Teamleader & GDPR

De General Data Protection Regulation (GDPR) is een Europese wet rond gegevensbescherming en privacy die sinds mei 2018 van kracht is. Ze legt regels op aan bedrijven die met persoonsgegevens omgaan. Bij Teamleader streven we ernaar om zelf zo GDPR-compliant mogelijk te zijn. Tegelijkertijd helpen we onze klanten om aan hun verplichtingen onder de GDPR te voldoen.

Belangrijke begrippen

Als je wil begrijpen hoe we bij Teamleader omgaan met de GDPR, dan is het belangrijk dat je weet wat volgende begrippen betekenen:

Persoonsgegevens

Alle gegevens waarmee je iemand kan identificeren. Dit is een zeer ruim begrip, dat niet alleen beperkt is tot namen, adressen en contactgegevens. Zo kunnen bijvoorbeeld IP-adressen in sommige gevallen als persoonsgegevens worden beschouwd.

Gegevensverwerking

Alles wat je doet met persoonsgegevens: verzamelen, opslaan, beheren, analyseren, raadplegen, delen, verkopen… Noem maar op.

Betrokkene

De persoon wiens persoonsgegevens verwerkt worden. Anders gezegd: de persoon die kan worden geïdentificeerd aan de hand van de data die men over hem/haar/hen heeft.

Verwerkingsverantwoordelijke en gegevensverwerker

De GDPR maakt een duidelijk onderscheid tussen twee rollen:

  1. De ‘verwerkingsverantwoordelijke’: bepaalt welke persoonsgegevens worden verwerkt en voor welke doeleinden die persoonsgegevens worden gebruikt (beslissend);
  2. De ‘gegevensverwerker’: verwerkt bepaalde persoonsgegevens ten behoeve van en in opdracht van de verwerkingsverantwoordelijke (faciliterend).

De verantwoordelijkheden die een partij heeft met betrekking tot persoonsgegevens verschillen naargelang de rol van die partij.

Het is mogelijk dat één en dezelfde partij optreedt als verwerkingsverantwoordelijke in bepaalde gevallen en als gegevensverwerker in andere. Dat is het geval voor ons.

Klant als verantwoordelijke en Teamleader als verwerker

Klant als verantwoordelijke

Wanneer je onze work management software gebruikt, voer je persoonsgegevens (bijv. naam, telefoonnummer, e-mailadres, enz.) van derden in in je account. Dit kunnen klanten, leads, zakenpartners enz. van je bedrijf of organisatie zijn ("contacten"). Kortom, iedereen van wie je persoonsgegevens hebt verzameld voor je eigen doeleinden, bijvoorbeeld om je diensten aan te bieden. Jij bent de verwerkingsverantwoordelijke voor de verwerking van hun persoonsgegevens.

Teamleader als verwerker

Wij maken het beheer van de gegevens van je contacten mogelijk via onze software. Wanneer je hun persoonsgegevens in je account invoert, deel je deze gegevens met ons. Het is onze taak om deze gegevens, waarvoor jij de verwerkingsverantwoordelijke bent, voor jou beschikbaar en veilig te houden. Dat maakt ons hier de gegevensverwerker.

Waar mogelijk bieden we je de nodige hulpmiddelen en ondersteuning om aan je verplichtingen onder de GDPR te voldoen. Ook al doen wij redelijke inspanningen om je te helpen bij de naleving van de GDPR, het blijft jouw uiteindelijke verantwoordelijkheid als verwerkingsverantwoordelijke om je verplichtingen onder de GDPR na te komen.

NL GDPR Image2

De verwerkersovereenkomst

Om de onderlinge GDPR-verantwoordelijkheden tussen ons (als verwerker) en jou (als verantwoordelijke) af te lijnen, sluiten we een verwerkersovereenkomst met je af.

In de verwerkersovereenkomst lijsten we de verschillende technische en organisatorische maatregelen op die we nemen om de veiligheid van je data en de betrouwbaarheid van onze software te waarborgen. De verwerkersovereenkomst omvat ook een duidelijke en welomlijnde procedure in het geval van een datalek.

Daarnaast bevat de verwerkersovereenkomst ook een algemeen overzicht van de persoonsgegevens die we namens jou verwachten te verwerken.

Lees de verwerkersovereenkomst voor meer informatie:

Subverwerkers

Als verwerker schakelen we een beperkt aantal subverwerkers in. Deze partijen kunnen een deel van de persoonsgegevens, waarvoor jij de verwerkingsverantwoordelijke bent, verwerken voor specifieke doeleinden.

We doen beroep op deze vertrouwde subverwerkers voor drie redenen:

  1. om onze softwaretools voor jou te hosten en te zorgen dat ze vlot werken;
  2. om bepaalde ingebouwde functionaliteiten (“standaard integraties”) aan te bieden; en
  3. om klantenondersteuning te bieden.

We hebben al deze subverwerkers met zorg gekozen omwille van hun strikte aanpak op het vlak gegevensbescherming en hun doorgedreven veiligheidsbeleid. We hebben de nodige contractuele afspraken gemaakt met elk van hen om ervoor te zorgen dat ze dezelfde hoge standaarden hanteren als wat in onze verwerkersovereenkomst met jou is vastgelegd.

Zie de volledige lijst van subverwerkers:

Hostinglocatie

Alle klantgegevens worden gehost op servers in de EU:

  • Voor Teamleader Focus: AWS servers in Dublin, Ierland (EU-WEST-1 regio);
  • Voor Teamleader Orbit: Microsoft Azure servers in Amsterdam, Nederland (West- Europese regio).

Merk op dat sommige subverwerkers waar we beroep op doen in de VS gevestigd zijn. Bijgevolg kan data in je account, in zeer beperkte mate en slechts voor zeer specifieke doeleinden, doorgegeven worden buiten de Europese Economische Ruimte (EER). We zorgen er steeds voor dat dit gebeurt conform de vereisten van de GDPR (o.b.v. een toegelaten mechanisme voor doorgifte).

Verwijdering van data

Deze sectie uit de verwerkersovereenkomst verdient bijzondere aandacht.

Zo lang je klant bent bij ons bewaren we de data in je account. Je bent natuurlijk vrij om data in je account te verwijderen, bijv. om je eigen verplichtingen als verwerkingsverantwoordelijke op het vlak van dataminimalisatie en opslagbeperking na te komen.

Wanneer je contract met ons eindigt, heb je de mogelijkheid om een export van je data uit je account te trekken. We verwijderen de persoonsgegevens in je account definitief binnen een korte termijn nadat je contract met ons eindigt:

  • Voor Teamleader Focus: 3 maanden;
  • Voor Teamleader Orbit: 12 maanden.

De reden dat we je data nog tijdelijk bewaren na het einde van je contract is zodat we je account nog kunnen herstellen, indien je dat zou willen. Je kan uiteraard steeds vragen dat we de data eerder verwijderen. Eens de data verwijderd is, kunnen we je account niet langer herstellen noch je een export van je data bezorgen.

Door de persoonsgegevens in je account te verwijderen, gaan we in de praktijk je data anonimiseren. Anders gezegd: we hebben geen enkele manier om je contacten te identificeren aan de hand van de data die we nog hebben liggen. We bewaren de overige data voor onderzoek, training, opleiding, statistische analyse en voor commerciële redenen. Dit staat ook duidelijk vermeld in onze servicevoorwaarden. Anonieme gegevens vallen trouwens niet onder de GDPR en kunnen vrij gebruikt worden.

Teamleader als verwerkingsverantwoordelijke

Wij zijn verwerkingsverantwoordelijke wanneer we beslissen om je persoonsgegevens te verzamelen en te gebruiken voor onze eigen commerciële doeleinden. We doen dit voornamelijk om onze diensten aan te bieden en te verbeteren.

Lees onze Privacyverklaring als je meer informatie wil over waarom we bepaalde persoonsgegevens over je verzamelen, hoe lang we je gegevens bijhouden, welke privacyrechten je hebt, enz.

Als verwerkingsverantwoordelijke schakelen we verschillende dienstverleners in die we de opdracht geven om je persoonsgegevens namens ons te verwerken. Dit doen we voor verschillende redenen, bijv. om je onze nieuwsbrief te sturen of om je feedback te verzamelen. We hebben verwerkersovereenkomsten afgesloten met al deze verwerkers om ervoor te zorgen dat ze dezelfde hoge standaarden hanteren op het vlak van gegevensbescherming als wij.

NL GDPR Image1

Andere inspanningen

Naast alles wat hierboven al vermeld staat, hebben we intern ook strikte policy’s en procedures opgezet om zorgvuldig met persoonsgegevens om te gaan. Bij wijze van voorbeeld: in een beperkt aantal welomschreven gevallen hebben collega’s van onze Development, Support en Customer Success teams toegang tot de data in je account. De toegangsrechten zijn beperkt tot het daartoe bevoegde personeel en zijn gebaseerd op het principe van het minste privilege. Alle acties in je account worden zorgvuldig geregistreerd. Deze audit logs worden regelmatig nagekeken om misbruik te voorkomen.

We organiseren ook regelmatig interne bewustwordingscampagnes om ervoor te zorgen dat gegevensbescherming altijd top-of-mind blijft bij onze collega’s.

De veiligheid van je data waarborgen en de privacywetgeving naleven zijn belangrijke pijlers van onze missie. We blijven energie en middelen investeren om op dit gebied nog beter te doen.

We zijn er om je te helpen

Heb je vragen of feedback over hoe we omgaan met privacy? Neem dan zeker contact op met onze Functionaris Gegevensbescherming (Data Protection Officer of DPO) via dpo@teamleader.eu.