.

Ja ik wil meer weten over de AVG en Odoo