Je kon er niet naast zien, de laatste maanden: haast overal kon je lezen dat er op 25 mei 2018 een belangrijke Europese wetgeving van kracht wordt, Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Maar wat betekent deze Europese wetgeving precies voor jouw relatie met je hostingpartij? Combell zet niet alleen in op technische in-house expertise, maar heeft ook een eigen Security Team. Deze zorgt voor de compliance van Combell zelf, maar ook voor de documenten en begeleiding van klanten. Veerle Van Hecke, Compliance Manager bij Combell, heeft de voorbije maanden op vele events het GDPR-evangelie verkondigd en geeft hier tekst en uitleg bij de verschillende verantwoordelijkheden.
Veerle licht eerst even de algemene regels toe, ondertussen vermoedelijk wel gekend. “Voor de hele EU gelden straks dezelfde regels. Worden data van EU-burgers verwerkt door bedrijven buiten de EU, dan is GDPR ook van toepassing
Het begrip ‘persoonlijke data’ wordt uitgebreid met datatypes zoals IP-adressen en gevoelige data zoals gezondheidsgegevens, informatie over culturele achtergrond. De gebruiker moet expliciet toestemming geven, mag zijn gegevens inzien en eisen dat zij verwijderd worden. Wanneer de verzamelde data niet correct worden beheerd, een serieus datalek niet wordt gemeld of het bedrijf geen risico-assessment houdt, kan de boete oplopen tot 4 procent van de jaarlijkse omzet. Risico assessment is niet nodig, maar wij raden dit wel aan omdat je dan kan aantonen dat je over de risico’s hebt nagedacht.”
Nieuwe begrippen
Uitleggen hoe deze nieuwe wetgeving de relatie tussen Combell en jou beïnvloedt, is niet in 1-2-3 gezegd, vertelt Veerle. “Zowel Combell zelf als onze klanten vervullen immers beurtelings verschillende rollen, vastgelegd in deze wet. De Data Verwerkingsverantwoordelijke is de eigenaar van de data, die bepaalt welke gegevens en met welk doel deze verzameld worden. Als klant van Combell bijvoorbeeld verzamel jij naam, adres en ben jij Verwerkingsverantwoordelijke. De Data Verwerker is de entiteit waar de data opgeslagen worden, of die ze verwerkt, op een wijze die bepaald wordt door de Verwerkingsverantwoordelijke. Als klant van Combell vraag jij ons om een back-up te maken van de data van jouw gebruikers, en in dit geval is Combell de Verwerker. Indien de Verwerker aan een derde de verwerking toevertrouwt (de sub-verwerker), blijft de Verwerker verantwoordelijk voor de correcte naleving van de GDPR-wetgeving. Tot slot zijn de Data subjects de personen van wie persoonlijke informatie verwerkt wordt.”
De taak van de Data Verwerkingsverantwoordelijke
De eerste taak voor een retailer (Data Verwerkingsverantwoordelijke) is nagaan of het verwerken van de gegevens wel toegestaan is, vervolgt Veerle. “Dat wil zeggen dat het verzamelen en verwerken geschiedt omdat het kadert in de verplichtingen van een overeenkomst; je de expliciete toestemming hebt van het data subject; je zo voldoet aan een andere wettelijke verplichting, zoals de fiscale wetgeving die stelt dat je als bedrijf alle facturen tot 7 jaar moet bijhouden; het relevant is voor de persoonlijke veiligheid of gezondheid van de data-subject; het in het algemeen belang is of in jouw legitiem belang (zoals het kunnen identificeren van personen die verantwoordelijk zijn voor hacking). De tweede taak is ervoor te zorgen dat de data voldoende beschermd worden. ISO27001 is niet verplicht voor de wet, maar kan wel een goede start zijn om op een veilige manier met data om te gaan. ”
De taak van de Data Verwerker
Combell is de Verwerker van de data die jij als Verwerkingsverantwoordelijke verzameld hebt. Veerle: “Daarom behoort het tot onze taak – afhankelijk van het contract bij Combell – om onder andere logs bij te houden van data-verwerkingen die wij doen van jouw data, zoals back-ups maken; een inbreuk op jouw datasets, die zich op een door ons beheerd platform bevinden, aan jou (de Data Verwerkingsverantwoordelijke) zo snel mogelijk te melden. En nagaan of Sub-Verwerkers, derde partijen die wij inhuren voor dataverwerking, conform GDPR / AVG werken.”
Tot slot is er ook nog het feit dat Combell persoonlijke informatie beheert van jou, de klant – van de (technische) contactpersonen binnen jouw bedrijf bijvoorbeeld, zegt Veerle. “In die rol heb jij als Data Subject onderstaande rechten, en is het onze plicht als Data Verwerkingsverantwoordelijke om hierop te reageren. En wel als volgt: Je hebt het recht te eisen dat wij je gegevens wissen, bijvoorbeeld wanneer het doel waarvoor de data oorspronkelijk verzameld werden niet meer bestaat. Wij dienen niet alleen de gegevens bij ons te wissen, maar ook aan mogelijke onderaannemers te vragen dat zij ook bij hen de data wissen. Je hebt het recht om informatie over deze data te vragen, zoals hoe lang je data bewaard worden, waarom wij die verzamelen, en welke personen/organisaties toegang hebben tot jouw informatie. Je hebt het recht om, met redelijke intervallen, je data in te zien en eventueel te laten verbeteren, en je hebt het recht je gegevens naar een andere Verwerker te verhuizen. Afhankelijk van de omstandigheden zal Combell jou beveiligde toegang verlenen.”
Denk eraan: bij een data-inbreuk moet je volgens AVG / GDPR binnen de 72 uur na het ontdekken ervan aangifte doen, resumeert Veerle. “De mate waarin Combell je kan bijstaan, wordt bepaald door de technologische en organisatorische maatregelen vermeld in je servicepakket. Spreek erover met je accountmanager!”
Geef als eerste een reactie