Over een paar dagen is het zover; 25 mei 2018. Dé datum waarop de AVG wetgeving officieel van kracht gaat. Daarom gaan we het in deze blog over de AVG hebben over een adequate beveiliging van persoonsgegevens en, meer specifiek, welke maatregelen wij genomen hebben om er voor te zorgen dat de persoonsgegevens die u verwerkt middels onze softwarepakketten adequaat beveiligd zijn en voldoen aan de voorwaarden die de AVG stelt. Omdat we niet alle maatregelen die we nemen, kunnen bespreken, houden we het in deze blog enkel bij de belangrijkste. Wanneer u meer wilt weten, neem dan contact met ons op. Onze vertegenwoordigers komen graag bij u langs voor een uitgebreide informatiesessie.
Informatiebeveiliging, wat verstaan we daar precies onder?
Wanneer we het over informatiebeveiliging hebben, hebben we het over de vertrouwelijkheid, de integriteit en de beschikbaarheid van data. Kort gezegd moeten we dus zorgen dat persoonsgegevens:
- Niet openbaar gemaakt worden en niet terechtkomen bij personen voor wie de gegevens niet bestemd zijn (vertrouwelijkheid)
- Niet onterecht gewijzigd of gewist mogen worden (integriteit)
- Niet verloren gaan zodat ze niet meer verwerkt of geraadpleegd kunnen worden op het moment dat dit nodig is (beschikbaarheid)
Privacy by design en Privacy by defaultWij zullen er voor zorgen dat u deze risico’s in kunt perken voor de persoonsgegevens die u verwerkt met onze software. Dit doen we onder andere door rekening te houden met de termen Privacy by design en Privacy by default.
Privacy by design, of ook wel Gegevensbescherming door ontwerp, houdt in dat er al bij het ontwerp van producten of diensten rekening gehouden wordt met het recht op privacy en dat er op die manier dus voor gezorgd wordt dat persoonsgegevens goed beschermd worden. De vereisten van de wetgeving moeten we beschouwen als een natuurlijk en vanzelfsprekend onderdeel van onze software en diensten.
Zo worden persoonsgegevens standaard versleuteld. Daarnaast worden alle externe koppelingen met iONE beveiligd met wachtwoorden en IP adres restricties, zodat ook op deze manier de gegevens adequaat zijn beveiligd. Verder zorgen we ervoor dat persoonsgegevens die u verwerkt in onze software op elk gewenst moment geanonimiseerd kunnen worden. Op deze manier voldoet u aan “het recht van vergetelheid”, oftewel het recht wat betrokkenen hebben om hun gegevens door u te laten verwijderen. In iONE noemen we dit “anonimiseren” aangezien de gegevens onomkeerbaar worden versleuteld, wat gelijk staat aan verwijdering. Via deze functie kunt u de persoonsgegevens anonimiseren waarvan de bewaartermijn verstreken is en/of op verzoek van de persoon zelf. Hierdoor voldoet u aan de wetgeving waarin gesteld wordt dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk.
U zult rekening moeten houden met de rechten die uw gebruikers en/of gebruikersgroepen hebben. U moet er voor zorgen dat alleen dié personen, voor wie het voor uitvoering van de werkzaamheden noodzakelijk is, toegang hebben tot de persoonsgegevens die u verwerkt. In de software kunt u dit eenvoudig doen door middel van het aangeven van gebruikersrechten. Zo bepaalt u wie wat mag zien en wie wat mag doen. Tevens zullen gebruikersactiviteiten gelogd worden. In deze logfiles wordt, uiteraard versleuteld, opgeslagen welke relaties op welke momenten zijn aangepast.
Middels HTTPS zorgen we ervoor dat gegevens die u uitwisselt, versleuteld worden. Hierdoor verkleinen we het risico dat data publiek gemaakt wordt of in verkeerde handen terecht komt. Omdat iONE via de browser benaderd wordt, is het dus belangrijk dat alle iONE gebruikers overgaan op HTTPS verbindingen. Tevens wanneer u een webshop of website hebt, al dan niet via ons, raden we u aan over te stappen naar HTTPS verbindingen. Op korte termijn zullen we namelijk geen webshops meer ondersteunen die niet over een TLS (voorheen SSL) certificaat beschikken. Een formulier verzenden, zoals een nieuwsbriefinschrijving of offerteaanvraag, is tevens onder de AVG wetgeving zonder HTTPS verbinding expliciet verboden. Uiteraard ondersteunen we u graag in de aanvraag van zo’n TLS certificaat indien u er nog niet over beschikt. Neem hiervoor contact op met één van onze vertegenwoordigers.
Onder de nieuwe wetgeving hebben betrokkenen het recht op inzage, correctie, verwijdering en dataportabiliteit van hun gegevens.
Aan de rechten op inzage en correctie kunt u simpelweg voldoen door uw klant letterlijk mee te laten kijken in de software en gewenste aanpassingen ter plekke door te voeren. Nog simpeler wordt het met onze klantportaal module, waardoor uw klanten zelf, op ieder gewenst moment en op iedere gewenste plek, toegang hebben tot hun gegevens en deze naar eigen wens aan kunnen passen. Of deze oplossing ook voor u beschikbaar is, is afhankelijk van welke applicatie u in gebruik heeft. Neem hiervoor contact op met één van onze vertegenwoordigers; zij vertellen u daar graag meer over.
Aan het recht op verwijdering van data kunt u heel gemakkelijk voldoen middels onze aanpassingen in de software waardoor u de mogelijkheid krijgt om persoonsgegevens te anonimiseren, zoals we hierboven al bespraken.
Voor het recht op dataportabiliteit geldt dat u de mogelijkheid moet hebben om persoonsgegevens in een gangbaar “machineleesbaar” format aan te kunnen leveren. In onze software doet u dit nu al eenvoudig met een export van de betreffende persoonsgegevens, zodat deze in, bijvoorbeeld, een .csv of .xls(x) format kunnen worden aangeleverd. Wij helpen u hier uiteraard graag bij wanneer u hierover vragen heeft.
Privacy by default
Met privacy by default, ook wel Gegevensbescherming als standaard bedoelen we dat, in alle toepassingen waar een keuze gemaakt moet worden om optioneel gegevens te delen, te tonen of beschikbaar te stellen voor verwerking, de standaard instellingen alléén om persoonsgegevens vragen die noodzakelijk zijn voor het specifieke doel van de verwerking. Extra keuzes of data kunnen vervolgens alléén door een actieve ingreep van de persoon die toestemming geeft, toegevoegd worden.
Ook in onze software is privacy de standaard. Dit betekent onder andere dat klanten niet standaard worden ingeschreven voor de nieuwsbrief, dat het vinkje ‘akkoord met algemene voorwaarden’ niet standaard is ingevuld en dat verkopers niet namens de eindklant additionele gegevens invullen die niet noodzakelijk zijn voor de uitvoering van de transactie.
Standaard dient u gewoon altijd na te denken over:
- Als het niet nodig is, verzamel en verwerk de persoonsgegevens dan niet.
- Als er wel een goede reden is, beperk de verwerkingen tot wat strikt noodzakelijk is en informeer de betrokkenen voorafgaand aan de verwerking.
Bovenstaande ingrepen zijn enkele van de belangrijkste veranderingen die wij doorvoeren in onze software zodat u de persoonsgegevens die u verwerkt met onze software straks adequaat kunt beschermen. Uiteraard kunnen wij niet alles voor u doen; wij zorgen ervoor dat u straks met software werkt die u de handgrepen geeft om de gegevens die u verwerkt te beschermen. Vervolgens dient u veelal intern ook procedures en processen aan te passen zodat u ten volle gebruik kunt maken van onze aanpassingen.
Uiteraard kunt u, bij vragen, altijd contact met ons opnemen. Wanneer u hierin interesse heeft, komen onze vertegenwoordigers graag bij u langs voor een uitgebreide informatiesessie. Wanneer u snel meer informatie wilt ontvangen, schrijf u dan nu nog in voor onze Mee met de AVG campagne! Hiermee helpen we u in uw voorbereiding voor de AVG wetgeving door het delen van nuttige tips, belangrijke informatie, tools en uiteraard nog meer informatie over de aanpassingen die wij voor u doen in onze software.