Waar moet je bij de nieuwe privacywet op gaan letten?

Het zal niemand ontgaan zijn. Op 25 mei dit jaar wordt de WBP vervangen door de nieuwe privacywet AVG. Onze privacy wordt vanaf dat moment door Europese richtlijnen bewaakt. Maar, hoe zit dat nu precies? Waar moeten we (extra) op gaan letten?

WBP? AVG? GDPR?

Veel termen worden in het rond geslingerd. Niet alles is nieuw en het meeste is ook gemakkelijk te herleiden.

De WBP (Wet Bescherming Persoonsgegevens) is de voorloper van de AVG (Algemene Verordening Gegevensbescherming). De WBP kwam voort vanuit ons kikkerlandje, de AVG is een Europese verordening.

En omdat het Europees is, moet er ook een Engelse naam aan gegeven worden: GDPR (General Data Protection Regulation).

Wat verandert er?

De AVG is een stuk strenger dan de WBP en vereist dan ook meer aandacht. In essentie is het gelukkig vrijwel op alle facetten een ‘dit is niet meer dan logische’-verordening, waarbij er enkel op papier komt te staan hoe men omgaat met ontvangen persoonsgegevens.

Flexwebhosting zelf voldoet volledig aan de reeds bestaande en nieuwe eisen die gesteld worden aan hostingproviders en dataverwerkers. Wij hebben bijvoorbeeld ook dergelijke afspraken met onze datacentra die zelf volledig gecertificeerd zijn en dus voldoen aan bepaalde eisen. Verder werken we alleen samen met leveranciers die ook kunnen aantonen dat ze hun privacybescherming op orde hebben.

U verwerkt op uw hostingproducten misschien ook gegevens van uw klanten en/of bezoekers. Afhankelijk van deze gegevens moeten er misschien organisatorische wijzigingen worden gemaakt binnen uw bedrijf.

Wat moet u doen?

‘Organisatorische wijzigingen’ is natuurlijk een breed begrip. Wat moet u in uw organisatie dan precies aanpassen om te voldoen aan de gestelde eisen? Dat is dus helemaal afhankelijk van wát u precies verzamelt.

Denk hierbij aan het aanstellen van een ‘functionaris voor de gegevensverwerking’ als u zich bezig houdt met bijzondere persoonsgegevens zoals gezondheid of geloofsovertuiging. Maar sowieso is het van belang om “passende technische en organisatorische maatregelen” te nemen om de bij u verzamelde en opgeslagen gegevens te beschermen. Denk hierbij dan niet alleen aan het tijdig (laten) installeren van security-patches en het met SSL certificaten beveiligen van websites, formulieren en toegangswegen tot de CMSen of server.

Maar, denk hierbij ook aan het up-to-date houden van de CMSen zelf zoals WordPress en Joomla of, wanneer u gebruik maakt van zelf geschreven code of een framework, aan het bijwerken hiervan zodra er kwetsbaarheden in ontdekt worden. Zoals u weet zorgen wij dat kritieke patches, zoals bijvoorbeeld recentelijk Meltdown en Spectre en (inmiddels wat langer geleden) Ghost en Heartbleed voor u gepatched worden. Voor minor en major updates van software zoals PHP, MySQL en Apache staan onze collega’s van de technische dienst voor u paraat. Op de hostingplatformen worden deze updates frequent door ons uitgevoerd.

Maakt u gebruik van een eigen server bij ons? Wij zullen deze (major) updates dan niet uit eigen beweging uitvoeren omdat wij de impact op uw dienstverlening hiervan niet in kunnen schatten. Maar wanneer u ze aanvraagt, voeren we deze voor uw managed servers kosteloos uit.

Tevens moet u voor alle gegevens die u verzamelt, vastleggen waarom dat u dat doet, hoe dat dat gebeurt, op welke manier ze beveiligd worden en voor hoe lang u deze bewaart. Van belang hierbij zijn drie kernwoorden die u kunnen helpen dit te bepalen: doel, grondslag en gegevens. Wat is het doel van het vragen van de gegevens, hoe verklaart u waarom u ze vraagt (kan het niet met minder?) en welke gegevens vraagt u specifiek. Al deze informatie legt u vast in de privacyverklaring en in een ‘register’.

Ten slotte gaat het in de AVG voornamelijk om het transparant zijn over wat en met wie je zaken doet. Leg dit dan ook vast in een privacyverklaring, waarin u bijvoorbeeld aangeeft dat u voor de hosting van websites en uw CRM gebruik maakt van Flexwebhosting als verwerker. Hierbij is het ook van belang dat u ook vermeldt dat u voor het registreren van domeinnamen, de persoonsgegevens van de klant door moet geven aan de registrerende partij. Voor .nl domeinnamen is dat bijvoorbeeld de SIDN, voor gTLDs is dat de ICANN. De klant gaat namelijk tijdens het afsluiten van de overeenkomst niet alleen akkoord met úw algemene voorwaarden, maar ook met die van de SIDN of een andere partij. Ja, dit is altijd al zo geweest, maar onder de AVG moet dit helderder worden gedocumenteerd.

Wat doen wij?

Ook wij zijn druk bezig met aanpassingen in onze bedrijfsvoering om op 25 mei 2018 te voldoen aan de nieuwe wet. U kunt op korte termijn onder andere de volgende dingen van ons verwachten:- Privacy policy statement op de websiteHierin beschrijven wij welke gegevens wij vragen, waarom, wat we er mee doen en hoe deze zijn beveiligd. – Wijziging van de Algemene VoorwaardenEen update van de huidige algemene voorwaarden is nodig om te kunnen verzekeren dat wij voldoen aan de laatste wet- en regelgeving.Iedereen krijgt van Flexwebhosting automatisch een verwerkersovereenkomst welke in combinatie met de Algemene Voorwaarden geldt. Deze verwerkersovereenkomst is opgesteld voor en toegespitst op de hostingbranche en zal dan ook door alle webhostingproviders in Nederland worden aangeboden. Deze herziene AV (inclusief bijlage) kunt u volgende week binnen uw klantenportaal inzien. Alle klanten zullen hier deze week tevens ook nog per e-mail over op de hoogte worden gesteld.- Aanleg Register In het register wordt niet alleen vastgelegd welke gegevens wij verzamelen, waarom we dat doen en hoe we die bewaken, maar worden ook alle acties omtrent die gegevens gelogd. Bijvoorbeeld wanneer wij u een mail sturen over uw website of server omdat die een update nodig heeft.

Meer weten?

Hoewel we zelf een goed beeld hebben van wat de nieuwe rechten en plichten voor onze bedrijfsvoering gaan worden, pretenderen wij geenszins de juiste organisatie te zijn om u van meer informatie te voorzien over hoe u een en ander voor en met uw klanten moet inregelen. We willen u dan ook adviseren om contact op te nemen met een juridisch onderlegd(e) persoon of organisatie voor meer in-depth informatie en antwoorden op uw vragen. Verder is er natuurlijk online ook veel informatie te vinden, bijvoorbeeld:

• https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
• https://hulpbijprivacy.nl/
• https://www.ictrecht.nl/blog/voorbereiden-op-de-avg-met-de-factsheets-van-ictrecht
• https://ictrecht.nl/factsheets/algemene-verordening-gegevensbescherming-verandert-er-echt/
• https://ictrecht.nl/factsheets/het-register-van-verwerkingen-van-persoonsgegevens/
• https://ictrecht.nl/factsheets/het-registreren-van-datalekken/

Dit artikel is geplaatst op 30 april 2018. Het kost je ongeveer 5 minuten om het te lezen.