Wat betekent dit voor Arrowfrog klanten
Sinds mei 2016 is de General Data Protection Regulation (GDPR, ook wel bekend als de Algemene Verordening van Gegevensbescherming, of AVG) van kracht. Deze EU-regelgeving is een aanscherping van de bestaande privacywetten en bedrijven en organisaties hebben tot 25 mei 2018 de tijd gehad om compliant te zijn met de nieuwe wetgeving. Wat betekent dit voor Arrowfrog klanten?
Wat is GDPR
De GDPR is de nieuwe Europese privacyregelgeving. De wet vervangt de Wet Bescherming Persoonsgegevens (WBP). Deze stamt nog uit 2001, een tijd waarin internet nog geen grote rol speelde in onze samenleving en waarin er veel minder data werden gegenereerd dan nu.
De oude regelgeving gaat in de GDPR behoorlijk op de schop en in een notendop komt het erop neer dat mensen meer controle krijgen over hun persoonlijke gegevens. Ook gelden er voor bedrijven meer regels voor het beschermen van de privacy van degenen over wie ze data verzamelen.
De belangrijkste punten
U moet een goede reden hebben om data te verwerken
Om persoonsgegevens te verwerken, moet u daar een goede reden voor hebben. Gegevens die u moet verwerken om de overeenkomst met uw klant uit te voeren, vormen een goede grondslag. Als u bijvoorbeeld een webshop heeft, dan slaat u het adres van uw klant op. Dit heeft u nodig om uw product te kunnen leveren, en dit is dan ook een goede grondslag; u hoeft hiervoor geen expliciete toestemming aan uw klant te vragen. Het opslaan van de geboortedatum van uw klant heeft u wellicht niet nodig om uw product te kunnen leveren; dit gegeven mag u dan niet vragen aan uw klant. Maar het analyseren van de prestaties van uw website, het verzenden van een e-mailnieuwsbrief met nieuwe informatie over een eerder gekocht product is weer wel een goede grondslag.
Het verwerken van bijzondere persoonsgegevens, zoals informatie over iemands gezondheid of een vingerafdruk, mag niet, tenzij dit door de wet expliciet is toegestaan. Bijvoorbeeld een medisch specialist die patiëntgegevens opslaat als dat nodig is om een patiënt te helpen.
Mensen krijgen meer controle over hun gegevens
Mensen hebben het recht om te weten over hoe u met hun persoonsgegevens omgaat. U kunt hiervoor een Privacy Verklaring op uw website plaatsen waarin u dit in begrijpelijke (niet-juridische) taal uitlegt. U moet ook uitleggen waar mensen terecht kunnen om daar vragen over te stellen, hoe ze hun gegevens kunnen inzien, wijzigen of laten verwijderen.
Verruimde definitie van persoonlijke data
In de GDPR worden onder persoonlijke data niet alleen gegevens verstaan die direct zijn te herleiden naar een persoon, maar ook gegevens die dat indirect mogelijk maken. Denk bijvoorbeeld aan de combinatie postcode-geboortedatum. In het geval er maar één 80-plusser in een straat woont, kan die informatie worden herleid naar die specifieke persoon.
U blijft verantwoordelijk voor wat uw leveranciers en partners doen
Onder de GDPR blijft u te allen tijde verantwoordelijk voor de data die u verwerkt, ook als u daarvoor derden inschakelt. U kunt zich in het geval van een datalek dus niet verschuilen achter de partij die uw data opslaat. Bovendien bent u verplicht met uw leveranciers een verwerkingsovereenkomst af te sluiten, waarin u vastlegt wat voor data zij verwerken. U heeft dus goed overzicht nodig over alle leveranciers die u inschakelt om gegevens namens u te verwerken, en u moet daar goede afspraken over maken.
Gegevens mogen niet overal worden opgeslagen
Persoonsgegevens mogen volgens de GDPR in principe alleen worden opgeslagen in EU-landen en een aantal door de EU als veilig aangemerkte landen. Goed om daarbij te weten, is dat bij de veilige landen in sommige gevallen aanvullende eisen gelden. De Verenigde Staten staan op deze lijst; echter geldt hierbij een aanvullende voorwaarde dat providers uit de VS moeten voldoen aan de eisen van het Privacy Shield. Als u dus een Amerikaanse cloud provider inschakelt om gegevens op te slaan, en deze provider voldoet niet aan Privacy Shield, dan is dit wettelijk niet toegestaan.
Bewaak uw privacygevoelige bestanden
Wij adviseren om met Panda Security Software, realtime uw privacygevoelige bestanden te laten bewaken. Voor meer informatie en een filmpje kijk op: https://ictmanager.eu/data-control/
Wat kunt u doen
Leg een intern privacyregister aan
Breng intern in kaart welke persoonsgegevens er in uw organisatie en bij derde partijen worden bewerkt. Niet alleen is het verplicht een dergelijk overzicht met meta-informatie (“Privacy Register”) op te stellen, het helpt u ook te bepalen of u wel een gegronde reden heeft om bepaalde informatie te verzamelen. Wees extra alert op bijzondere gegevens!
Weet waar uw data staan opgeslagen
Zoals gezegd kunt u er bij Arrowfrog op vertrouwen dat uw data binnen de EU worden opgeslagen. Maar geldt dat ook voor uw andere leveranciers? Weet u bijvoorbeeld waar precies de data in uw e-mailmarketingsoftware worden opgeslagen? En welke data bepaalde plugins in uw WordPress-site verwerken en waar ze die opslaan?
Kies uw datapartners
zorgvuldig
Behalve de locatie waar ze data opslaan, zijn er nog een aantal zaken om op te
letten bij uw datapartners. Hoe veilig slaan zij data op? Stel
verwerkingsovereenkomsten met deze partners op, waarin u vastlegt wat voor
soort persoonsgegevens zij verwerken en dat ze erop toezien dat dit op een
veilige manier gebeurt.
Bepaal of u een functionaris persoonsgegevens nodig heeft
In de GDPR is de verplichting opgenomen dat bedrijven in specifieke gevallen een functionaris persoonsgegevens (FG) moeten aanstellen. Over het algemeen geldt dit bij overheden en bedrijven die op grote schaal profiling uitvoeren, maar het kan sowieso geen kwaad om uit te zoeken of dit ook het geval is voor uw bedrijf. Ook als u niet onder deze verplichting valt, kunt u ervoor kiezen om een FG aan te stellen. U laat daarmee zien dat u privacy serieus neemt.
Het belang
Zoals gezegd kan het niet naleven van de GDPR u straks op hoge boetes komen te staan, maar dat zou niet de belangrijkste reden moeten zijn om compliant te zijn. De GDPR is namelijk niets meer dan een update van verouderde privacywetgeving naar de maatstaven van de 21e eeuw. Elk bedrijf dat belang hecht aan de privacy van zijn klanten zou deze nieuwe wetgeving alleen daarom al moeten verwelkomen.
Wat doet Arrowfrog
Als Arrowfrog zijn wij verwerker van data en het is onze verantwoordelijkheid om daar zorgvuldig mee om te gaan, iets wat we ook in het verleden altijd al hebben gedaan. Het datacentra beschikt over verschillende beveiligingscertificeringen, waaronder ISO 27001 en NEN7510.
We hebben ons privacyregister aangelegd en sluiten verwerkersovereenkomsten met onze leveranciers af. Daarna gaan wij u als klant uitnodigen om met ons een verwerkersovereenkomst af te sluiten, als u Arrowfrog gebruikt om persoonsgegevens op te slaan.
Klanten van Arrowfrog hebben de garantie dat hun data in Nederland worden opgeslagen, tenzij zij dat zelf anders aangeven. Zo bent u er dus zeker van dat uw data binnen de EU-grenzen staan opgeslagen en aan de locatie-eisen van de GDPR voldoen.