Hoe zit het met GDPR?

Geplaatst 18 mei 2018 door OPP

De nieuwe Europese wet voor betere gegevensbescherming (GDPR) treedt op 25 mei 2018 in werking. U vraagt zich misschien af in hoeverre dit van invloed is op uw werk met OPP. Betsy Kendall, onze collega die verantwoordelijk is voor gegevensbescherming, beantwoordt hieronder de belangrijkste vragen.

Ik ben een gekwalificeerde practitioner. Hoe zorgt OPP ervoor dat mijn klanten en collega's worden beschermd door de GDPR?

We hebben verwerkersovereenkomsten of Data Processing Agreements (DPA's) toegevoegd aan onze Algemene Voorwaarden. Hierin leggen we onze verantwoordelijkheden (als dataverwerkers) naar onze klanten (als dataverantwoordelijken) vast en bevestigen we dat we voldoen aan de Algemene Verordening Gegevensbescherming (AVG) of in het Engels de General Data Protection Regulation (GDPR). De DPA en/of voorwaarden bevatten ook informatie over onze organisatorische en technische maatregelen, overdrachten aan derden en ex-Europese Economische Ruimte (EER) overdrachten. Als u graag een DPA van ons wilt ontvangen, stuurt u dan een e-mail in het Engels naar dpo@opp.com en we zorgen ervoor dat er een naar u wordt gemaild. Anders zijn de voorwaarden van toepassing via onze standaard algemene voorwaarden.

OPP genereert rapporten die veel persoonlijke informatie bevatten. Wat doet u daar mee?

De gegevens die het OPPassessment-systeem verzamelt over respondenten bevatten hun naam, e-mailadres en hun antwoorden op vragen/items. Deze gegevens worden verwerkt om vragenlijstuitkomsten te genereren die worden gepresenteerd in rapporten. De rapporten worden aan u als practitioner beschikbaar gesteld en u deelt de uitkomsten met de respondenten tijdens het feedbackgesprek. De rapporten kunnen na het feedbackgesprek overhandigd worden aan de respondenten. OPP gebruikt dergelijke persoonlijk identificeerbare respondentgegevens alleen voor dit doel. Dit wordt duidelijk gemaakt aan respondenten voordat zij een vragenlijst invullen door middel van een privacykennisgeving, die ook verwijst naar ons privacybeleid.

Nadat u een rapport heeft gegenereerd bewaart OPP de gegevens van een respondent nog gedurende 18 maanden. Hierna worden de gegevens volledig geanonimiseerd. Dit is ons beleid al vele jaren en het weerspiegelt de algemene "houdbaarheid" van psychometrische gegevens. Eenmaal geanonimiseerd bevat de informatie niet langer persoonlijk identificeerbare gegevens en valt als zodanig buiten het bereik van de GDPR. Als u de respondentgegevens langer dan 18 maanden moet bewaren, dient u de rapporten te downloaden en op te slaan in uw eigen beveiligde bestanden.

OPP gebruikt geanonimiseerde respondentgegevens voor onderzoeksdoeleinden, bijvoorbeeld om de betrouwbaarheid en validiteit van haar instrumenten te controleren. Als onderdeel van de vragenlijst worden respondenten uitgenodigd om een aantal optionele biografische vragen te beantwoorden zoals leeftijd, werkstatus en niveau in hun organisatie. Met deze gegevens kunnen verdere analyses/onderzoeken worden uitgevoerd. Als onderdeel van de optionele biografische vragen, wordt ook naar de etniciteit van de respondent gevraagd. Etniciteit is een speciale categorie en GDPR vereist dat we uitdrukkelijke toestemming krijgen voor het verzamelen en verwerken van deze gegevens, wat we ook doen. Het is niet van invloed op respondenten die ervoor kiezen om deze vraag of de andere biografische vragen niet in te vullen, en dit wordt hen duidelijk gemaakt in de privacykennisgeving die voorafgaand aan de vragenlijst wordt gepresenteerd.

OPP verzendt gegevens van respondenten naar het moederbedrijf (CPP, Inc.) voor het scoren en het genereren van rapporten. CPP bevindt zich in de Verenigde Staten. Om te voldoen aan GDPR hebben OPP en CPP standaard contractuele bepalingen (modelcontract) ondertekend om persoonsgegevens te beschermen. CPP is ook gecertificeerd onder het VS / EU Privacy Shield-certificeringsprogramma.

Waar kan ik uw privacybeleid vinden?

Ons aangepaste privacybeleid (in het Engels) vindt u hier.

Om te voldoen aan de nieuwe Europese regels voor gegevensbescherming hebben we ons privacybeleid bijgewerkt. Op basis van uw communicatievoorkeuren ontvangt u nog een e-mail hierover. Hierin staat ook hoe u uw e-mailvoorkeuren kan inzien of wijzigen..

Ik ben een practitioner, wat zijn mijn verantwoordelijkheden onder de GDPR?

Als een gegevensverantwoordelijke/verwerker zelf (of u nu zelfstandig of in dienst bij een organisatie bent), moet u ervoor zorgen dat u voldoet aan de GDPR. U dient uw eigen gegevensbeschermingsbeleid en -procedures te hebben en moet ook uw eigen beleid voor gegevensbewaring instellen en/of zich houden aan de bewaartermijnen die zijn ingesteld door de klantorganisaties waarmee u werkt of door de organisatie waarvoor u werkt.

Als practitioner moet u ervoor zorgen dat u voldoende kennis hebt van de GDPR om ervoor te zorgen dat uw gebruik van onze instrumenten voldoet aan de nieuwe wet.

Hoe helpt u practitioners om ervoor te zorgen dat ze voldoen aan de GDPR?

Als gegevensverwerker zal OPP practitioners (die vaak de gegevensverantwoordelijken zijn) helpen om de legitieme verzoeken van hun klanten m.b.t. GDPR te beantwoorden. We kunnen bijvoorbeeld gegevens verwijderen (recht op verwijdering/vergetelheid) en we kunnen toegang bieden tot de respondentgegevens (recht op inzage).

Als u meer wilt weten over OPP en GDPR, kunt u deelnemen aan ons webinar (in het Engels) op 24 mei om 14.15.

OPP neemt gegevensbescherming en privacyzaken serieus. Raadpleeg onze GDPR-verklaring voor meer informatie.

Geplaatst in

Tags: