1. Wat is AVG en hoe worden bedrijven erdoor beïnvloed?
De Algemene Verordening Gegevensbescherming (of AVG) is nieuwe regelgeving van de Europese Unie (EU) die gaat om de bescherming en vrije overdracht van persoonsgegevens en de rechten van individuen, waaronder kinderen. Het is een reeks regels die de bestaande Databeschermingsrichtlijn (Richtlijn 95/46/EC) vervangt en die in heel de Europese Unie van kracht is. Met de AVG krijgen inwoners van de EU de controle over hoe hun gegevens mogen worden verwerkt en wordt de privacy van hun gegevens gewaarborgd.
2. Op wie is de AVG van toepassing?
De AVG is van toepassing op bedrijven in de EU, plus bedrijven die zakendoen met inwoners van de EU, ongeacht de locatie van het bedrijf.
3. Op welk soort gegevens is de AVG van toepassing?
De AVG is uitsluitend van toepassing op persoonsgegevens. Persoonsgegevens worden gedefinieerd als 'informatie die is gerelateerd aan een geïdentificeerde of identificeerbare persoon, of een betrokkene'. Hieronder vallen de naam, het e-mailadres, de locatie en overige online identificaties van het gegevensonderwerp (de klant), zoals IP-adres, socialemediaprofiel en soorten websitecookies.
4. Is AVG-naleving van toepassing op alle modules in Zoho CRM?
Naleving van de AVG is alleen van toepassing op de persoonsgerelateerde modules binnen het bedrijf. In Zoho CRM is de AVG van toepassing op leads, contactpersonen, leveranciers en aangepaste modules.
5. Wie zijn de belangrijkste belanghebbenden van de AVG?
  • Betrokkene - Alle personen waarvan u persoonsgegevens verzamelt of verwerkt.
  • Gegevenscontroller - Degene die het doel en de methoden voor het verwerken van de gegevens bepaalt.
  • Gezamenlijke controllers - Twee of meer controllers die samen de doelen en methoden van gegevensverwerking bepalen.
  • Gegevensverwerker - Degene of het bedrijf die gegevens verwerkt uit naam van de controller.
  • Subverwerkers van gegevens - Een derde partij (persoon of bedrijf) die gegevens verwerkt voor andere bedrijven en aansprakelijk is voor de verwerking van gegevens.
  • Toezichthoudende autoriteiten - Overheidsinstanties die toezicht houden op de toepassing van de AVG.
6. Wat zijn de juridische grondslagen die de gegevenscontroller kan gebruiken om klantgegevens te verwerken?
De gegevenscontroller kan uit zes grondslagen voor gegevensverwerking kiezen. Dit zijn:
  • 1. Contractueel - Dit geldt wanneer u de persoonsgegevens van de klant moet verwerken om te voldoen aan uw contractuele verplichtingen of om enige actie te ondernemen op basis van het verzoek van de klant (bijvoorbeeld een offerte of factuur).
  • 2. Wettelijke verplichting - Dit geldt wanneer u zich dient te houden aan een verplichting op grond van toepasselijke wetgeving (bijvoorbeeld het verstrekken van informatie in antwoord op geldige verzoeken, zoals een onderzoek door een autoriteit).
  • 3. Vitale belangen - Dit geldt voor dringende kwesties van leven en dood, vooral met betrekking tot gezondheidsgegevens.
  • 4. Openbare taak - Dit geldt voor activiteiten van overheidsinstanties.
  • 5. Legitieme belangen - Legitieme belangen kunnen commerciële belangen zijn, zoals direct marketing, maar ook individuele belangen of bredere maatschappelijke voordelen omvatten. De controller moet de legitieme belangen vastleggen en bewaren in de vorm van een Evaluatie van Legitieme Belangen (ELB).
  • 6. Toestemming - Toestemming is tevens een wettelijke grondslag voor het verwerken van gegevens. Toestemming van de betrokkene betekent 'vrijelijk gegeven, specifieke, geïnformeerde, en een ondubbelzinnige aanduiding van de wensen van de betrokkene die door een verklaring of door een duidelijk bevestigend handelen toestemming geeft voor de verwerking van persoonsgegevens met betrekking tot hem of haar.'
7. Wat is ELB?
ELB staat voor Evaluatie van Legitieme Belangen. Het specificeert het doel waarvoor een organisatie de persoonsgegevens van een klant wil verwerken. De organisatie moet met een ELB kunnen aantonen dat de verwerking noodzakelijk is.
  • Er wordt geëvalueerd of er een legitiem belang bestaat.
  • De noodzaak voor de verwerking moet worden vastgelegd.
  • De uitvoering van de afwegingstoets.
8. Wie/wat is een functionaris voor de gegevensbescherming?
Een functionaris voor de gegevensbescherming helpt u bij de controle van interne naleving, informeert en adviseert u over uw gegevensbeschermingsverplichtingen, levert advies over effectbeoordelingen op het gebied van gegevensbescherming, en functioneert als een contactpersoon tussen betrokkenen en de toezichthoudende autoriteit.
Een functionaris voor de gegevensbescherming is ook de contactpersoon tussen het bedrijf en eventuele toezichthoudende instanties, die toezicht houden op de activiteiten met betrekking tot de gegevensverwerking. We raden elk bedrijf aan om een functionaris voor gegevensbescherming aan te stellen.
9. Hoe kan de AVG worden ingeschakeld voor bestaande klanten?
U kunt de AVG voor bestaande klanten inschakelen door op Instellen > Gebruikers en controle > Nalevingsinstellingen te klikken, de nalevingsinstellingen in te schakelen en de modules te selecteren waarop naleving van toepassing is.
10. Wat gebeurt er met mijn bestaande gegevens in Zoho CRM wanneer de AVG van kracht wordt?
Nadat de AVG na 25 mei van kracht is, moeten alle bestaande records in uw Zoho CRM-account worden gemarkeerd volgens de desbetreffende wettelijke basis voor gegevensverwerking. U kunt dit doen via:
  • De pagina Overview
  • Lijstweergave van de desbetreffende module
  • Afzonderlijke records
11. Hoe helpt Zoho CRM u bij de naleving van de AVG?
Dit zijn de manieren waarop Zoho CRM u helpt met de naleving van de AVG.

Gegevensbrontracering - Zoho CRM neemt de bron van de gegevens (directe bronnen zoals webformulieren en indirecte bronnen zoals de gebruikersinterface, imports, API's en overige integraties van derde partijen), plus aanvullende details, indien van toepassing (bijvoorbeeld URL, IP-adres) op in de detailpagina van de record. Deze gegevens worden op aanvraag met de klant gedeeld.

Persoonlijke velden markeren - Gebruikers kunnen velden met persoonsgegevens markeren, evenals de vertrouwelijke velden.

Rechten van betrokkenen - Uw klanten hebben ook het recht om toegang tot hun gegevens te vragen, of om de gegevens te rectificeren, verwijderen, exporteren en de verwerking ervan te beperken. Als gegevenscontroller moet u deze acties uitvoeren.
12. Welke rechten hebben betrokkenen in Zoho CRM volgens de AVG?
In Zoho CRM hebben de betrokkenen vijf van de acht fundamentele rechten volgens de AVG:
  • Het recht op toegang - Klanten hebben het recht om precies te weten welke gegevens over hen worden bewaard en hoe deze worden verwerkt. (AVG-artikel 15)
  • Het recht op rectificatie - Individuen/klanten hebben recht op rectificatie van hun persoonsgegevens als deze onjuist of niet volledig zijn. (Artikel 16)
  • Het recht op portabiliteit - U kunt klantspecifieke informatie exporteren, toevoegen aan een e-mail en naar klanten sturen in een door een machine leesbare indeling (CSV) zonder dat u deze naar uw apparaat hoeft te downloaden (artikel 20).
  • Het recht op beperking van verwerking - Individuen hebben het recht om de doelen waarvoor de controller hun gegevens kan verwerken te beperken. (Artikel 18)
  • Het recht om gegevens te wissen - Ook wel 'het recht om te worden vergeten' genoemd. Individuen hebben het recht om hun persoonsgegevens te laten verwijderen of wissen wanneer zij dat willen. (Artikel 17).
13. Wat zijn de verschillende manieren waarop men toestemming van de klant kan krijgen?
U kunt toestemming krijgen van de klant via e-mail (geïntegreerde e-mail of een toestemmingsformulier als bijlage bij de e-mail), via portals of mondeling via een telefoongesprek.
14. Wat gebeurt er als bedrijven zich niet houden aan de AVG?
Bedrijven kunnen een boete krijgen van maximaal 4% van hun jaaromzet, of 20 miljoen euro (het hoogste bedrag), voor de meest ernstige gegevenslekken of overtredingen, waaronder het niet beschikken over de vereiste toestemming van klanten om gegevens te verwerken of overtreding van de kernprincipes van de privacywetgeving.
Ze kunnen een boete krijgen van 2% van hun jaaromzet, of 10 miljoen euro (het hoogste bedrag) voor het niet op orde hebben van dossiers, het niet melden van een schending aan de toezichthoudende autoriteit, of voor het niet correct uitvoeren van een ELB.
15. Mijn bedrijf is niet gevestigd in de EU. Ik heb ook geen klanten uit de EU. Moet ik mij toch aan de AVG houden?
De AVG is niet verplicht als u geen bedrijf hebt in de EU en ook geen zaken doet met inwoners van de EU. Maar als u de klantgegevens beter wilt beschermen en de privacy van klanten wilt waarborgen, raden we u aan om de AVG na te leven. U kunt deze optie inschakelen door op Instellen > Gebruikers en controle > Nalevingsinstellingen te klikken en de optie aan te zetten.
16. Is versleuteling van gegevens verplicht volgens de AVG?
Nee, volgens de AVG hoeven klantgegevens niet te worden versleuteld. U kunt met Zoho CRM echter wel handmatig velden versleutelen op de pagina met eigenschappen van het veld.
17. Kan ik het versleutelde veld in een webformulier gebruiken?
Ja, u kunt een versleuteld veld in het webformulier gebruiken.
18. Ik heb de naleving uitgeschakeld. Welke invloed heeft dit op de bestaande grondslag voor gegevensverwerking van mijn records?
Als u naar de pagina met nalevingsinstellingen gaat en naleving uitschakelt, worden de verwerkingshandelingen die u eerder met de gegevens van de betrokkene hebt uitgevoerd, geannuleerd en worden de gegevens zonder grondslag verwerkt.
19. Kunnen klanten hun gegevens verwijderen of wissen uit Zoho CRM?
Klanten kunnen het recht op wissen (ook wel het recht om te worden vergeten) (artikel 17) gebruiken om te vragen om verwijdering uit CRM van hun persoonsgegevens. Als gegevenscontroller moet u de gegevens verwijderen als klanten daarom vragen, tenzij u zwaarder wegende wettelijke verplichtingen hebt om de gegevens te behouden (raadpleeg artikel 17 van de AVG van de EU).
20. Hoe kan de gegevenscontroller de diverse gegevensverwerkende activiteiten binnen Zoho CRM bijhouden?
De gegevenscontroller kan naar de bestaande tijdlijnweergave in Zoho CRM gaan en de updates en wijzigingen aan de gegevensverwerkende activiteiten van individuele records volgen.
21. Is dubbele aanmelding verplicht voor gegevensverwerking?
Nee, dubbele aanmelding is niet verplicht voor gegevensverwerking. Dubbele aanmelding wordt wel aanbevolen om ervoor te zorgen dat klanten oprecht zijn geïnteresseerd in het product. Bij dubbele aanmelding ontvangen klanten een extra e-mail om hun identiteit te bevestigen nadat ze zijn geregistreerd via webformulieren.
22. Wat gebeurt er met de gegevens als de klant niet binnen een bepaalde periode reageert op een toestemmingsmail?
Als de klant niet reageert op een toestemmingsmail, kunnen de gegevenscontrollers bepalen hoe lang ze op antwoord willen blijven wachten. Zodra deze periode voorbij is, wordt de status van de records 'Geen reactie' en worden de gegevens niet verwerkt.
23. Hoe kan de gegevenscontroller velden classificeren in Zoho CRM?
De gegevenscontroller heeft de mogelijkheid om de velden van de gebruiker te markeren als persoonlijk en vertrouwelijk in Zoho CRM. De controller kan ook bepalen om deze velden te beperken voor activiteiten zoals exports, API's en andere gerelateerde services van Zoho CRM. (Books, Finance, Campaigns, etc.)
24. Kan ik leads en contactpersonen filteren op de grondslag voor gegevensverwerking?
Ja, u kunt leads en contractpersonen filteren op de grondslag voor gegevensverwerking.
25. Kunnen betrokkenen hun eigen gegevens bewerken of verwijderen voordat ze toestemming geven aan gegevenscontrollers?
Ja, betrokkenen kunnen hun persoonsgegevens bewerken en bijwerken op basis van het recht op rectificatie (artikel 16) en het recht op wissen (artikel 17).
26. Wie heeft toegang tot de nalevingsinstellingen in Zoho CRM?
Personen met het beheerdersprofiel hebben toegang tot de nalevingsinstellingen in Zoho CRM.
27. Hoe vaak kan ik de wettelijke basis van het verwerken van gegevens bekijken?
Als gegevenscontroller dient u de wettelijke basis waarop u gegevens verwerkt regelmatig te bekijken. De reden hiervoor is dat de wettelijke basis waarop u aanvankelijk persoonsgegevens verwerkte en het doel van gegevensverzameling in de loop van de tijd kunnen veranderen.
28. Mijn gegevens bevinden zich momenteel in het Amerikaanse datacenter. Hoe kan ik deze gegevens migreren naar het Europese datacenter ten behoeve van naleving van de AVG?
Het is volgens de AVG niet verplicht om gegevens binnen de grenzen van de EU te houden. De AVG biedt juist uitstekende overdrachtsmechanismen voor vrij gegevensverkeer van en naar landen buiten de EU.

Het betreft hier onder andere overdrachtsmechanismen als de bindende bedrijfsvoorschriften (artikel 47), het privacyschild en de modelcontractbepalingen. Dus als er gegevens van u aanwezig zijn in de VS (zoho.com) en u hebt het Addendum Gegevensverwerking getekend, dan zijn uw gegevens veilig.

Het Addendum Gegevensverwerking, dat refereert aan de modelcontractbepalingen van de EU, helpt bij de overdracht van gegevens vanuit landen buiten de EU. Als u ons uw bijgewerkte Addendum Gegevensverwerking wilt sturen, kunt u een e-mail sturen naar gdpr-compliance@zohocorp.com. Geef hierin duidelijk aan of u bent geregistreerd via zoho.com of via zoho.eu

Als u uw gegevens echt wilt overzetten naar het datacenter in de EU, kunt u een e-mail sturen naar security@zohocorp.com. Vermeld hierin alle services waarvan u gebruikmaakt. De e-mail wordt doorgestuurd naar de desbetreffende productteams.
29. Waar vind ik meer informatie over de AVG?
Voor meer informatie over de AVG, kunt u de volgende links raadplegen Opmerking: Zoho Corporation is niet verantwoordelijk voor de inhoud van deze pagina's en onderschrijft deze links niet.
30. Kan ik mijn gegevens als persoonlijk markeren?
Ja, u kunt uw gegevens als persoonlijk markeren. Als u dat doet, kunt u bovendien aangeven welke velden u wilt markeren als normaal en welke velden als vertrouwelijk.
31. Hoeveel velden kan ik markeren als persoonlijk?
U kunt per module maximaal 30 velden markeren als persoonlijk.
32. Welke velden kan ik markeren als persoonlijk?
Alle velden, met uitzondering van zoek- of formulevelden, of velden met automatische nummering, kunnen worden gemarkeerd als persoonlijk.
33. Hoe kan ik mijn gegevens als persoonlijk markeren?
Zo markeert u uw gegevens als persoonlijk:
  • Ga naar Instellen > Aanpassen > Modules en velden
  • Plaats de muisaanwijzer op de module met de persoonsgegevens van de betrokkene.
  • Klik op Persoonsvelden beheren in de vervolgkeuzelijst.
  • Klik in de sectie Persoonlijke velden beheren op Persoonlijke velden markeren.
  • Selecteer het gegevenstype als Normaal of Vertrouwelijk.
  • Klik op Gereed.
34. Wat zijn de gevolgen voor de gegevensverwerking zodra ik mijn gegevens als persoonlijk heb gemarkeerd?
Wanneer u uw gegevens als persoonlijk markeert, worden de gegevens beperkt voor activiteiten als exports, API's en overige gerelateerde services van Zoho CRM (Books, Finance, Campaigns, etc.).
35. Kunnen de velden in de subformulieren ook worden gemarkeerd als persoonlijk?
Ja, u kunt de velden in subformulieren die worden gebruikt voor de verwerking ook markeren als persoonlijk.
36. Hoe activeer ik dubbele aanmelding voor mijn webformulier?
Zo activeert u dubbele aanmelding:
  • Ga naar Instellen > Ontwikkelaarsruimte > Webformulieren > Webformulier maken.
  • Sleep de velden die u in uw webformulier wilt gebruiken.
  • Klik op Volgende stap. Voer op de pagina Formulierdetails de desbetreffende formuliergegevens in.
  • Klik in de sectie Persoonlijke velden beheren op Persoonlijke velden markeren.
  • Selecteer de schuif Dubbele aanmelding activeren en sla de wijzigingen op.
37. Kan ik de verwerking van persoonsgegevens buiten Zoho CRM beperken?
Ja, u kunt de verwerking van persoonsgegevens van betrokkenen buiten Zoho CRM beperken. Zodra u de gegevens hebt gemarkeerd als normaal en vertrouwelijk, kunt u
  • de gegevensoverdracht naar Zoho Apps/Integrations beperken
  • gegevenstoegang via API beperken
  • gegevens in exportbewerkingen beperken
  • gegevenstoegang via apps van derden beperken
38. Hoe kan ik het delen van persoonsgegevens beperken?
Zo beperkt u het delen van persoonsgegevens:
  • Klik op Instellen > Gebruikers en controle > Nalevingsinstellingen.
  • Klik op het tabblad Voorkeuren.
  • Geef bij Verwerking persoonsgegevens aan of u de gegevensoverdracht wilt beperken (Zoho Apps, apps van derden, API's, exports)
39. Waar kan ik de grondslag voor gegevensverwerking bijwerken?
U kunt de grondslag voor gegevensverwerking voor klanten bijwerken op de pagina met recorddetails. Klik op het tabblad Gegevensprivacy en selecteer of bewerk de grondslag voor gegevensverwerking. U kunt ook records selecteren via de lijstweergave van een module en van daaruit de grondslag voor gegevensverwerking bijwerken. De derde manier waarop u dit kunt doen, is via het toestemmingsoverzicht op het dashboard. Ga naar Instellen > Nalevingsinstellingen, klik op het tabblad Overzicht, selecteer de records en werk de grondslag voor gegevensverwerking bij.
40. Wat is de wachtperiode?
Dat is de tijd die u wilt wachten tot uw toestemmingsmail wordt beantwoord. Het bedrijf kan deze wachtperiode instellen. Zodra deze periode is verstreken, worden alle verwerkingsactiviteiten met betrekking tot de record stopgezet.
41. Kan ik een record die eerder op de blokkeerlijst stond weer aan CRM toevoegen?
Ja, een record die eerder op de blokkeerlijst heeft gestaan, kan weer als een nieuwe record aan CRM worden toegevoegd. Voordat u de record toevoegt, ontvangt u een melding dat deze eerder op de blokkeerlijst heeft gestaan.
42. Kan de betrokkene portals gebruiken om zijn/haar toestemming bij te werken?
Ja, u kunt toestemming krijgen van de klant via portals.
43. Kunnen betrokkenen meer rechten krijgen via portals?
Ja, u kunt de rechten van betrokkenen verhogen via portals.