[intro_start]De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Begrippen die iedereen nu onderhand wel een keer gehoord heeft. Maar wat houdt het nu precies in? We proberen met onderstaande uitleg wat meer duidelijkheid te scheppen.[intro_end]

Algemene regels:

Waarschijnlijk bent u al bekend met de algemene regels, waaronder:

  • Voor de hele EU gelden dezelfde regels; wordt data van EU-burgers verwerkt door bedrijven buiten de EU, dan is GDPR ook van toepassing;
  • Het begrip “persoonlijke data” wordt uitgebreid met datatypes zoals IP-adressen en gevoelige data zoals gezondheidsgegevens, informatie over culturele achtergrond;
  • Het verzamelen van data wordt aan strenge regels onderworpen, zodat men niet zomaar gegevenslijsten kan kopen of aanleggen: de gebruiker moet expliciet toestemming geven, mag zijn gegevens inzien en eisen dat zij verwijderd worden (recht op vergetelheid);
  • Waar in het verleden overtredingen meestal ‘zo-zo’ werden behandeld, zijn er nu hoge boetes. Wanneer de verzamelde data niet correct worden beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet of tot 20 miljoen euro, afhankelijk van wat het hoogst is.

Rolverdeling: Verwerker, Verwerkingsverantwoordelijke en verwerkersovereenkomst

  • Verwerkingsverantwoordelijke = de eigenaar van de data, degene die de gegevens verzamelt. Als klant van Epartment verzamelt u persoonsgegevens (denk aan naam, adres, IP-adressen, betaalgegevens van jouw gebruikers) en bent u Verwerkingsverantwoordelijke.
  • Verwerker = de partij waar de data opgeslagen worden, of die ze verwerkt, op een wijze die bepaald wordt door de Verwerkingsverantwoordelijke. Onze klanten vragen ons om een back-up te maken van de data. In dit geval is Epartment dus de Verwerker. Ook indien de Verwerker aan een derde de verwerking toevertrouwt (de subverwerker), blijft de Verwerker(Epartment dus) verantwoordelijk voor de correcte naleving van de GDPR-wetgeving. Deze afspraken worden vast gelegd in een zogeheten verwerkersovereenkomst. Dit is een overeenkomst die gesloten wordt tussen Epartment en haar klanten waarvan zij data verwerken.

Taken van de Verwerkingsverantwoordelijke

Uw eerste taak is: nagaan of het verwerken van de gegevens wel toegestaan is. Dat wil zeggen dat het verzamelen en verwerken van data geschiedt omdat:

  • het volgens verplichtingen van een overeenkomst gaat;
  • expliciete toestemming hebt gevraagd (opt-in!);
  • voldoet aan de wettelijke verplichting;
  • het relevant is voor de persoonlijke veiligheid of gezondheid van de data-subject;
  • het in het algemeen belang is of in jouw legitiem belang (zoals het kunnen identificeren van personen die verantwoordelijk zijn voor hacking, fraude enz.)

Uw tweede taak is ervoor te zorgen dat de data voldoende beschermd wordt.

En tot slot moet u een inbreuk onmiddellijk melden. Hierbij geldt het volgende: een inbreuk is elke schending van de beveiliging (een lek, een hack… ) waardoor data vernietigd, verloren, gewijzigd kan worden, ongeoorloofd ontsloten kan worden of ingezien kan worden door onbevoegden.

U moet de inbreuk melden:

  • aan uw klanten
  • aan de autoriteiten

Voor Nederland: de online notificatie van de Autoriteit Persoonsgegevens
Voor België: de website van Privacy Commission

Deze melding moet u binnen 72 uur doen na ontdekking van de inbreuk.
De GDRP / AVG houdt er rekening mee dat u wellicht binnen die periode nog niet alle informatie over het incident hebt, en vraagt dat u eerste melding wel reeds volgende informatie bevat:

  • het type inbreuk
  • het aantal gebruikers/klanten die mogelijk een risico lopen
  • het risico dat de inbreuk met zich meebrengt voor de betrokkenen
  • de maatregelen die u al genomen heeft op het moment van de melding
  • de maatregelen die u verder nog gaat nemen

De taken van de Verwerker

Epartment is de Verwerker van de data die u als Verwerkingsverantwoordelijke verzameld hebt. Daarom behoort het tot onze taak om o.a.:

  • logs bij te houden van data-verwerkingen die wij doen van uw data, zoals back-ups maken
  • inbreuk op uw data aan u (de Verwerkingsverantwoordelijke) te melden
  • na te gaan of Sub-Verwerkers, derde partijen die wij inhuren voor dataverwerking, conform GDPR / AVG werken

Wat doen we nog extra?

Extra beveiliging klantgegevens
GDPR leeft erg binnen de Epartment en de Odalis Groep en we merken ook dat veel van onze klanten er serieus mee bezig zijn. Wij hebben altijd al heel hoge eisen gesteld aan een goede beveiliging van (klant)gegevens. Uiteraard niet alleen de persoonlijke gegevens van onze klanten in onze eigen database, onze website bijbehorende gegevens, maar ook de software, telefoons, laptops,etc die wij gebruiken en hoe deze optimaal beveiligt zijn. Wij hanteren dan ook bij al onze bedrijven verschillende terugkerende processen en procedures op het gebied van informatiebeveiliging. Wij zijn er op gebrand dat alle gegevens op orde zijn en we ook een strak beleid hebben om dit in de toekomst te kunnen waarborgen.

Privacy Policy
We hebben een Privacyverklaring op onze website staan waarin uitgelegd wordt hoe wij met gegevens omgaan.

Cookiebeleid
Om goed om te gaan met functionele, analytische, social en marketing data maken wij gebruik van cookies. Hiervoor wordt eerst netjes toestemming gevraagd waarin u zelf een keus kan maken. Zie ook ons cookiebeleid.

Verwerkersovereenkomst
Wij hebben ervoor gekozen om voor elke klant een gepersonaliseerde verwerkersovereenkomst te maken en te versturen. Hiervan hebben onze klanten al ruime tijd geleden bericht van gehad. In onze nieuwe Algemene Overeenkomst zal ook een verwijzing staan naar onze Privacyverklaring en Verwerkersovereenkomst.

Waarom tekenen wij geen verwerkersovereenkomsten van onze klanten?
Het is voor ons geen optie akkoord te gaan met de verwerkersovereenkomsten van onze klanten. De voornaamste reden is dat het voor ons en onze overkoepelende holding (Odalis Groep) geen doen is om afspraken die in verschillende overeenkomsten te waarborgen en onderhouden.