Selecteer een pagina

Wat verandert er voor hosting en web development bedrijven?

10 augustus 2018

Aangezien bedrijven in deze sector veel te maken hebben met persoonsgegevens en het beveiligen, gaat er veel veranderen. De website moet aan meer voorwaarden voldoen, het delen van gegevens met derden partijen moet beter worden geregeld. Ook wordt er gefocust op de beveiliging van de persoonsgegevens.

 

Derden partijen

Wanneer bedrijven gegevens verwerken voor andere bedrijven noem je dat derden partijen. Met deze derden moet een bewerkersovereenkomst worden afgesloten. Deze overeenkomst bevat de volgende onderwerpen (justitia):

  • Bewerking in overeenstemming met instructies verantwoordelijke: derde mag alleen de gegevens verwerken voor de afgesproken doeleinden
  • Geheimhouding: de derde heeft geheimhoudingsplicht
  • Beveiligingsmaatregelen: welke maatregelen de derde moet treffen om de gegevens goed te beveiligen.
  • Inschakelen van derden en onderaannemers: voorwaarden voor het gebruik maken van sub verwerkers.
  • Locatie van de data: inzicht over in welke landen data wordt opgeslagen.
  • Audits: recht om te controleren of de regels worden nageleefd.
  • Aansprakelijkheid: duidelijk verdeling over wie aansprakelijk is voor de verschillende aspecten.

Deze derden moeten worden opgenomen in het privacy beleid, zodat het dataobject daar ook toezicht op heeft.

 

Websites AVG proof maken.

Aangezien hosting bedrijven websites beheren is het belangrijk dat deze aan de wetgeving voldoen.

 

Privacy beleid

In het privacy beleid moeten de volgende onderdelen aan bod komen:

  • Verwerking van gegevens: hierin wordt aangegeven welke gegevens verwerkt worden.
  • Verstrekking aan derden: hierin worden de derden partijen vernoemd.
  • Gegevens beveiliging: informeren over hoe de gegevens worden beveiligd.
  • Cookies: kleine tekstbestanden om de website gebruikersvriendelijker te maken. Daarin zijn een aantal groepen:
    • Functionele: cookie die functionele aspecten van de website ondersteunen.
    • Marketing: cookies, zoals doubleclick voor het tonen van gerichte advertenties.
    • Analytische: Google analytics is hier een goed voorbeeld van.
    • Overige: cookie zoals delen via social media.
  • Uitzetten en verwijderen van cookies: Het is netjes om de gebruikers te informeren over hoe zij de cookies kunnen uitzetten en verwijderen.
  • Vragen over privacy: dit heeft te maken met de rechten van de dataobjecten.
  • Wijziging privacy statement: hierin staat het recht om het privacy beleid te mogen wijzigen.

 

Google Analytics

Om Google Analytics privacy vriendelijk in te richten, moeten een aantal wijzigingen worden gemaakt.

Ten eerste moet er een bewerkersovereenkomst worden afgesloten, google heeft hier een template voor. In het script van Google Analytics moet een kleine aanpassing worden gemaakt. Deze aanpassing zorgt ervoor dat niet het volledige IP-adres opgeslagen wordt. Door deze aanpassing valt niet te achterhalen wie de persoon is. Voor de rest moeten er een aantal optie worden uitgevinkt.

 

Cookiemelding

In de nieuwe wetgeving worden cookies opgedeeld in twee groepen.

  1. Functionele cookies en analystische cookies
  2. Tracking cookies
    • Sociale media
    • Marketing

Voor de eerste groep is vermelden niet nodig, mits en analytische applicatie privacy vriendelijk zijn ingesteld. Wel moet er een privacy beleid aanwezig zijn. Wanneer een website tracking cookies bevat, is vermelden verplicht. Dat wil zeggen dat een cookiemelding voldoende is, de melding hoeft niet geaccepteerd te worden. In het privacy beleid moet wel staan beschreven moet de cookies uitgeschakeld moet worden. Een gebruiksvriendelijke optie is de gebruiker de optie geven in de cookiemelding of de tracking cookies aan mogen staan (zie bijlage C voor een Mock-up). Als de gebruiker dit niet accepteert, moet het op de website worden uitgeschakeld. Als daarvoor gekozen wordt, moet de website nog volledig functioneren. Kortom het dwingen tot akkoord gaan, mag niet meer (cookie Walls).

 

Nieuwsbrief

Wat vaak wordt gedaan bij het aanmaken van een account, is dat je automatisch toestemming geeft voor het ontvangen van de nieuwsbrief wanneer de algemene voorwaarden wordt geaccepteerd. Dit mag niet meer, algemene voorwaarden accepteren en toestemming geven voor nieuwsbrief ontvangen moet gescheiden zijn. Daarnaast moet een gebruiker zich op een makkelijke manier kunnen uitschrijven. In de database moet zichtbaar dat iemand toestemming heeft gegeven en wanneer. Ook de optie automatisch aanvinken van de optie ‘ik wil de nieuwsbrief ontvangen’ mag niet meer.

 

Privacy impact assessment (PIA)

Bij het uitvoeren van nieuwe projecten moet de functionaris van gegevensbescherming een PIA-assessment uitvoeren. Dit is een analyse van de beveiliging van de gegevens die verwerkt gaan worden. In andere woorden is het een risicoanalyse dat voor een project uitgevoerd wordt, bij de analyse wordt gefocust op persoonsgegevens. Het assessment bestaat uit drie onderdelen:

  • De weg van de gegevens: het moet duidelijk zijn welk pad de gegevens afleggen. Van bijvoorbeeld van een theater naar een ticketing maatschappij
  • Gegevensverzameling levenscyclus: zijn de gegevens nodig om op te slaan. Is het in de toekomst nodig?
  • Data categoriseren: in kaart brengen welke gegevens essentieel zijn, vertrouwelijk, gevoelig en welke publiek. Hierbij komen de volgende punten aan bod:
    • Collectie: wat is de categorie en oorsprong van de gegevens?
    • Opslag: hoe worden de gegevens opgeslagen?
    • Delen: hoe wordt het gedeeld? Zowel intern als extern.
    • Duur: hoe lang worden de gegevens bewaard?
    • Locatie: waar wordt het opgeslagen?
    • Verantwoordelijk: wie is verantwoordelijk?

 

Beveiliging

De beveiliging van de gegevens kunnen onderverdeeld worden in vier onderdelen:

  • Vertrouwelijkheid: anonimiseren en beveiligen van de gegevens
  • Integriteit: onderhouden, volledigheid en juistheid van de gegevens.
  • Beschikbaarheid: Gegevens moet beschikbaar zijn
  • Toerekenbaarheid: Bedrijven moet kunnen aantonen dat ze toestemming hebben van de dataobjecten.

Artikel 32 Protectie van de gegevens richt zicht op: ISO27002.

 

Vertrouwelijkheid

In het opslaan van gegevens wordt onderscheidt gemaakt in gegevens in de doorvoer en gegevens die nauwelijks gebruikt worden. Voor gegevens in de doorvoer is TLS een goede encryptie, gegevens die nauwelijks gebruikt worden is AES256 een goede encryptie.

 

Integriteit

Voor het onderhouden van de gegevens is het handig om een inventarislijst te maken van alle hardware en software. Aan de hand hiervan kunnen regelmatig kwestbaarheidstesten worden uitgevoerd.

  • Monitoren
  • Personeel trainen en informeren over gegevens beveiliging.

 

Beschikbaarheid

Bij een incident moet de beschikbaarheid van de persoonsgegevens worden gewaarborgd. Een back-up is dus van belang. Om de beschikbaarheid van de data te meten is monitoring een hulpmiddel.

 

Conclusie

Met derde partij moeten afspraken gemaakt worden over het verwerken van de gegevens, dit zorgt ervoor dat gegevens niet zonder dat het dataobject het weet worden gedeeld. Daarnaast moet de website aan meer voorwaarden voldoen. Het privacy beleid moet meer inzicht geven over wat er met de persoonsgegevens gebeurd, het gebruik van cookies moet worden vermeld en handig is om Google Analytics gebruikersvriendelijk in te richten. Bij elke nieuw project moet een risicoanalyse gedaan worden genaamd een privacy impact assessment. Ook de beveiliging is belangrijk, de gegevens moet goed encrypt zijn, juist, volledig en altijd een back-up beschikbaar.