Zoho kent haar verantwoordelijkheden als het gaat om GDPR
De Europese Unie heeft een monumentale stap gezet in het beschermen van de fundamentele rechten van de Europese burger op privacy met de introductie van de General Data Protection Regulation (GDPR) die is ingegaan op May 25, 2018. Simpel gezegd, EU burgers hebben nu meer te zeggen over wat, hoe, waarom en waar hun persoonlijke gegevens worden gebruikt, verwerkt en vernietigd. De nieuwe regelgeving maakt duidelijk dat de EU personal data wetten ook van toepassing zijn buiten de EU. Iedere organisatie die werkt met persoonlijke gegevens van EU burgers op enigerlei manier, onafhankelijk van locatie, kent de plicht de data te beschermen. Zoho is zich bewust van haar rol en wil de juiste tools en processen beschikbaar stellen om gebruikers en klanten te helpen aan eisen van de nieuwe regelgeving tegemoet te komen.
Zoho Corporation heeft altijd recht gedaan aan de bescherming van persoonsgegevens en gebruikersdata. Zo kende Zoho nooit advertenties als bron van inkomsten en heeft zij nooit advertenties aan gebruikers aangeboden. Ook in de toekomst zal Zoho dit niet doen, ook niet aan klanten die de gratis edities van Zoho producten gebruiken. Dit betekent dat Zoho geen noodzaak heeft persoonlijke data van gebruikers te verzamelen en te processen, anders dan ten behoeve van het functioneren van Zoho producten.
Gedurende lange tijd heeft Zoho haar commitment aan data privacy en bescherming al laten zien door te voldoen aan de industrie standaarden voor ISO 27001 en SOC 2 Type 2. Zoho kende al krachtige Data Processing Agreements en heeft die gewijzigd in het kader van de GDPR invoering. Daarnaast participeert Zoho Corporation in en is compliant met het EU-U.S. Privacy Shield Framework voor de transfer van gegevens naar de US. Zoho erkent dat GDPR gaat helpen in het boeken van vooruitgang in de richting van de hoogste standaarden van operaties voor het beschermen van klantendata. Hoe heeft Zoho zich voorbereid op invoering van de GDPR?
- Het identificeren van persoonsgegevens - elk van de 130 applicaties heeft een verschillend niveau van persoonlijke data, gebruik, opslag en vernietiging
- Het voorzien in zichtbaarheid en transparantie - Het belangrijkste aspect van GDPR is hoe de verzamelde gegevens worden gebruikt. Als data processor, is het Zoho's rol om haar klanten (de data controllers) te voorzien van toegang zodat zij effectief hun gebruikersdata kunnen managen en beschermen. Zoho is de wegen aan het verkennen om optimale product verbeteringen aan te brengen zonder de performance te compromitteren en er toch een verbeterde transparantie voor haar klanten ontstaat
- Het verhogen van data integriteit en veiligheid - Data privacy en data security zijn twee kanten van dezelfde medaille. Omdat klanten hun maatregelen voor data veiligheid verscherpen, is Zoho de processen voor cloud applicaties aan het stroomlijnen dor IT richtlijnen te implementeren die in end-end security voorzien.
- Draagbaarheid en overdraagbaarheid van data - GDPR geeft eindgebruikers het recht om ofwel alle data die zij beschikbaar hebben gesteld en die zijn geprocessed door de controller over te brengen naar een andere controller afhankelijk van de technische haalbaarheid. Met dit nieuwe echt in het achterhoofd, is Zoho nu aan het werk om de data export functionaliteit te verbeteren om het mogelijk te maken dat exports op individueel niveau plaatsvinden.
Zoho stelt zich ten doel GDPR compliance voor haar klanten zo simpel mogelijk te maken
Zoho begrijpt dat het tegemoet komen aan de eisen van de GDPR veel inspanning vergt. En als partner van de klant wil Zoho je helpen om naadloos aan te sluiten bij jouw proces, zodat je je niet druk hoeft te maken over compliance en je je kan focussen op het runnen van je business. Een aantal Zoho product verbeteringen gaan het dus echt makkelijker voor je maken:
- Voorzien in access controls
- Encrypten, anonimiseren of deleten van gebruikers data
- Het uitvoeren van data audits of assessments gebruik makend van data processing logs
- Het treffen van voorzieningen voor rechten van data subjects
- Het verbeteren van security van gebruikersdata
- Stel een data privacy team in om de GDPR consequenties te overzien en het GDPR bewustzijn te vergroten
- Review de huidige security en privacy processes en herzie contracten met derden en klanten om tegemoet te komen aan de eisen van GDPR
- Identificeer de the Personally Identifiable Information (PII)/Personal data die men verzamelt
- Analyseer hoe de informatie wordt geprocessed, opgeslagen, behouden en vernietigd
- Stel vast met welke derde partijen informatie wordt uitgewisseld
- Stel procedures vast om te reageren op verzoeken van data subjects als zij hun rechten uitoefenen
- Stel een Privacy Impact Assessment (PIA) vast en voer deze uit
- Creëer processes voor data breach notificatie activiteiten
- Aanhoudend bewustzijn bij medewerkers is cruciaal om voortdurend aan de GDPR eisen te voldoen