Online verwerking van persoonsgegevens: dit moet je weten


online verwerking persoonsgegevens

Hoe bewaak je de gegevens van een (potentiële) klant? Wanneer voldoe je aan de Wet Bescherming Persoonsgegevens? En ben je al op de hoogte van de komst van de Algemene Verordening gegevensbescherming? Colin du Croix, CEO van hostingprovider Rootnet, vertelde op onze klantendag van 10 maart 2017 over de online verwerking van persoonsgegevens en wat daar allemaal bij komt kijken. Lees waar je als bedrijf aan moet voldoen, nu en in de toekomst, en met welke actiepunten je vandaag nog aan de slag kunt gaan.

Datalekken en privacy: een populair én belangrijk topic

Stad en land had Colin afgezocht naar een CloudPets knuffel. Niet meer verkrijgbaar in Nederland. Uiteindelijk heeft hij uit het buitenland nog een exemplaar kunnen krijgen. De blauwe knuffel ziet er misschien schattig uit, dat bleek ‘ie niet. Eind februari lekten 2,2 miljoen geluidsopnames uit van kinderen die met hun teddybeer praten.

cloudpet

En zo zijn er tientallen voorbeelden van datalekken waarbij privacygevoelige informatie en persoonsgegevens op straat kwamen te liggen. Niet alleen staan daar flinke boetes op, elke marketeer kan bedenken dat zo’n nieuwbericht niet veel goeds doet voor je merkwaarde. Conclusie: het bewaken van persoonsgegevens is belangrijk en je beveiliging op orde hebben als bedrijf, is daarvoor cruciaal. “Zonder SSL moet je eigenlijk van het internet af”, vindt Colin.

Wet Bescherming Persoonsgegevens: wat valt daaronder?

Terug naar de basis. Wat zijn persoonsgegevens eigenlijk en voor eisen worden gesteld in de huidige wetgeving? Dit zijn persoonsgegevens:

“Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.”

Dit kunnen een naam, adres en geboortenaam zijn, maar zelfs een geslacht of IQ. Colin geeft daarbij het volgende voorbeeld: “Als er in een groep van 10 mensen 1 man is, dan kun je deze man identificeren op basis van zijn geslacht”. Dat maakt dat geslacht behoort tot persoonsgegevens.

Sinds 2001 is in Nederland de Wet Bescherming Persoonsgegevens van kracht. Deze wet is van toepassing op plaatsen waar heel duidelijk met persoonsdata wordt gewerkt, zoals een webshop waar je adresgegevens invult voor de verzending van je bestelling, of een e-mailmarketingsysteem met gegevens over wie er ingeschreven zijn voor de nieuwsbrief. Maar ook het Exceldocument dat de receptioniste bijhoudt over wie het pand heeft bezocht, valt onder deze wet.

De Wet Bescherming Persoonsgegevens stelt verschillende maatregelen. Dit zijn zowel organisatorische als technische maatregelen.

Organisatorische maatregelen

Colin noemt de volgende organisatorische maatregelen in zijn presentatie:

  1. Informeer de betrokkene van de verwerking;
  2. Verplicht om verwerking te melden bij AP;
  3. Een functionaris gegevensbescherming kan verplicht zijn;
  4. Sluit een bewerkersovereenkomst met uw bewerkers;
  5. Audit u en uw bewerkers op het nakomen van maatregelen.

Het is verplicht om persoonsgegevens aan te geven bij de Autoriteit Persoonsgegevens (2). Op de website van het AP kun je ook inzien wat hier is aangemeld en welke persoonsgegevens er allemaal verwerkt worden door bedrijven. Een voorbeeld van Colin: hierin kun je zien dat Google niet alleen foto’s maakt van je huis voor Google Streetview, maar ook meteen opslaat welk Wifi netwerk je gebruikt.

Colin geeft ook aan wat het belang is van een bewerkersovereenkomst (4). Dit is een overeenkomst die je sluit met alle partijen die met jouw data werken: je e-mailsysteem, een CRM of ERP systeem, maar ook een telefoonbureau of natuurlijk je online marketing bureau. Als bedrijf ben je verantwoordelijk voor de data, ook al ben jezelf niet de partij die data uitlekt. Met een bewerkersovereenkomst zet je op papier wat de afspraken hierover zijn.

Technische maatregelen

Vervolgens gaat hij verder met de technische maatregelen. Deze zijn gericht op goede beveiliging van de gegevens:

  1. Versleuteling van gegevens
  2. Software updates en controle daarop
  3. Vastleggen en controleren van toegang tot gegevens

Software die je regelmatig moet updaten (2) is volgens Colin een vereiste voor de veiligheid. “Web apps hebben updates nodig. Heb je een web app die al een jaar niet geüpdatet is, zoek dan zo snel mogelijk iets anders!” Software is kwetsbaar en moet bijgewerkt worden om beveiligd te zijn tegen eventuele lekken. Om aan te duiden hoe belangrijk dit is: bij Rootnet zijn hier twee van de tien medewerkers full time mee bezig.

Ook belangrijk: in de gaten houden wie er allemaal toegang heeft tot welke gegevens (3). Bij Rootnet wordt gewerkt met een systeem waarbij wordt genoteerd wie een bepaald bestand nodig heeft en voor hoe lang. Is er geen toegang meer nodig, dan wordt ervoor gezorgd dat er ook geen toegang meer is. Bovendien wordt op zo’n manier gewerkt dat altijd ingezien kan worden wie op welk moment een bepaald bestand heeft geopend en/of bewerkt.

Voldoe aan de meldplicht datalekken wanneer nodig

Ook onderdeel van de Wet Bescherming Persoonsgegevens is dat in Nederland de meldplicht voor datalekken geldt. Deze schrijft voor dat elke datalek gemeld moet worden bij de Autoriteit Persoonsgegevens. Er is sprake van een datalek wanneer gegevens zijn blootgesteld aan verlies of onrechtmatige verwerking.

Er is sprake van een datalek bij bijvoorbeeld:

  • Een hack van een website
  • Gebruik van verouderde software met lek
  • Diefstal of kwijtraken van laptop, usb-stick en andere apparaten met data

Een uitzondering is wanneer apparatuur kapot gaat en ook niet meer te repareren is, maar er wel een back-up van beschikbaar is. Dan is er namelijk geen data kwijt of verloren gegaan.

Op het niet melden van een datalek staan grote boetes, die op kunnen lopen tot €820.000 en het einde van je bedrijf kunnen betekenen. Ook kunnen er bindende aanwijzingen worden gegeven om de beveiliging van je bedrijf te verbeteren. Het al dan niet melden van een datalek kan natuurlijk leiden tot het negatief in het nieuws komen van je bedrijf. Heb je je beveiliging op orde, dan verklein je deze kans sterk.

Algemene Verordering Gegevensbescherming

Ter vervanging va de huidige wetten is er een nieuwe Europese wet op komst: de Algemene Verordening Gegevensbescherming. Vanaf 25 mei 2018 geldt deze ene privacywet voor de hele Europese Unie. Er zijn een aantal verschillen tussen de WBP en de AVG. Colin lichtte een aantal opvallende verschillen uit:

  • Meer nadruk op verantwoordelijkheid organisaties zelf
  • Functionaris voor gegevensbescherming kan verplicht zijn
  • Een privacy impact assessment (PIA) kan verplicht zijn
  • Boetes lopen op tot € 20 miljoen of 4% van de jaaromzet

Kortom: het wordt steeds belangrijker om het beschermen van persoonsgegevens en het goed regelen van de veiligheid op orde te hebben binnen je bedrijf. Colin raad bedrijven die dit nu nog niet op orde hebben dan ook aan om hier snel mee aan de slag te gaan, zodat de veiligheid in ieder geval voor de ingang van de AVG op 25 mei 2018 verbeterd is.

Ga nu aan de slag met de beveiliging van persoonsgegevens

Colin eindigt zijn presentatie met een vijftal concrete actiepunten, waar elk bedrijf mee aan de slag kan. Dat zijn de volgende actiepunten:

  • Documenteer alle (type) gegevens die je verwerkt en vraag je af of je alle gegevens ook echt nodig hebt.
  • Documenteer betrokken systemen en software. Dat is dus je hostingserver en alle software, maar ook alle bestanden op alle computer met documenten die persoonsgegevens bevatten.
  • Voldoe aan de meldplicht waar noodzakelijk.
  • Sluit degelijke bewerkersovereenkomsten af en voorkom dat onzorgvuldigheid van een andere partij jou een boete oplevert en je merkimago schaadt.
  • Bereid een melding voor een datalek voor. Dit om te zien wat voor impact zo’n melding heeft. Colin geeft aan dat je dit wilt weten voordat het fout gaat, niet alleen om voorbereid te zijn maar ook om bijvoorbeeld de pers voor te zijn.

Wil je meer weten over de online verwerking van persoonsgegevens?

Ook bij Leadrs hebben we veel ideeën en inzichten gehaald uit de presentatie van Colin en we gaan ermee aan de slag om dit voor onszelf en voor alle klanten op een juiste manier verder in te richten. Wil je weten welke maatregelen wij als online marketing bureau nemen en wat we gaan verbeteren, neem contact met ons op. Wil je meer weten over hoe Rootnet gegevens beschermt, neem dan contact op met Colin van Rootnet.

Leadrs Klantendag 2017

Colin van Rootnet is niet de enige die gesproken heeft op onze klantendag. Lees ook de verslagen van onze andere sprekers:

Linda Gommers

Linda Gommers

Linda houdt zich bij Leadrs bezig met webmasteractiviteiten zoals website invulling en optimalisatie, met de inzet van SEA en met het verwerken van leads. In haar vrije tijd blogt ze graag en loopt ze regelmatig hard. Ook wordt ze blij van reizen, en dan het liefst naar de Verenigde Staten.

More Posts

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.
You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
*
*

© 2016 Leadrs Algemene voorwaarden