Jump to content
Mathias@evelo

Zijn jullie bezig met de AVG / GDPR regelgeving?

Recommended Posts

Met behulp van de vragenlijst/generator op https://veiliginternetten.nl, heb ik mijn privacy-verklaring kunnen maken. Wellicht handig voor ZP-ers die geen complexe systemen draaien voor klantcontact.

 

Ter inspiratie bijgevoegd mijn Privacy Verklaring: [mod edit: geen links naar eigen sites in topics aub, hoe ongetwijfeld goed bedoeld dan ook ]

Feel free to copy and paste :-)


De Elevator Pitch Coach/Trainer

Pitch Coach/Trainer en Sprekers Coach/Trainer

Public Speaker/Gast Spreker

Share this post


Link to post
Share on other sites

Zie ook de digitale 'regelhulp' Regelhulp Algemene verordening gegevensbescherming van de Autoriteit Persoonsgegevens.

 

Beantwoord de meerkeuze vragen en je weet wat je (nog) moet doen, of je een functionaris gegevensbescherming nodig hebt, enz. en.


Met vriendelijke groet,

mr. Monique Doomernik

UwJurist.nl-Contracten en Voorwaarden-Arbeidsrecht-Huurrecht-Franchiserecht

Share this post


Link to post
Share on other sites

Ik ben bezig met het opstellen van een verwerkingsregister. Nu is mijn vraag hoe gedetailleerd moet dit worden? Als ik kijk op de website van Coolblue (https://www.coolblue.nl/klantenservice/23/informatie-over/bescherming-persoonsgegevens.html) hebben zij een privacy statement waar in grote lijnen beschreven hoe zij persoonsgegevens gebruiken. Is dit verfijnd genoeg? Zij beschrijven bijvoorbeeld "verbetering" als doel waarvoor zij de gegevens gebruiken. Het lijkt me ook vreemd dat zij tot in het kleinste detail moeten vrijgeven hoe zij hun bedrijf voeren?!

 

Hoe kijken jullie hiernaar?

Share this post


Link to post
Share on other sites

Ik ben bezig met het opstellen van een verwerkingsregister. Nu is mijn vraag hoe gedetailleerd moet dit worden? Als ik kijk op de website van Coolbluehebben zij een privacy statement waar in grote lijnen beschreven hoe zij persoonsgegevens gebruiken. Is dit verfijnd genoeg? Zij beschrijven bijvoorbeeld "verbetering" als doel waarvoor zij de gegevens gebruiken. Het lijkt me ook vreemd dat zij tot in het kleinste detail moeten vrijgeven hoe zij hun bedrijf voeren?!

 

Hoe kijken jullie hiernaar?

 

Je haalt nu 2 dingen door elkaar: het privacystatement en het verwerkingregister zijn 2 verschillende documenten met verschillende doelen.

 

het privacy statement is een document bedoeld voor extern gebruik, en hoef alleen grote lijnen te bevatten.

 

Het verwerkingsregister is een intern document, en bevat alle informatie die het moet bevatten , tot op het kleinste detail indien en waar nodig.

Dit document en daarmee je bedrijfsvoering hoef je niet vrij te geven aan derden: alleen bevoegde personen van het bedrijf zelf en de Autoriteit Persoonsgegevens hebben er toegang toe.

 

Is dit verfijnd genoeg?

Nee, maar dit is ook geen verwerkingsregister.

Dit is alleen informatie over het soort data en het gebruik. Het verwerkingsregister is veel verfijnder en uitgebreider en omvat o.a. info over wie is bevoegd tot inzage en muteren, hoe is de beveiliging geregeld, hoe lang wordt de informatie bewaard etc etc.

 

ICTR-factsheet-Het-register-van-verwerkingen-van-persoonsgegevens.pdf


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Hoi Norbert,

 

Dank voor de informatie. Je geeft aan dat het verwerkingsregister een intern document betreft, echter volgens mij hoort de betrokkene daar ook bij als ik pagina 76 van de Handleiding AVG mag geloven. Op deze pagina staat:

 

Het overzicht dat u biedt aan de betrokkene moet tenminste de volgende informatie bevatten:

• de doelen waarvoor u de gegevens verwerkt;

• de categorieën persoonsgegevens die u van de betrokkene verwerkt;

• de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of worden doorgegeven,

met name ontvangers in derde landen of internationale organisaties;

• indien mogelijk hoe lang u de gegevens bewaart, of indien dat niet mogelijk is, de criteria om de

bewaartermijn te bepalen;

• het op recht op wijziging, verwijdering, beperking of bezwaar;

• het recht om een klacht in te dienen bij de toezichthouder;

• wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over

de bron van die gegevens; en

• het bestaan van geautomatiseerde besluitvorming waaronder profilering, en indien dit het geval is,

nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die

verwerking voor de betrokkene.

 

Dit leest voor mij alsof dit een dump is uit het verwerkingsregister ???

 

 

 

Share this post


Link to post
Share on other sites
Je geeft aan dat het verwerkingsregister een intern document betreft, echter volgens mij hoort de betrokkene daar ook bij als ik pagina 76 van de Handleiding AVG mag geloven

Nee, het verwerkingsregister is niet bestemd of bedoeld voor de klant. Lees anders eens de toelichting van ICT recht (die zowel als bijlage als als link is toegevoegd aan mijn vorige reactie)

 

Dit leest voor mij alsof dit een dump is uit het verwerkingsregister

Dat is het niet: ik zie info die niet in een verwerkingsregister thuishoort, en ontbrekende info die daar wel in thuishoort. Laat je niet op het verkeerde been zetten doordat beide documenten een zelfde kern hebben: namelijk het beschrijven van welke gegevens worden verwerkt of opgeslagen, voor welk doel en hoe lang.

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Feitelijk zijn er dus drie lagen van algemeen naar gedetailleerd: privacy statement, recht van inzage en verwerkingsregister.

 

Toch nog maar weer eens opnieuw lezen.

 

Dank zover Norbert!

 

Share this post


Link to post
Share on other sites

Gisteren een boeiende discussie gehad.

 

Je wordt inmiddels van alle kanten bestookt met stappenplannen (de consultancy business draait op volle toeren) en in zo'n plan las ik dat het versturen van persoonsgegevens via een beveiligde e-mailverbinding niet voldoet. Dat zou altijd via encrypted e-mail moeten gebeuren.

 

Als dat klopt, dan zou ik, wanneer ik bijvoorbeeld een bestelling via e-mail binnenkrijg (met o.a. naam en adresgegevens), niet eenvoudigweg die e-mail mogen beantwoorden als bevestiging van de bestelling. Dat zou alleen mogen wanneer zowel ik als de klant gebruik maken van encrypted e-mail en dan moet ik - telefonisch? - de hiervoor benodigde code(s) aan de klant doorgeven. Of ik moet de bestelbevestiging in een beveiligde pdf mailen, maar ook hiervoor moet dan een code gecommuniceerd worden waarmee de klant die pdf kan openen.

 

Dit lijkt mij onwerkbaar en kan m.i. niet de bedoeling zijn van de wetgeving. Maar ondertussen staat het er wel en worden organisaties uitgenodigd om advies over en ondersteuning bij de hiervoor benodigde secure e-mail implementatie te ontvangen.

 

Persoonsgegevens alleen mailen via encrypted e-mail, feit of fabel?

 

Share this post


Link to post
Share on other sites

Je wordt inmiddels van alle kanten bestookt met stappenplannen (de consultancy business draait op volle toeren) en in zo'n plan las ik dat het versturen van persoonsgegevens via een beveiligde e-mailverbinding niet voldoet. Dat zou altijd via encrypted e-mail moeten gebeuren.

Fear, Uncertainty Doubt marketing werkt altijd ;)

 

Volgens mij valt het wel mee allemaal. Zolang je de basis gegevens (naam en adres) die je minimaal nodig hebt om de bestelling te verwerken vraagt én de klant (met een vinkje) bij het bestellen al toestemming gaf kun je die gegevens zonder encryptie heen en weer mailen.

Vraag je 'bijzondere' gegevens dan moet het denk ik wel encrypted verzonden worden.

 

Overigens hebben alle 'standaard' programma's (Gmail, Whatsapp enz) al prima encryptie.

Maar als je zelf een mailscript in elkaar geknutseld hebt op een brakke server dan moet je er mee aan de slag (is niet meer dan logisch denk ik).

 

Het belangrijkste is dat je aan jouw kant alles in orde hebt. Wat voor mail programma's de klant gebruikt lijkt me niet jouw verantwoording. Codes heen en weer gaan bellen lijkt mij zwaar overdreven.


Nooit had ik het oude tuinhuis moeten verlaten

Share this post


Link to post
Share on other sites

Zolang je de basis gegevens (naam en adres) die je minimaal nodig hebt om de bestelling te verwerken vraagt én de klant (met een vinkje) bij het bestellen al toestemming gaf kun je die gegevens zonder encryptie heen en weer mailen.

Via een bestelformulier op een website is zo'n vinkje prima te regelen, maar bij een (aan)vraag via e-mail geeft de klant nergens toestemming voor. Maar het lijkt mij pragmatisch om aan te nemen dat wanneer de klant een aantal basis gegevens mailt, dat deze er geen probleem mee heeft dat je die terugmailt. Maar ja, aannames ...

Share this post


Link to post
Share on other sites

Er wordt weer een heel bos opgetuigd waardoor je bomen niet meer ziet.

 

Plan hier schrijven, dit schriftelijk vastleggen, verantwoordelijke aanwijzen (hé, dat ben ikzelf in mijn eenmansfabriek)... De consultants zullen er wel weer een leuke kluif aan hebben om dit in grote(re) organisaties uitgelegd te krijgen, in te voeren en te begeleiden.

 

Persoonsgegevens zijn waardevol en verdienen het beschermd te worden, maar of de creatie van deze papieren werkelijkheid daar aan bijdraagt?

Share this post


Link to post
Share on other sites

Hoi John,

 

Ik kan het even zo snel niet vinden, maar volgens mij staat in de regeling dat je die inspanningen moet doen die redelijkerwijs van jou als organisatie te verwachten zijn. Zoals jij het beschrijft is het inderdaad geen doen, dus is de beveiliging die jij voorstelt redelijk.

 

E-mail is sowieso een interessant onderwerp op dit gebied. Het is een onbenoemd document, waar verschillende informatie samen kan komen. Bepaalde informatie kan worden opgeslagen in gestructureerde systemen, voor andere informatie blijf je liever de e-mail gebruiken.

 

Bij onze bank mogen ze nog maximaal 1 maand mail bewaren. De rest moet in de overige systemen worden verwerkt. Laat daar nu juist geen plek zijn voor die dingen die er echt toe doen. Ik denk dat daar zakelijk nog wel een lelijke zeperds uit voort kunnen komen.

 

Jammer dat de regeling niet voorziet in de verantwoordelijkheid van de betrokkene. Hoe gaat een particulier om met mijn persoonsgegevens? Zeker zolang de wachtwoorden het niveau van namen, geboortedata, etc. niet ontstijgen?

 

Veel succes de verdere implementatie!

 

Peter

 

 

Share this post


Link to post
Share on other sites
de consultancy business draait op volle toeren

Niet alleen de consultancy business.

Ook de congres-, coach- en trainers business pikt een graantje mee.

 

Kreeg net een uitnodiging via Emerce voor een "dagje gdpr" voor 'slechts' €785,00. :'(

 

Terwijl echt alles wat je moet weten gratis te lezen valt in de twee documenten die Norbert heeft aangegeven. En mocht je nog vragen hebben kun je hier op HL kosteloos consult krijgen.


Nooit had ik het oude tuinhuis moeten verlaten

Share this post


Link to post
Share on other sites

Ons bedrijf voert periodiek onderhoudsklussen uit bij mensen thuis . Hebben dus naam, adres etc nodig voor versturen van factuur en ook e-mail adres voor eventuele correspondentie. Zijn dus allemaal persoonsgegevens die wij nodig hebben. Moeten wij daar nu expliciet toestemming voor gaan vragen? Mogen wij de gegevens dan voor eigen administratie bewaren voor als klant weer belt voor onderhoud?

Kan iemand mij hier over berichten?

BvD

Share this post


Link to post
Share on other sites

Afgelopen dagen ingelezen in deze nieuwe wet. Lijkt veel extra papierwerk te gaan opleveren......

 

Mijn vraag is echter als volgt. Wij zijn o.a reseller van een hostingbedrijf. Dat wil zeggen dat wij servers huren bij een hostingbedrijf tegen een x tarief en dat wij de website en mail van onze klanten hierop plaatsen (met een leuke marge). De klant heeft in principe dus geen weet van het feit dat wij reseller zijn.

 

Ik begrijp nu dat wij met onze klanten en het hostingbedrijf een verwerkersovereenkomst moeten aangaan?

 

Hoe zit het echter tussen onze klant en het hostingbedrijf waar wij reseller van zijn? Moet onze klant ook een verwerkersovereenkomst met het betreffende hostingbedrijf aangaan? Dit zou namelijk betekenen dat het hele 'reseller' gebeuren de nek omgedraaid gaat worden......

 

 

Share this post


Link to post
Share on other sites
Moet onze klant ook een verwerkersovereenkomst met het betreffende hostingbedrijf aangaan?

 

Dat is een optie als je jouw klant (bijvoorbeeld een webwinkel) als verwerkingsverantwoordelijke ziet van hun klantgegevens: jij bent dan een verwerker en jouw hoster is jouw subverwerker.

 

Maar dat hoeft niet: je kunt het ook als 2 losse schakels zien met afzonderlijke verwerkingsverantwoordelijken en verwerkers. In dat geval zijn er ook 2 losse verwerkersovereenkomsten

 

Het leuke ( :'() is: de AVG kent de rol van "subverwerker" eigenlijk niet, maar beschrijft ook niet of nauwelijke hoe ketens van meerdere verwerkers zich onderling zouden moeten verhouden. Vooralsnog een kwestie van "zoek het zelf maar uit" dus, of je moet je ergens inschrijven voor een "dagje gdpr". Dat schijnt oa bij/via Emerce te kunnen....

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Moet onze klant ook een verwerkersovereenkomst met het betreffende hostingbedrijf aangaan?

 

Maar dat hoeft niet: je kunt het ook als 2 losse schakels zien met afzonderlijke verwerkingsverantwoordelijken en verwerkers. In dat geval zijn er ook 2 losse verwerkersovereenkomsten

 

 

Met 'losse' verwerkersovereenkomsten bedoel je 'onze klant met ons' en 'wij met het hostingbedrijf' ?

 

Share this post


Link to post
Share on other sites
Personen waarvan je de gegevens verwerkt hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderen.

 

Hoe moeten deze gegevens ingezien / aangepast kunnen worden? Bijvoorbeeld in een webshop heb je de keuze om een account aan te maken of direct af te rekenen. Voor diegenen met een account zijn deze gegevens goed inzichtelijk te maken en ook het aanpassen en verwijderen kunnen ze makkelijk zelf doen.

 

Maar hoe ga je om met personen zonder een account? Is het verstrekken / aanpassen of verwijderen van deze gegevens (bijvoorbeeld op verzoek via email, uiteraard hetzelfde adres dat ook in je systeem staat) voldoende?

Share this post


Link to post
Share on other sites

Ik ben me ook gaan inlezen in de AVG. Ik dacht eerst dat deze niet voor mij zou gelden, maar nu 25 mei nadert, ga ik mij daar onzekerder over voelen. Ik heb al diverse sites doorgespit, inclusief het dossier AVG, maar het probleem is dat mijn situatie daarin niet genoemd wordt.

Ik heb een groot forum, en dat is mijn bedrijf. Ik verkoop advertentieruimte aan andere bedrijven, zij mogen adverteren op het forum. De omzet is te weinig om het een echt bedrijf te noemen, het dekt de kosten, maar omdat mijn klanten bedrijven zijn, waaronder buitenlandse (EU) moet ik voor de belastingdienst een bedrijf zijn.

Maar... een forum is dus één grote berg gebruikersgegevens. De software (phpBB) houdt automatisch IP-adressen bij, en een werkend e-mailadres is verplicht bij aanmelding. Ik vraag geen NAW gegevens, maar mensen delen die wel eens via het forum, hoezeer ik ook afraad om dat te doen. Erger nog, mensen bespreken er medische zaken, eigen medische diagnoses, politieke voorkeuren etc.

Ik verkoop die specifieke gegevens niet aan derden, maar iedereen kan lid worden en die gegevens lezen. Bezoekersgegevens houd ik wel bij in Piwik/Matomo, maar ik plaats geen tracking cookies.

Leden kunnen ieder eigen bericht aanpassen of de inhoud verwijderen, hun e-mailadres/avatar/profielgegevens wijzigen. Vanwege het karakter van het forum staan we echter geen wijzing van de forumnaam toe, tenzij daar zwaarwegende redenen voor zijn.

Maar het is voor mij niet wenselijk, wanneer een lid daar om vraagt, om al zijn berichten te verwijderen. Dat komt de leesbaarheid van forumthreads namelijk niet ten goede. En onder de oude situatie was ik daar ook niet toe verplicht (nogmaals, leden kunnen zelf hun eigen berichten verwijderen, maar zullen dat dus handmatig zelf moeten doen).

 

Ik zie door de bomen het bos niet meer. Betekent deze regelgeving het einde van mijn forum? Van alle fora?

Share this post


Link to post
Share on other sites

Ik ben me ook gaan inlezen in de AVG. Ik dacht eerst dat deze niet voor mij zou gelden, maar nu 25 mei nadert, ga ik mij daar onzekerder over voelen. Ik heb al diverse sites doorgespit, inclusief het dossier AVG, maar het probleem is dat

...

 

 

Ik zie door de bomen het bos niet meer. Betekent deze regelgeving het einde van mijn forum? Van alle fora?

 

GDPR en de impact op Fora

New GDPR (General Data Protection Regulation) and phpBB

Het betekend zeker niet het einde, andere mensen zijn hier ook mee bezig maar dan moet je wel in de phpbb community zoeken.

 

Sowieso, als je echt niet geïnteresseerd bent in de gegevens en puur (zoals het klinkt) een community functie biedt gefinancierd met wat advertenties dan heb je echt helemaal niets om bang voor te zijn en ben je zo klaar. Je moet wel even eerst op adem komen ;)

 

Share this post


Link to post
Share on other sites

Maar... een forum is dus één grote berg gebruikersgegevens. De software (phpBB) houdt automatisch IP-adressen bij, en een werkend e-mailadres is verplicht bij aanmelding. Ik vraag geen NAW gegevens, maar mensen delen die wel eens via het forum, hoezeer ik ook afraad om dat te doen. Erger nog, mensen bespreken er medische zaken, eigen medische diagnoses, politieke voorkeuren etc.

 

Ik help als Moderator op een internationaal community forum dat phpBB3 gebruikt. Het forum wordt voor en door de leden gebruikt voor technische ondersteuning. Wij krijgen wel eens verzoeken om accounts + berichten te verwijderen. In principe verwijderen we geen berichten omdat dan de discussies onleesbaar worden. Wel vragen we degene die hun account verwijderd wil hebben om de berichten met persoonlijke informatie te rapporteren. Vervolgens verwijderen wij daar de persoonlijke informatie uit en anonymiseren wij daarna het forum account (zetten het account uit, veranderen de forumnaam in iets als guest123123, verwijderen email adres/ signatuur etc).

 

Voor sommige webapplicaties zijn al "remove account" uitbreidingen beschikbaar.

Misschien ook voor phpBB3? Zie de beschikbare uitbreidingen/modificaties op https://www.phpbb.com/customise/

Of vraag op https://www.phpbb.com/community/

 

Ik zie door de bomen het bos niet meer. Betekent deze regelgeving het einde van mijn forum? Van alle fora?

 

Ik zou beginnen met de volgende dingen:

1. Inventariseer je verwerkingsactiviteiten (welke persoonlijke gegevens je verzamelt, met welk doel, hoe lang je het bewaart, wie de verwerkers zijn (hosting bedrijf,. accountant)). Je kunt dit gewoon in een spreadsheet doen.

2. Maak een overzicht met de technische en organisatorische maatregelen die je neemt om die gegevens te beschermen.

3. Zorg voor een verwerkersovereenkomst met partijen die de gegevens verwerken of bij de persoonlijke gegevens kunnen (bijv hosting bedrijf, accountant)

4. Zorg voor een privacy verklaring op je website.

Via https://veiliginternetten.nl/privacyverklaring/ kun je een basis daarvoor genereren.

 

Als je die zaken hebt gedaan, wordt het bos vast al wat overzichtelijker :)

 


Peter Martin

https://db8.nl - Joomla specialist db8 Nijmegen

https://data2.eu/nl/ - Verwerkingsregister voor AVG / GDPR

Share this post


Link to post
Share on other sites

Is de site Ready GDPR van nut?

Lijkt ook onderdeel van de op gang gekomen acquisitie-machine:

 

Indien u besluit tot het aangaan van een van onze voordelige abonnementen ...

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • On this forum all subjects are discussed related to entrepreneurship.

    Growing together with other entrepreneurs

    ✓     Ask your entrepreneur questions

    ✓     Share your answers

    ✓     Low profile

    ✓     Transparant

    ✓     At your convenience

    ✓     Always based on relevance, substance and expertise

    Bring your business plan to a higher level!

×

Cookies on HigherLevel.nl

Cookies are necessary for Higherlevel.nl to function properly. By using HigherLevel.nl you declare to have read and accepted our terms and conditions.

 More information   I accept