De Algemene Verordening Gegevensbescherming (AVG) zal vanaf 25 mei 2018 van toepassing zijn en nageleefd moeten worden Deze verordening zal ook door een zzp-er zoals ik nageleefd moeten worden omdat ook kleine bedrijven datalekken kunnen veroorzaken. In deze blogpost beschrijf ik welke maatregelen ik neem om de persoonsgegevens van mijn relaties te beschermen.
Welke persoonsgegevens?
Ik verwerk naam- en adresgegevens van individuen en financieel-administratieve gegevens van organisaties (zoals bankrekeningnummer en KvK-nummer), indien men deze gegevens expliciet aan mij verstrekt. Voor onderzoeksdoeleinden verwerk ik eventueel demografische gegevens. Deze gegevens kunnen in die gevallen niet herleid worden naar individuen.
Bescherming apparaten
Mijn apparaten (laptop, tablet, smartphone) zijn voorzien van een wachtwoord of code. Als ik mijn apparaten niet gebruik, kunnen derden de data op deze apparaten niet inzien aangezien zij niet beschikken over wachtwoord of code. De laptop is dichtgeklapt en de tablet/smartphone staan uit.
Ik schoon mijn mailbox jaarlijks op (eind december). Daarbij hanteer ik als richtlijnen:
– Ik bewaar mails met betrekking tot opdrachten maximaal twee jaar na afronding van het project, tenzij anders is overeengekomen met de opdrachtgever. De reden is dat opdrachtgevers geruime tijd na afronding terug kunnen komen op de inhoud van de opdracht.
– Ik bewaar nieuwsbrieven maximaal vijf jaar.
– Ik bewaar mails die relevant zijn voor mijn financiële administratie onbeperkt.
– Ik bewaar overige mails met persoonsgegevens maximaal twee jaar. In de praktijk korter. Ik voer de opschoonoperatie echter één keer per jaar uit. Ik bewaar deze mails om -indien nodig- de geschiedenis van interacties terug te kunnen lezen.
Ik bewaar mails op mijn laptop of bij een Europese hostingprovider. Op dit moment maak ik gebruik van Flexwebhosting dat gevestigd is in Eindhoven en gebruik maakt van servers die zijn ondergebracht in verschillende datacentra in de regio Amsterdam. Ik maak reservekopieën via Airport, die alleen toegankelijk is met een wachtwoord. Eventuele extra reservekopieën maak ik via een externe harde schijf die ik bewaar in een kluis.
Offertes en facturen
Ik maak gebruik van aparte programma’s voor het samenstellen van offertes en facturen. Deze programma’s worden beheerd door Nederlandse providers. De data bewaar ik zolang wetgeving dat vereist (denk aan de belastingdienst).
Weblog volgen
Mijn weblog wordt gehost door Flexwebhosting (zie hierboven). Je kunt mijn weblog op verschillende manieren volgen. Eén van de manieren is het ontvangen van bijdragen via email. Hiervoor maak ik gebruik van Feedburner. Dat is een dienst van Google. Deze mails bevatten een link waarmee gebruikers zich ook kunnen uitschrijven. Bovendien kun je ook berichten of mijn blog als geheel volgen. Deze mailadressen worden binnen mijn gehoste omgeving geregistreerd. De mailadressen van abonnees/volgers gebruik ik voor geen enkele ander doel dan het automatisch versturen van updates. Een goed alternatief voor het volgen van mijn weblog is het gebruik van een RSS-feedreader waarin je de RSS-feed van mijn blog opneemt.
In mijn privacy verklaring staat met welk doelen ik statistieken van gebruikers verwerk. Daarbij gaat het om het IP-adres.
Online formulieren
Ik maak gebruik van online formulieren, bijvoorbeeld een contactformulier. Ik gebruik meestal Typeform. De provider hiervan is gevestigd in Spanje. De data bij Typeform verwijder ik minimaal één keer per jaar. Om contact op te nemen, kun je me ook een mail sturen (wilfred[at]wilfredrubens.com).
Soms gebruik ik Google Forms bij specifieke activiteiten. Als ik Google Forms gebruik en persoonsgegevens verwerk, dan verwijder ik deze data onmiddellijk na afloop van een activiteit.
Applicaties tijdens workshops en presentaties
Tijdens workshops en presentaties gebruik ik in de regel applicaties waarbij deelnemers geen persoonsgegevens hoeven te registreren. Mocht dat wel het geval zijn dan geef ik per keer aan met welk doel ik die gegevens verwerk en op welke manier ik deze gegevens verwerk en verwijder.
Deze maatregelen vormen een aanvulling op mijn privacy verklaring en zullen daarin worden ondergebracht.
This content is published under the Attribution 3.0 Unported license.
Van mijn afdelingsmanager kreeg ik te horen dat cc-emails niet meer zijn toegestaan.
Uiteindelijk blijven er vooral veel vragen over.
Vriendelijke groet,
Waar baseert je manager zich daarbij op? Als algemene maatregel kan ik me hierbij niets voorstellen. Uiteraard moet je bij het gebruik van cc goed nadenken met welk doel je iemand insluit, met name als je mail persoonsgegevens bevat. Dat moest eigenlijk al.
Info delen zonder toestemming zou niet meer toegestaan zijn volgens haar uitleg.
En in iedere e-mail staat natuurlijk nieuwe info …..
Hoe de professionele informatie uitwisseling wel moet blijft onduidelijk.
Vriendelijke groet,
Dit heeft eerder te maken met het tegen gaan van ongevraagde reclame dan met de AVG, als je het mij vraagt.
Hoi Wilfred,
hoewel je goed op weg bent voldoet je nog niet aan alle eisen van de AVG/GDPR. Heb je al een Functionaris aangewezen binnen je bedrijf? 😉
Belangrijker omissie is dat als een externe partij voor jouw bedrijf persoonsgegevens verwerkt dan moet je daar een Data Processing Agreement (bewerkersovereenkomst) mee hebben. In dit geval dus met je hostingsbedrijf, Typeform en Google. Zie zie artikel 28, lid 3 van de AVG.
Ik ben niet verplicht zo’n functionaris aan te wijzen ;-). Ik heb het hostingbedrijf en Typeform gevraagd om een verwerkersovereenkomst. Google heeft wel een standaard overeenkomst: https://cloud.google.com/terms/data-processing-terms. Google wil ik overigens zo veel mogelijk vermijden.
die voorwaarden van Google gelden alleen als je een bedrijfsaccount (contract) hebt, niet als je gebruikt maakt van een gratis account
Dan zal ik Google niet meer gebruiken, voor zover het gaat om het verwerken van persoonsgegevens waarbij geen sprake is van een aangeboden alternatief. Ik mag Typeform en Feedburner (eigendom van Google) namelijk ook zonder verwerkersovereenkomst gebruiken. Lezers weten hoe met de gegevens wordt omgegaan en hoeven deze applicaties niet te gebruiken aangezien er ook alternatieven worden geboden.