Wat moet u zelf doen?
Wat moet uw organisatie dan precies aanpassen om te voldoen aan de gestelde eisen? Dat is dus helemaal afhankelijk van de wát u precies verzamelt. Denk hierbij dan niet alleen aan het tijdig (laten) installeren van security-patches en het met SSL certificaten beveiligen van websites, formulieren en toegangswegen tot de CMSen of server.
Maar, denk hierbij ook aan het up-to-date houden van de CMSen zelf zoals WordPress en Joomla of, wanneer u gebruik maakt van zelf geschreven code of een framework, aan het bijwerken hiervan zodra er kwetsbaarheden in ontdekt worden. Zoals u weet zorgen wij dat kritieke patches, zoals bijvoorbeeld recentelijk Meltdown en Spectre en (inmiddels wat langer geleden) Ghost en Heartbleed voor u gepatched worden. Voor minor en major updates van software zoals PHP, MySQL en Apache staan onze collega’s van de technische dienst voor u paraat. Op de hostingplatformen worden deze updates frequent door ons uitgevoerd.
Uw webhosting
Uw website wordt via Mixi Media gehost bij Flexwebhosting. De hostingprovider en datacentra zijn volledig gecertificeerd en voldoen aan bepaalde eisen. We werken alleen samen met leveranciers die ook kunnen aantonen dat ze hun privacybescherming op orde hebben.
Wat is een SSL-certificaat?
Een SSL-certificaat is nodig om alle data die verstuurd wordt tussen een website bezoeker en de webserver te versleutelen. Wanneer er data onderschept wordt is deze door de versleuteling onleesbaar. Het certificaat is dus nodig voor een beveiligde verbinding tussen browser en webserver. Een site met een SSL-certificaat is te herkennen aan het hangslotje in de adresbalk van je browser.
Is een SSL-certificaat verplicht?
Het is door de Wet bescherming persoonsgegevens verplicht om gegevens op een veilige manier op te slaan, te verzenden en te ontvangen. Websites met betaal- en/of inlogmodules en zelfs contactformulieren zijn dus bij wet verplicht dat veilig te doen. De wet vereist niet expliciet een bepaalde technische oplossing, maar juridisch sta je heel zwak als je geen SSL-certificaat hebt. Een SSL-certificaat is dus niet letterlijk verplicht, maar we raden het wel ten zeerste aan.
Wel of geen SSL-certificaat?
Afhankelijk van het doel van jouw website, hoe deze functioneert en de investering die je bereid bent te doen zou je ervoor kunnen kiezen om via HTTP te blijven werken. Er zijn echter veel meer goede redenen te verzinnen om wel een SSL-certificaat te installeren.
Werk je met persoonsgegevens? Wil je jouw bezoekers meer veiligheid bieden en een vertrouwd gevoel geven? Wil je hoog ranken in Google of wil je je conversieratio verhogen? Kies dan voor een SSL-certificaat.
De kosten van een SSL certificaat bedragen jaarlijks 99 euro exclusief BTW.
Bewustwording en Transparant zijn
Tevens moet u voor alle gegevens die u verzamelt, vastleggen waarom dat u dat doet, hoe dat dat gebeurt, op welke manier ze beveiligd worden en voor hoe lang u deze bewaart. Van belang hierbij zijn drie kernwoorden die u kunnen helpen dit te bepalen: doel, grondslag en gegevens. Wat is het doel van het vragen van de gegevens, hoe verklaart u waarom u ze vraagt (kan het niet met minder?) en welke gegevens vraagt u specifiek. Al deze informatie legt u vast in de privacyverklaring en in een ‘register’.
Ten slotte gaat het in de AVG voornamelijk om het transparant zijn over wat en met wie je zaken doet. Leg dit dan ook vast in een privacyverklaring.
Bijvoorbeeld: voor het registreren van domeinnamen geven wij uw persoonsgegevens door aan de registrerende partij. Voor .nl domeinnamen is dat bijvoorbeeld de SIDN, voor gTLDs is dat de ICANN. U gaat namelijk alleen akkoord met onze algemene voorwaarden, maar ook met die van de SIDN of een andere partij. Ja, dit is altijd al zo geweest, maar onder de AVG moet dit helderder worden gedocumenteerd.
Algemene informatie AVG
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
Wat verandert er?
De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacyrechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
Voor een overzicht van belangrijke wijzigingen voor organisaties, zie: de AVG in een notendop.
Meer weten?
Hoewel we zelf een goed beeld hebben van wat de nieuwe rechten en plichten voor onze bedrijfsvoering gaan worden, pretenderen wij geenszins de juiste organisatie te zijn om u van meer informatie te voorzien over hoe u een en ander voor en met uw klanten moet inregelen. We willen u dan ook adviseren om contact op te nemen met een juridisch onderlegd(e) persoon of organisatie voor meer in-depth informatie en antwoorden op uw vragen. Verder is er natuurlijk online ook veel informatie te vinden, bijvoorbeeld:
- https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
- https://hulpbijprivacy.nl/
- https://ictrecht.nl/2017/05/24/voorbereiden-op-avg/
- https://ictrecht.nl/factsheets/algemene-verordening-gegevensbescherming-verandert-er-echt/
- https://ictrecht.nl/factsheets/het-register-van-verwerkingen-van-persoonsgegevens/
- https://ictrecht.nl/factsheets/het-registreren-van-datalekken/