De AVG

De GDPR houdt in dat mensen meer rechten krijgen over de verwerking van hun persoonsgegevens. Zo hebben mensen het recht om in te zien welke persoonsgegevens bedrijven opslaan en bestaat het zogenoemde recht op vergetelheid. De nieuwe wet bepaalt ook dat voor alle persoonsgegevens die verwerkt worden, een gespecificeerd doel moet zijn vastgelegd. Zomaar persoonsgegevens opslaan is niet meer toegestaan.

De GDPR/AVG is al sinds 24 mei 2016 in werking getreden en is vanaf 25 mei 2018 van toepassing en verplicht om te handhaven. De wet vervangt dan de huidige Wet Bescherming Persoonsgegevens.

Veel regels zijn hetzelfde of iets aangescherpt. Europese burgers krijgen meer privacyrechten. Voorbeelden hiervan zijn het recht op vergetelheid, recht op dataportabiliteit en het recht op inzage van hun gegevens. Organisaties mogen alleen persoonsgegevens vragen van hun klanten als zij daar een grondslag voor hebben. Het moet duidelijk omschreven zijn waarom persoonsgegevens worden opgeslagen. Organisaties moeten producten en/of diensten ontwikkelen of leveren met een 'Privacy by Design' of 'Privacy by Default' principe. Dit houdt in dat deze producten en diensten maximale privacy garanderen voor hun gebruikers.

Ook als website/domeinhouder heb je te maken met de GDPR/AVG-wetgeving. Hieronder worden de belangrijkste punten op een rij gezet die voor jou als klant handig zijn om te weten.

De AVG en persoonsgegevens

De AVG gaat de bestaande Wet Bescherming Persoonsgegevens vervangen. Een aantal belangrijke wijzigingen zijn het vragen van toestemming, een informatieverplichting en een documentatieverplichting. Met persoonsgegevens wordt bedoeld: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Informatie is identificeerbaar als deze direct of indirect te herleiden is naar een persoon. Identificatoren zijn een naam, identificatienummer, maar ook betaalgegevens, IP-adressen en locatiegegevens.

Wat betekent dit voor jou?

Heb je een webshop of bijvoorbeeld een contactformulier waarop sitebezoekers hun gegevens achterlaten? Dan verwerk je persoonsgegevens en is de AVG ook op jouw website van toepassing. Dit betekent dat je voor 25 mei aan een aantal voorwaarden moet voldoen. Zo moet je nagedacht hebben over de persoonsgegevens die je opslaat en de bewaartermijn daarvan, maar moet je ook kunnen voldoen aan klantverzoeken zoals het inzien van gegevens en het recht op vergetelheid.

Data minimalisatie

Zorg dat je in kaart hebt gebracht welke gegevens je verwerkt, hoe je deze gegevens verwerkt en welke beveiligingsmaatregelen je neemt. Ook de bewaartermijn is belangrijk; zijn de gegevens niet meer nodig voor het doel dat je hebt omschreven? Dan is het belangrijk dat je deze persoonsgegevens verwijdert.

Toestemming en grondslagen

Zomaar gegevens verzamelen mag niet meer. Je hebt een grondslag nodig om gegevens op te slaan. Voorbeelden van grondslagen zijn een overeenkomst, een wettelijke verplichting of een gerechtvaardigd belang. Heb je bijvoorbeeld een webshop, dan heb je een naam en adres nodig om een pakketje te kunnen versturen en valt het verzamelen van deze gegevens onder gerechtvaardigd belang.

Openheid

Er wordt verwacht dat je transparant bent over hoe je persoonsgegevens verwerkt. Omschrijf in begrijpelijke en duidelijke taal welke gegevens je opslaat en voor welke doeleinden je die gegevens gebruikt. Je kan deze transparantie geven in een privacyverklaring. Hier hoort onder andere in te staan wat het doel en de rechtsgrond is, de bewaartermijn en de rechten van de betrokkene. Dit zijn rechten als inzage, het wissen van gegevens en het aanpassen van de gegevens.

Klantverzoeken

Met de nieuwe wet krijgen klanten meer rechten. Zo hebben zij het recht de persoonsgegevens in te zien, te corrigeren, of te laten verwijderen. Ook hebben zij het recht op bezwaar van het gebruik van persoonsgegevens. Mocht een klant deze verzoeken hebben, dan is het belangrijk dat je hier een procedure voor hebt, zoals een inzageprotocol en een procedure om gegevens te corrigeren of te verwijderen.

Datalekken en privacy

Elke onderneming moet een procedure hebben die omschrijft hoe je omgaat met datalekken. Ook het veilig omgaan met persoonsgegevens is vereist. Doe dit door bijvoorbeeld een SSL certificaat te activeren op je website.

Wij werken ook met persoonsgegevens en hebben daarom ook te maken met de GDPR/AVG. Dit zijn gegevens die over iemand gaan of naar deze persoon te herleiden zijn. Dit zijn gegevens als een naam, adres of een telefoonnummer, maar ook IP-adressen en betaalgegevens. Daarom is de GDPRG/AVG ook op ons van toepassing. De afgelopen tijd hebben wij kritische naar onze processen gekeken en naar welke persoonsgegevens we verzamelen, hoe er wordt omgegaan met privacygevoelige informatie en welke grondslag er is voor het verzamelen van deze gegevens.

We zijn de afgelopen tijd druk bezig geweest met het aanpassen van verschillende documentatie en we hebben oparagraph kritisch gekeken naar onze systemen en processen zodat we op tijd klaar zijn voor de AVG en het waarborgen van jouw privacy.

Argeweb verwerkt bepaalde persoonsgegevens van je. De GDPR/AVG vereist daarom dat we vastleggen wat het doel is van deze gegevensverwerking. Daarom hebben wij, op advies van specialisten op dit gebied, ervoor gekozen om een addendum aan onze algemene voorwaarden te voegen waarin we duidelijke afspraken hebben vastgelegd over dit onderwerp. In de verwerkersovereenkomst staat bijvoorbeeld welke gegevens wij mogen verwerken en met welk doel. Als je een product aanschaft, ga je akkoord met onze algemene voorwaarden. Daarmee geef je toestemming en dat is voldoende als verwerkersovereenkomst.

We streven ernaar zo volledig mogelijk GDPR/AVG proof te zijn. Omdat er nog geen precedent is, staan veel onderwerpen ter discussie. De vertaling van de wet naar de realiteit is daarom lastig. We zijn met een GDPR-team continu de stappen en acties aan het overwegen om zo goed mogelijk voorbereid te zijn op de AVG. De GDPR is niet 'klaar' op 25 mei, het vraagt om continue aandacht en continu kritisch zijn op de manier van werken.

Persoonsgegevens zijn alle gegevens die over iemand gaat of naar deze persoon te herleiden zijn. Dit zijn gegevens als een naam, adres of een telefoonnummer, maar ook IP-adressen en betaalgegevens. Gegevens die wij opslaan zijn bijvoorbeeld je naam en e-mailadres, zodat je kan inloggen, of je betalingsgegevens zodat de facturering goed verloopt.

De meeste gegevens die wij van je opslaan kan je terugvinden in je persoonlijke Mijn Argeweb omgeving. We slaan ook gegevens op die gaan over het websitegebruik en contact met onze Servicedesk. Argeweb slaat alleen gegevens op die nodig zijn voor het leveren van onze producten en diensten of gegevens die nodig zijn om kwaliteit te kunnen garanderen. Wil je meer weten over het opslaan van persoonsgegevens? Lees dan onze Privacy Verklaring.

Verwerken is: alle handelingen die wij uitvoeren met persoonsgegevens. Dit gaat van verzamelen tot en met vernietigen en is daarom een breed begrip. Voorbeelden van verwerkingen zijn het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van persoonsgegevens.

Argeweb gebruikt de opgeslagen persoonsgegevens voor verschillende doeleinden, onder andere het verlenen en factureren van onze diensten, het verzenden van onze nieuwsbrieven, de afhandeling van je bestelling en het informeren over het verloop daarvan, de opslag van klantgegevens in onze databank ter publicatie in de Whois-database, het treffen van maatregelen om de dienstverlening te verbeteren en het verstrekken van informatie en/of aanbiedingen.

Argeweb bewaart je gegevens niet langer dan wettelijk is toegestaan en noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor je gegevens worden verwerkt. Hoe lang bepaalde gegevens worden bewaard is afhankelijk van de aard van de gegevens en de doeleinden waarvoor zij worden verwerkt. De bewaartermijn kan dus per doel verschillen. Als je een abonnement hebt bij Argeweb, worden je gegevens tenminste gedurende de looptijd van je abonnement bewaard. In het kader van de wet bewaarplicht bewaren wij je verkeersgegevens in verband met telefonie gedurende 12 maanden en je verkeersgegevens in verband met internet gedurende 6 maanden.

Alle medewerkers van Argeweb hebben toegang bepaalde persoonsgegevens. We gaan te allen tijde zorgvuldig en kritisch om met het bewaken van de privacy van onze klanten. Dit betekent dat we in alle functies kritisch bekijken welke toegang, of bewerkte toegang, tot persoonsgegevens noodzakelijk zijn.

Wij anonimiseren je gegevens zoveel mogelijk. Het verschilt per type domeinnaam (extensie) wat er met je gegevens gebeurd. Generieke domeinnamen zijn domeinnamen als een .com, .net of .info. Deze registreren we vanaf 25 mei via onze leverancier beschermd volgens de GDPR/AVG wetgeving. Europese domeinnamen zijn domeinnamen uit alle Europese landen zoals een .nl- of een .fr-domeinnaam. Al deze domeinnamen vallen onder de GDPR/AVG en je persoonsgegevens zijn beschermd volgens de wetgeving. Heeft u een niet-Europese domeinnaam, dan gelden er andere voorwaarden. Niet-Europese domeinnamen zijn domeinnaamextensies als een .au, .as of .co.bi. Deze domeinnamen vallen buiten Europese wetgeving en dat betekent dat wij niet kunnen garanderen dat je gegevens veilig zijn.

Bijzondere persoonsgegevens zijn gegevens zoals geloofsovertuiging, ras e.d. Wij verwerken geen bijzondere persoonsgegevens van onze klanten en vragen deze ook niet uit.

Iedereen heeft het 'recht op bezwaar'. Je kan een verzoek indienen bij onze Servicedesk. In bepaalde gevallen kunnen we niet alle gegevens verwijderen, omdat we volgens de wet een bewaarverplichting hebben. Lees meer over het recht van bezwaar in onze privacy verklaring.

Het 'recht op vergetelheid' wordt eerst in behandeling genomen door de Security Officer van Argeweb. Deze beoordeelt of het verzoek kan worden uitgevoerd, want niet alle gegevens kunnen verwijderd worden vanwege bijvoorbeeld een belastingplicht.

Wij sluiten verwerkersovereenkomsten af met onze leveranciers, ook met Microsoft. Met deze verwerkersovereenkomsten verklaren zij dat ze de persoonsgegevens die wij met ze delen, op een adequate wijze beschermen.

We zullen nadat we kennis hebben genomen van een datalek, klanten hiervan op de hoogte stellen. We verstrekken op verzoek van de klant nadere informatie over het datalek, voor zover noodzakelijk voor de klant om aan haar wettelijke verplichtingen inzake melding aan de autoriteit persoonsgegevens en betrokkenen te voldoen.

Er is een addendum toegevoegd aan onze algemene voorwaarden waarin we duidelijke afspraken hebben vastgelegd. Als je een product aanschaft, ga je akkoord met onze algemene voorwaarden. Daarmee geef je toestemming en dat is voldoende als verwerkersovereenkomst. Wanneer je al een dienst bij ons afneemt zal tevens de toegevoegde addendum van toepassing zijn als verwerkersovereenkomst. Je hoeft hier geen verdere acties voor uit te zetten. Wij zullen je hierover nog informeren in de nieuwsbrief.