De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Begrippen die bijna iedereen wel kan dromen – of je nu een website hebt of ooit iets op een website hebt achtergelaten. Maar wat houdt het nu precies in? En hoe is dit bij Byte geregeld? We proberen met onderstaande uitleg wat meer duidelijkheid te scheppen.

 

GDPR – de belangrijkste regels

Waarschijnlijk ben je al bekend met de algemene regels, waaronder:

  • Voor de hele EU gelden dezelfde regels; worden data van EU-burgers verwerkt door bedrijven buiten de EU, dan is GDPR ook van toepassing;
  • Het begrip “persoonlijke data” wordt uitgebreid met datatypes zoals IP-adressen en gevoelige data zoals gezondheidsgegevens, informatie over culturele achtergrond;
  • Het verzamelen van data wordt aan strenge regels onderworpen, zodat je niet zomaar gegevenslijsten kan kopen of aanleggen: de gebruiker moet expliciet toestemming geven, mag zijn gegevens inzien en eisen dat zij verwijderd worden;
  • Waar in het verleden overtredingen meestal blauw-blauw gelaten werden, zijn er nu hoge boetes. Wanneer de verzamelde data niet correct worden beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet of tot 20 miljoen euro, afhankelijk van wat het hoogst is.

Rolverdeling: AVG / GDPR Data Verwerker, Data Verwerkingsverantwoordelijke, Data-subject

Uitleggen hoe deze nieuwe wetgeving de relatie tussen jou als klant en Byte beïnvloedt, is niet in 1-2-3 gezegd. Zowel Byte zelf als jij (als klant van Byte) vervullen immers wisselend verschillende rollen, vastgelegd in deze wet.

  • Data Verwerkingsverantwoordelijke = de eigenaar van de data, degene die de gegevens verzamelt. Als klant van Byte bijvoorbeeld verzamel jij persoongegevens (denk aan naam, adres, IP-adressen, betaalgegevens van jouw gebruikers) en ben jij Verwerkingsverantwoordelijke.
  • Data Verwerker = de partij waar de data opgeslagen worden, of die ze verwerkt, op een wijze die bepaald wordt door de Verwerkingsverantwoordelijke. Als klant van Byte vraag jij ons om een back-up te maken van de data van jouw gebruikers, en in dit geval is Byte de Verwerker. Ook indien de Verwerker aan een derde de verwerking toevertrouwt (de subverwerker), blijft de Verwerker verantwoordelijk voor de correcte naleving van de GDPR-wetgeving
  • Data subjects = de personen van wie de persoonlijke informatie verwerkt wordt.

Jouw taak (als Byte klant) als AVG / GDPR Data-Verwerkingsverantwoordelijke

Je eerste taak is: nagaan of het verwerken van de gegevens wel toegestaan is. Dat wil zeggen dat het verzamelen en verwerken geschiedt omdat

  • het kadert in de verplichtingen van een overeenkomst
  • je de expliciete toestemming hebt van het data subject (geen opt-out!);
  • je zo voldoet aan de wettelijke verplichting;
  • het relevant is voor de persoonlijke veiligheid of gezondheid van de data-subject;
  • het in het algemeen belang is of in jouw legitiem belang (zoals het kunnen identificeren van personen die verantwoordelijk zijn voor hacking, fraude enz.)

Je tweede taak is ervoor te zorgen dat de data voldoende beschermd worden.

En tot slot moet je een inbreuk onmiddellijk melden. Hierbij geldt het volgende: een inbreuk is elke schending van de beveiliging (een lek, een hack… ) waardoor data vernietigd, verloren, gewijzigd kan worden, ongeoorloofd ontsloten kan worden of ingezien kan worden door onbevoegden.

Je moet de inbreuk melden

  • aan de data subjects (jouw klanten)
  • aan de autoriteiten.

Voor Nederland: de online notificatie van de Autoriteit Persoonsgegevens
Voor België: de website van Privacy Commission

Deze melding moet je binnen 72 uur doen na ontdekking van de inbreuk.
De GDRP / AVG houdt er rekening mee dat je wellicht binnen die periode nog niet alle informatie over het incident hebt, en vraagt dat je eerste melding wel reeds volgende informatie bevat:

  • het type inbreuk
  • het aantal data subjects die mogelijk een risico lopen
  • het risico dat de inbreuk met zich meebrengt voor de betrokken data subjects
  • de maatregelen die je al genomen hebt op het moment van je melding
  • de maatregelen die je verder nog gaat nemen

Onze taak als AVG / GDPR Data Verwerker

Byte is de Verwerker van de data die jij als Verwerkingsverantwoordelijke verzameld hebt. Daarom behoort het tot onze taak om o.a.:

  • logs bij te houden van data-verwerkingen die wij doen van jouw data, zoals back-ups maken
  • een inbreuk op jouw datasets, die zich op een door ons beheerd platform bevinden, aan jou (de Data Verwerkingsverantwoordelijke) te melden en jou bij te staan bij het opstellen van de melding aan de Data Subjects (hoever deze hulp gaat, kan bepaald worden in het servicepakket dat je afneemt)
  • na te gaan of Sub-Verwerkers, derde partijen die wij inhuren voor dataverwerking, conform GDPR / AVG werken

Byte klant als AVG / GDPR Data Subjects

Tot slot is er ook nog het feit dat Byte persoonlijke informatie beheert van jou, de klant – van de (technische) contactpersonen binnen jouw bedrijf bijvoorbeeld. In die rol heb jij als Data Subject onderstaande rechten, en is het onze plicht als Data Verwerkingsverantwoordelijke en Verwerker om hierop als hieronder beschreven te reageren:

  • Je hebt het recht te eisen dat wij je gegevens wissen, bijvoorbeeld wanneer het doel waarvoor de data oorspronkelijk verzameld werden niet meer bestaat. Wij dienen niet alleen de gegevens bij ons te wissen, maar ook aan mogelijke onderaannemers te vragen dat zij ook bij hen de data wissen.
  • Je hebt het recht om informatie over deze data te vragen, zoals hoe lang je data bewaard worden, waarom wij die verzamelen, en welke personen/organisaties toegang hebben tot jouw informatie.
  • Je hebt het recht om, met redelijke intervallen, je data in te zien en eventueel te laten verbeteren, en je hebt het recht je gegevens naar een andere Verwerker te verhuizen. Afhankelijk van de omstandigheden zal Byte jou beveiligde toegang geven tot jouw gegevens of een kopie ervan overhandigen in een industriestandaard zoals een csv-bestand.

Overige maatregelen door Byte voor de AVG/GDPR

Beveiliging klantgegevens

GDPR leeft erg binnen onze organisatie en we merken ook dat veel van onze klanten er serieus mee bezig zijn. Als hostingpartij hebben wij altijd al heel hoge eisen gesteld aan een goede beveiliging van klantgegevens. Uiteraard niet alleen de persoonlijke gegevens van onze klanten in onze eigen database, maar ook de website – en klantgegevens van onze klanten. Wij kunnen inmiddels met trots zeggen dat wij Byte is ISO 27001:2013 gecertificeerd zijn, wat betekent onze processen en procedures op het gebied van informatiebeveiliging uitstekend op orde zijn en we ook een strak beleid hebben om dit in de toekomst te kunnen waarborgen.

Register van verwerkingsactiviteiten

Binnen Byte hebben we in kaart gebracht welke gegevens we verwerken, waarom we deze gegevens verwerken, wat de bron van deze gegevens is en met welke partij(en) we welke gegevens delen. Denk bijvoorbeeld aan klantgegevens van onze huidige klanten om deze te kunnen bedienen, IP-adressen van bezoekers van onze website en samenwerkingen met partijen zoals een incassobureau.

Algemene Voorwaarden

We zijn momenteel bezig met het aanpassen van onze Algemene Voorwaarden, zodat deze in lijn zijn met GDPR.

Privacy Policy

We hebben Privacy Policy op onze website staan waarin uitgelegd wordt hoe wij met gegevens omgaan.

Verwerkersovereenkomst

Wij hebben ervoor gekozen om niet met elke individuele klant een verwerkersovereenkomst toe te sturen, dat zou een enorm administratief project zijn. Wel hebben wij een Privacy Policy beschikbaar en gaan we onze Algemene Voorwaarden herzien zodat ook deze GDPR (AVG) ‘compliant’ zijn. In deze nieuwe Algemene Voorwaarden zal ook een verwijzing naar onze Privacy Policy en Acceptable Use Policy komen te staan. Daarnaast voldeden wij al aan veel eisen omdat wij ISO-27001 gecertificeerd zijn.

Mocht je een dringende reden hebben om naast het accepteren van de Privacy Policy en Algemene Voorwaarden toch een Verwerkersovereenkomst met ons aan te gaan, stuur dan graag een e-mail naar legal@byte.nl. Wij zullen dan onze verwerkersovereenkomst toesturen.

Waarom tekenen wij geen verwerkersovereenkomten van onze klanten?

Het is voor ons geen optie akkoord te gaan met de verwerkersovereenkomsten van onze klanten. De voornaamste reden is dat het voor ons en onze overkoepelende holding geen doen is om afspraken die in verschillende overeenkomsten te waarborgen en onderhouden. Wij hebben onze interne processen zo ingericht dat wij een gestandaardiseerd platform kunnen aanbieden. Wij bieden natuurlijk managed hostingdiensten aan. Wanneer wij met spoed iets moeten wijzigen aan/op ons platform dan zouden we eerst de verwerkerksovereenkomsten moeten nakijken of dit zomaar mag. Dit zal ten alle tijden nadelige gevolgen hebben voor onze dienstverlening en dat willen wij absoluut niet vandaar dat wij niet akkoord gaan met de verwerkersovereenkomsten van onze klanten.

30