Algemene verordening gegevensbescherming (AVG)

Vanaf 25 mei 2018 zal in de hele EU de Algemene verordening gegevensbescherming (AVG) van toepassing zijn. Deze wet vervangt de Wet bescherming persoonsgegevens (Wbp).

Yuluma B.V. heeft hierin drie rollen, te weten:

  • Verantwoordelijke
  • Verwerker
  • Subverwerker

 

Rollen toegelicht

Verantwoordelijke

Indien een persoon communiceert of zaken doet met Yuluma dan valt dat contact onder de AVG. Bijvoorbeeld: Mevrouw Jansen bezoekt de website, bekijkt een aantal blogs en vult en verzend het contactformulier. Op dat moment legt Yuluma persoonsgegevens van Mevrouw Jansen vast zoals haar IP adres en de gegevens die zij invult in het contactformulier. Wij zijn verantwoordelijk voor de verwerking en opslag van haar gegevens. Een concreter voorbeeld is Meneer Smit die klant bij ons is. Van Meneer Smit hebben wij op diverse plekken persoonsgegevens opgeslagen om onze diensten te kunnen verlenen, zijn domeinnamen te registreren, zijn mailboxen te beheren en hem een factuur te kunnen versturen.

Verwerker

Voor onze relaties beheren wij hun webshop met daarin de persoonsgegevens van hun klanten en bezoekers. Wij verwerken die gegevens voor onze relaties en zijn hiermee de ‘Verwerker’. Lees hier verder.

Subverwerker

Om aan de wensen van onze relaties te voldoen krijgen wij soms via hen toegang tot systemen van derden (partners) of huisvesten wij (tijdelijk) persoonsgegevens voor derde partijen en/of partners. Hiermee zijn wij de ‘Subverwerker’.

 

Bewustwording

Yuluma is van mening dat Privacy belangrijk is en is het eens met het standpunt dat er bewustwording moet zijn onder consumenten over dit onderwerp. Daarnaast is het voor het bereiken van het met de AVG beoogde doel van belang dat ook de organisatie van Yuluma zelf en haar omliggende (partner)netwerk bewustwording is van het belang van Privacy.

Yuluma werkt daarom met een zogenaamd ‘Privacy jaarplan’ welke voorziet in de volgende onderdelen:

  1. Huidige situatie en nieuwe ontwikkelingen
    Wat hebben we al bereikt, welke ontwikkelingen zijn er en wat krijgt onze aandacht komende tijd
  2. Programma
    Wanneer gaat het gebeuren, hoe zorgen we dat we bewust zijn van het belang van Privacy en hoe controleren we onszelf
  3. Activiteitenplanning
    Wat moet er nog precies gebeuren, wanneer gaan die dingen uitgevoerd worden, wat gaan we wanneer communiceren en hoe controleren we onszelf

 

Rechten van betrokkenen

We hebben een uitgebreide Privacy statement waarin we in zo helder mogelijke taal uitleggen wat we vastleggen en met welk doel. Hierin staan uw rechten duidelijk vermeld.

 

Overzicht van verwerkingen

Onder de AVG heeft Yuluma B.V. een verantwoordingsplicht hoe wij uw persoonsgegevens verwerken. Wij houden dit bij in ons verwerkingsregister. Dit verwerkingsregister ligt ter inzage op ons kantoor voor u klaar.

 

Privacy by design & Privacy by default

Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd.

Het concept van Privacy by Default verplicht organisaties om in dit soort situaties de privacy van hun gebruikers te beschermen door de instellingen en functies van de producten of diensten standaard (by default) op de meest privacyvriendelijke stand te zetten. Dit betekent dat er, indien mogelijk, om toestemming wordt gevraagd voordat persoonsgegevens gedeeld worden en dat er zo min mogelijk persoonsgegevens worden gevraagd en verwerkt. Daarom is Privacy by Default dan ook een onderdeel van Privacy by Design.

Yuluma B.V. past Privacy by design en Privacy by default toe. De gegevens die wij vragen om onze diensten te kunnen verlenen zijn de gegevens die wij minimaal nodig hebben om deze diensten te kunnen verlenen omdat die gegevens noodzakelijk zijn voor de uitvoering van de diensten.

Waar mogelijk voeren we deze twee onderdelen ook door in de door ons geleverde diensten zover de ontwikkelaars van de door ons gebruikte software / systemen dit mogelijk maken.

 

Meldplicht datalekken

Yuluma B.V. houdt een register bij van datalekken welke geconstateerd zijn. Op het moment van schrijven is dit register leeg omdat er de laatste jaren geen datalekken zijn geconstateerd. Indien er een datalek plaats zal vinden zal Yuluma B.V. dit melden bij de Autoriteit Persoonsgegevens en bepalen of het noodzakelijk is dit lek ook te melden aan de getroffen personen.

Indien er in de door Yuluma B.V. gebruikte software of bij externe leveranciers bij ons een datalek gemeld wordt zullen wij dit doorgeven aan onze relaties zodat zij op de hoogte zijn van dit datalek.

Verwerkersovereenkomsten

Met onze relaties sluiten wij een verwerkersovereenkomst welke is opgesteld door het ICT Waarborg in samenwerking met ICT Recht. In deze verwerkersovereenkomst wordt vastgelegd welke gegevens wij verwerken voor onze relaties. In onze samenwerking met onze partners zullen wij werken met subverwerkersovereenkomsten en/of Verantwoordelijke overeenkomsten. Deze overeenkomsten liggen tevens ter inzage klaar voor u op ons kantoor.

Verwerker

Yuluma B.V. doet er alles aan om de beveiliging van de door haar verwerkte gegevens te waarborgen. Dit is wat jij zelf kunt doen als winkelier:

Maak je login veilig!
Zorg dat je een gebruikersnaam en wachtwoord hebt die niet eenvoudig zijn en niet te relateren aan informatie die iemand ook online kan vinden. Als je bedrijf ‘de Fietsenwinkel’ draagt dan is het niet slim om als gebruikersnaam ‘defietsenwinkel’ te gebruiken. Het spreekt voor zicht dat algemene gebruikersnamen zoals admin, administrator, beheer, info etc etc ook niet veilig zijn.

Kies een veilig wachtwoord van ten minste 14 tekens of langer. Dit zorgt ervoor dat een computer je wachtwoord niet zomaar kan raden door het afgaan van alle opties (meest gebruikte manier van geautomatiseerd hacken!).

Kies voor twee-weg authenticatie. Hiermee heb je naast je gebruikersnaam en wachtwoord ook nog een code nodig van je mobiele telefoon. Als een hacker je gegevens achterhaald dan kunnen ze alsnog niet inloggen zonder dat ze je mobiele telefoon in bezit hebben. Dit sluit in veel gevallen de mogelijkheid tot hacken uit. Vraag vandaag nog twee-weg authenticatie aan via support@yuluma.com

Werk met rollen en rechten
Zorg dat iedereen die binnen jouw organisatie werkt met jouw webshop/site een eigen gebruikersnaam en wachtwoord heeft. Werk met rollen en rechten en geef iedereen de juiste rechten, iemand die niet bij klanten hoeft te zijn hoeft ook geen toegang te hebben tot dat onderdeel. Daarnaast kun je iemand die vertrekt eenvoudig uit het systeem verwijderen zodat diegene geen toegang meer heeft.

Wees je bewust van de risico’s
Als je op reis gaat en je wilt toch even inloggen op je webshop dan is het slim om te weten of je je op een beveiligd netwerk bevindt. Een gratis wifi op het vliegveld is niet veilig! En dat geldt ook voor internet cafe’s in bepaalde regionen. Je zult niet de eerste zijn waarbij gegevens worden buitgemaakt na een login in een internet café in het buitenland.

Zorg dat je mobiel en je PC – en andere apparaten – waarmee je werkt en inlogt op je webshop/site beveiligd zijn met een wachtwoord. 0000 is geen optie!

Wees op je hoede!
Hoewel jij misschien denkt ‘acht, wie wil nu mijn webshop hacken’ is dit een verwerpelijk standpunt. Het is mogelijk dat hackers jouw webshop enkel willen hacken om een stap verder te komen en op die manier gegevens van jouw klanten wil stelen. Behandel je webshop dus als een kluis waarin al je bedrijfsgeheimen liggen opgeslagen!

 

Waar moet ik als winkelier aan voldoen?

Stappenplan voor het AVG proof maken van jouw (web)winkel.

  1. Bewustwording
    Zorg ervoor dat relevantie mensen in je organisatie op de hoogte zijn van de nieuwe privacy regels. Volg een workshop of een informatie dag bij een van je afnemers of partners en betrek je personeel hierbij. Laat je niet afschrikken door de boetes van maximaal 20 miljoen of 4% van je omzet, maar zie het als een kans. De consument heeft de wens dat privacy serieus wordt genomen;
  2. Recht van betrokkenen
    Klanten waarvan jij persoonsgegevens verwerkt – en onder de nieuwe wet doe je dit zodra iemand je site bezoekt! – hebben privacyrechten. Bij iedere vorm waarbij een gegeven ontvangt welke te herleiden is tot een persoon gaat het om persoonsgegevens, dus ook een e-mailadres. Deze personen hebben recht op inzage, correctie en verwijdering maar ook dataportabiliteit. Ze kunnen een klacht indienen bij de Autoriteit Persoonsgegevens en die moet die klant altijd in behandeling nemen;
  3. Overzicht van verwerking
    Breng in kaart waar je allemaal persoonsgegevens opslaat. Is dat alleen in je webshop/site of ook in het kassasysteem? Zijn er nog andere plekken waar je dit opslaat, denk ook aan backups. Onder de AVG heb jij een verantwoordingsplicht wat inhoud dat je moet kunnen aantonen dat je bedrijf handelt in overeenstemming met de AVG;
  4. Meldplicht datalekken
    De meldplicht datalekken blijft van kracht. De AVG stelt wel strengere eisen aan de registratie van datalekken. Een datalek kan zijn dat je je laptop kwijt ben geraakt en er dus een vermoeden kan zijn dat iemand in is gelogd in je webshop/site of op welke manier dan ook toegang heeft gekregen tot persoonsgegevens. Ook als je direct na het kwijtraken van je laptop je wachtwoord wijzigt kun je niet zeker weten of er sprake is van een lek en is registratie verplicht. Weet je zeker dat er klantgegevens zijn gestolen of openbaar gemaakt dan is het slim om samen met de Autoriteit Persoonsgegevens te overleggen of het noodzakelijk is de personen in kwestie in te lichten;
  5. Zorg voor een verwerkersovereenkomst
    Iedere partij die namens jou, in opdracht van jou, persoonsgegevens verwerkt (zoals Yuluma B.V.) is een verwerker. Controleer of de overeenkomst met die partij voldoet aan de eisen die de AVG stelt aan een verwekersovereenkomst;
  6. Privacy statement up to date!
    Zorg voor een Privacy overeenkomst die voldoet aan de AVG;

Hier vind je meer informatie en handleidingen.