Sinds mei 2016 is de General Data Protection Regulation (GDPR, ook wel bekend als de Algemene Verordening van Gegevensbescherming, of AVG) van kracht. Deze EU-regelgeving is een aanscherping van de bestaande privacywetten en bedrijven. Organisaties hebben tot 25 mei 2018 de tijd om compliant te zijn met de nieuwe wetgeving. Wat betekent dit voor VDX-klanten en webhosting?
In dit blogartikel leest u wat de GDPR inhoudt, welke maatregelen VDX neemt om compliant te zijn en krijgt u tips over wat u zelf kunt doen om te voorkomen dat u in overtreding bent.
Wat is de GDPR?
De GDPR is de nieuwe Europese privacyregelgeving. De wet vervangt de Wet Bescherming Persoonsgegevens (WBP). Deze stamt nog uit 2001, een tijd waarin internet nog geen grote rol speelde in onze samenleving en waarin er veel minder data werden gegenereerd dan nu.
De oude regelgeving gaat in de GDPR behoorlijk op de schop en in een notendop komt het erop neer dat mensen meer controle krijgen over hun persoonlijke gegevens. Daar heeft u als domeineigenaar bij VDX dus baat bij. Ook gelden er voor bedrijven meer regels voor het beschermen van de privacy van degenen over wie ze data verzamelen. Dit betekent dat bedrijven die domeinnamen en hostingpakketten aanbieden, nog zorgvuldiger om moeten gaan met gevoelige gegevens.
De belangrijkste punten uit de GDPR:
- U moet een goede reden hebben om data te verwerken – Om persoonsgegevens te verwerken, moet u daar een goede reden voor hebben. Gegevens die u moet verwerken om de overeenkomst met uw klant uit te voeren, vormen een goede grondslag. Als u bijvoorbeeld een webshop heeft, dan slaat u het adres van uw klant op. Dit heeft u nodig om uw product te kunnen leveren, en dit is dan ook een goede grondslag; u hoeft hiervoor geen expliciete toestemming aan uw klant te vragen. Het opslaan van de geboortedatum van uw klant heeft u wellicht niet nodig om uw product te kunnen leveren; dit gegeven mag u dan niet vragen aan uw klant. Maar het analyseren van de prestaties van uw website, het verzenden van een e-mailnieuwsbrief met nieuwe informatie over een eerder gekocht product is weer wel een goede grondslag.Het verwerken van bijzondere persoonsgegevens, zoals informatie over iemands gezondheid of een vingerafdruk, mag niet, tenzij dit door de wet expliciet is toegestaan. Bijvoorbeeld een medisch specialist die patiëntgegevens opslaat als dat nodig is om een patiënt te helpen.
- Mensen krijgen meer controle over hun gegevens – Mensen hebben het recht om te weten over hoe u met hun persoonsgegevens omgaat. U kunt hiervoor een Privacy Verklaring op websites lezen waarin dit in begrijpelijke (niet-juridische) taal wordt uitgelegt. U kunt ook uitleggen waar mensen terecht kunnen om daar vragen over te stellen, hoe ze hun gegevens kunnen inzien, wijzigen of laten verwijderen.
- Verruimde definitie van persoonlijke data – In de GDPR worden onder persoonlijke data niet alleen gegevens verstaan die direct zijn te herleiden naar een persoon, maar ook gegevens die dat indirect mogelijk maken. Denk bijvoorbeeld aan de combinatie postcode-geboortedatum. In het geval er maar één 80-plusser in een straat woont, kan die informatie worden herleid naar die specifieke persoon.
- U blijft verantwoordelijk voor wat uw leveranciers en partners doen – Onder de GDPR blijft u te allen tijde verantwoordelijk voor de data die u verwerkt, ook als u daarvoor derden inschakelt. U kunt zich in het geval van een datalek dus niet verschuilen achter de partij die uw data opslaat. Bovendien bent u verplicht met uw leveranciers een verwerkingsovereenkomst af te sluiten, waarin u vastlegt wat voor data zij verwerken. U heeft dus goed overzicht nodig over alle leveranciers die u inschakelt om gegevens namens u te verwerken, en u moet daar goede afspraken over maken.
- Gegevens mogen niet overal worden opgeslagen – Persoonsgegevens mogen volgens de GDPR in principe alleen worden opgeslagen in EU-landen en een aantal door de EU als veilig aangemerkte landen. Goed om daarbij te weten, is dat bij de veilige landen in sommige gevallen aanvullende eisen gelden. De Verenigde Staten staan op deze lijst; echter geldt hierbij een aanvullende voorwaarde dat providers uit de VS moeten voldoen aan de eisen van het Privacy Shield. Als u dus een Amerikaanse cloud provider inschakelt om gegevens op te slaan, en deze provider voldoet niet aan Privacy Shield, dan is dit wettelijk niet toegestaan.
Wat kunt u doen om GDPR-compliant te zijn?
- Leg een intern privacyregister aan – Breng intern in kaart welke persoonsgegevens er in uw organisatie en bij derde partijen worden bewerkt. Niet alleen is het verplicht een dergelijk overzicht met meta-informatie (“Privacy Register”) op te stellen, het helpt u ook te bepalen of u wel een gegronde reden heeft om bepaalde informatie te verzamelen. Wees extra alert op bijzondere gegevens!
- Weet waar uw data staan opgeslagen – Zoals gezegd kunt u er bij VDX op vertrouwen dat uw data binnen de EU worden opgeslagen. Maar geldt dat ook voor uw andere leveranciers? Weet u bijvoorbeeld waar precies de data in uw e-mailmarketingsoftware worden opgeslagen? En welke data bepaalde plugins in uw WordPress-site verwerken en waar ze die opslaan? Gebruikt u WeTransfer, Dropbox of soortgelijke tools om lijsten van e-mailadressen met een leverancier uit te wisselen?
- Kies uw datapartners zorgvuldig – Behalve de locatie waar ze data opslaan, zijn er nog een aantal zaken om op te letten bij uw datapartners. Hoe veilig slaan zij data op? Stel verwerkingsovereenkomsten met deze partners op, waarin u vastlegt wat voor soort persoonsgegevens zij verwerken en dat ze erop toezien dat dit op een veilige manier gebeurt.
- Bepaal of u een functionaris persoonsgegevens nodig heeft – In de GDPR is de verplichting opgenomen dat bedrijven in specifieke gevallen een functionaris persoonsgegevens (FG) moeten aanstellen. Over het algemeen geldt dit bij overheden en bedrijven die op grote schaal profiling uitvoeren, maar het kan sowieso geen kwaad om uit te zoeken of dit ook het geval is voor uw bedrijf. Ook als u niet onder deze verplichting valt, kunt u ervoor kiezen om een FG aan te stellen. U laat daarmee zien dat u privacy serieus neemt.
Het belang van GDPR-compliancy
Zoals gezegd kan het niet naleven van de GDPR u straks op hoge boetes komen te staan, maar dat zou niet de belangrijkste reden moeten zijn om compliant te zijn. De GDPR is namelijk niets meer dan een update van verouderde privacywetgeving naar de maatstaven van de 21e eeuw. Elk bedrijf dat belang hecht aan de privacy van zijn klanten zou deze nieuwe wetgeving alleen daarom al moeten verwelkomen.
Wat doet VDX om compliant te zijn?
Als VDX zijn wij verwerker van data en het is onze verantwoordelijkheid om daar zorgvuldig mee om te gaan, iets wat we ook in het verleden altijd al hebben gedaan. Wij beschikken over verschillende beveiligingscertificeringen, waaronder ISO 27001 en NEN7510.
Wij zijn momenteel druk bezig om ons voor te bereiden op de GDPR. We hebben ons privacyregister aangelegd en sluiten verwerkersovereenkomsten met onze leveranciers af.
Klanten van VDX hebben de garantie dat hun data in Nederland worden opgeslagen, tenzij zij dat zelf anders aangeven. Zo bent u er dus zeker van dat uw data binnen de EU-grenzen staan opgeslagen en aan de locatie-eisen van de GDPR voldoen.