home | sitemap

« »

GDPR

De GDPR is een Europese algemene verordening gegevensbescherming (ookwel AVG). Deze privacy verordening gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.

Voor meer informatie zie

• Autoriteit Persoonsgevens: Dossier AVG
• Handleiding Algemene verordening gegevensbescherming

NB: Onderstaande is ter informatie en ondersteuning bij de invoering van de GDPR in combinatie met het cms. U, als eigenaar van de website en daarmee volgens de GDRP de 'verwerkingsverantwoordelijke', bent zelf verantwoordelijk voor het nemen van de juiste maatregelen om te voldoen aan de GDPR.
Waar nodig en gevraagd zullen wij, als de hostingpartij en volgens de GDPR 'verwerker', u daarbij ondersteunen.

De GDPR is opgebouwd rondom zes principes:

1. Het verplicht stellen van transparantie rondom het verzamelen, analyseren en gebruiken van persoonlijke data.
   Dit houdt in dat u op de website in de algemene voorwaarden, privacy of cookie statement of uitleg bij een formulier, duidelijk aangeeft waarom de persoonsgegevens nodig zijn en hoe ze zullen worden gebruikt.
   
   
2. Het beperken van het verwerken van persoonlijke data tot specifieke, legitieme doeleinden.
   Persoonsgegevens die gevraagd worden mogen alleen voor het doel gebruikt worden waarvoor ze gevraagd zijn. Iemand die een contactformulier invult en daarbij zijn e-mailadres opgeeft en dat e-mailadres vervolgens gebruiken voor een nieuwsbrief is verboden.
   
   
3. Het beperken van het verzamelen en opslaan van persoonlijke data voor de bedoelde of benoemde doeleinden.
   Er mag niet meer aan persoonsgegevens gevraagd worden dan strikt noodzakelijk. Als voorbeeld weer het contactformulier: daarbij ook vragen naar geboortedatum is niet nodig.
   
   
4. Het in staat stellen van individuen om hun eigen persoonlijke data op te vragen en/of te laten corrigeren of verwijderen.
   Personen die gegevens hebben opgegeven hebben het recht alle obver hun opgeslagen informatie op te vragen/ in te zien, te laten corrigeren of te laten verwijderen.
   
   
5. Het beperken van het opslaan van persoonlijk identificeerbare data tot maximaal de tijdsduur die noodzakelijk is voor de van toepassing zijnde doeleinden.
   Verkregen gegevens mogen niet langer dan noodzakelijk worden opgeslagen. Voorbeeld contactformulier: stel een consument stelt een vraag en u heeft de vraag beantwoord, dan zouden de gegevens weer verwijderd kunnen worden.
   
   
6. Het verzekeren van de beveiliging van persoonlijke data met gepaste beveiligingsmaatregelen.
   

   Volgens de wet: "Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, dienen passende technische en organisatorische maatregelen getroffen te worden om een op het risico afgestemd beveiligingsniveau te waarborgen." Praktisch: afhankelijk van de gevoeligheid van de gegevens die gevraagd worden (alleen naam en telefoonummer of ook geslacht, geloofsovertuiging en IBAN?) dienen de gegevens afdoende beschermd te worden tegen ongeoorloogd gebruik.

Hieronder volgt per punt wat u kunt doen en welke mogelijkheden het cms daarbij biedt:

1) Transparantie

Via het cms kunt u zelf pagina's maken om de algemene voorwaarden, privacy en cookie statement op te nemen. Ook bij een formulier op een pagina kunt u eventueel een inleidiende tekst opnemen over waarom welke gegevens gevraagd worden.

Verschillende modules van het cms gebruiken cookies. Dit zijn uitsluitend functionele cookies waar u (vooraf) geen toestemming voor hoeft te vragen. De cookies bevatten ook geen persoonlijke gegevens.
Uitzondering hierop is de statistieken-module van het cms die een tracking-cookie gebruikt. Via Instellingen > Website-instellingen > Statistieken kunt u voor deze module het gebruik van cookies uitschakelen.

Let op: maakt u gebruik van externe diensten als Google Analytics, Hotjar, Youtube, Vimeo, etc. of plug ins voor social media, polls, forums, etc.? Deze kunnen allemaal eigen cookies plaatsen. U dient dan zelf na te gaan welke dat zijn en of u deze moet vermelden en/of toestemming dient te vragen.

2) en 3) Beperken verzamelen, verwerken en opslaan

Als u gebruik maakt van formulieren, controleer dan of er geen gegevens worden gevraagd die er niet toe doen. Hier is geen vuistregel voor te geven, gebruik gezond verstand.

Via de formulierenmodule kunt u gegevens laten opslaan in een CSV-bestand. Als de gegevens al worden doorgestuurd of gemailed, is opslaan dan nodig? Als niet, ze de optie dan uit, zo voorkomt u een wildgroei aan data(bestanden) die u moet beheren en raadplegen. Zie ook volgende punt.

4) Recht op inzage, correctie of verwijderen

Personen hebben het recht alle betreffende informatie op te vragen, te laten corrigeren of te laten verwijderen. In het verlengde van het vorige punt: des te minder/korter u opslaat, des te kleiner de kans dat u relatief veel moet regelen als een persoon een verzoek doet. Wilt u gegevens voor statistische doeleiden bewaren (bijv. bijhouden hoe vaak een formulier is ingevuld), dan kunt u in plaats van verwijderen gegevens ook anonimiseren (zodat ze niet meer tot een persoon te herleiden zijn).

Via de formulierenmodule kunt u het e.e.a. regelen:

• Inzage: als u al gegevens opslaat in een CSV bestand, dan kunt u het bestand downloaden en de regels met gegevens betreffende de persoon aan hem doen toekomen.
• Correctie: als u al gegevens opslaat in een CSV bestand, dan u kunt deze via het cms bewerken: houd de Shift-toets ingedrukt en klik op het icoontje van het CSV bestand. Er verschijnt een overzicht van alle records in het bestand die u kunt bewerken/verwijderen.
  
• Verwijderen: zie vorige punt 'Correctie'.

Bij overige modules als Shop-module, Nieuwsbrieven-module, Reactie-per-pagina-module, etc. heeft u ook de mogelijkheid alle gegevens te downloaden, aan te passen of te verwijderen.

5) Beperken tijdsduur opslag

Verkregen gegevens dienen ook niet langer opgeslagen te worden dan nodig voor het beoogde doel. Simpel voorbeeld: u heeft op de website een 'bel mij terug'-formulier. Meer dan onderwerp, naam en telefoonnummer hoeft u voor het doel niet te vragen. Als u de klant vervolgens heeft gebeld en het doel daarmee is uitgevoerd dienen de gegevens weer verwijderd te worden.

U dient zelf te bepalen welke gegevens relevant zijn voor het doel en hoe lang deze dan (na uitvoering) nog bewaard dienen te blijven.

Via de Shop-module en Formulieren-module kunt u gegevens automatisch laten verwijderen na een ingesteld periode.

• Shop-module: via Modules > Shop > Instellingen (helemaal aan het eind) kan de gewenste tijdsduur ingesteld worden. Tevens kunt u kiezen of gegevens verwijderd moeten worden of geanonimiseerd. Het betreft immers financiele informatie die mogelijk 7 jaar bewaard moet blijven (bewaartermijn volgens Belastingdienst).
• Formulieren-module: via Modules > Formulieren > Instellingen kan gewenste tijdsduur ingesteld worden voor alle formulier. Bij elk formulier kunt u eventueel apart een afwijkende tijdsduur instellen. Als ingesteld zullen alle records ouder dan de ingestelde tijdsduur uit CSV bestanden worden verwijderd.
• Nieuwsbrieven-module: het aanmelden danwel opnemen van e-mailadressen in het bestand van de nieuwsbrieven-module geschiedt na uitdrukkelijke toestemming (via cms gaat dat automatisch, via handmatig/import toegevoegde adressen gaat systeem er van uit dat u die toestemming aantoonbaar heeft verkregen. Deze gegevens zijn dan nodig voor het doel en dienen dus niet verwijderd te worden. De nieuwsbrieven-module bevat ook een statistieken-gedeelte. Voor statistieken kunt u bij de instellingen aangeven hoelang deze bewaard dienen te blijven en of de data dat verwijderd of geanonimiseerd dient te worden.

Het cms slaat zelf ook gegevens op tijdens het verwerken van gegevens (bijv. versturen van een e-mail, vastleggen bezoeken aan website, etc.). Hieronder vindt u een overzicht van welke gegevens voor hoe lang worden bewaard:

Wat	Waarom	Hoelang
Logbestanden webserver(s)	Vastleggen bezoekersverkeer op website(s) en fraude/inbraakpreventie. Bevat ip-adres en gegevens browser van bezoeker.	4 dagen
Statistieken bezoekersverkeer website(s)	Vastleggen en inzicht bezoekersverkeer op website(s). Bevat geen persoonsgegevens (ip-adressen zijn geanonimiseerd).	Onbeperkt
Logbestanden mailserver(s)	Vastleggen mailverkeer voor statistieken en raadpleging. Bevat e-mailadressen.	4 weken
Shop-module	Vastleggen geplaatste bestellingen. Tevens kunnen klanten een account aanmaken op eigen verzoek, met e-mailadres en wachtwoord (versleuteld).	Instelbaar (tenzij account, dan onbeperkt tot verwijderen)
Formulieren-module	Vastleggen ingezonden gegevens.	Instelbaar (Standaard: onbeperkt)
Nieuwsbrieven-module	Vastleggen aanmeldingen bezoekers die nieuwsbrief wensen te ontvangen. Bevat minimaal e-mailadressen en eventueel extra gevraagde informatie (instelbaar). Statistieken bevatten e-mailadressen.	Onbeperkt (tot afmelden of verwijderen). Statistieken: instelbaar
Forum-module en Reacties-per-pagina-module	Vastleggen geplaatste berichten met e-mailadres en ip-adres (om te herleiden wie heeft geplaats en blokkering ongewenste bezoekers).	Onbeperkt (tot verwijderen)
Poll-module	Vastleggen deelname polls met ip-adres (ter voorkoming van meer dan eens stemmen).	Onbeperkt (tot verwijderen)
Beveiligde-toegang-module	Vastelggen loginnaam (kan e-mailadres zijn) en wachtwoord (versleuteld) en eventueel extra gevraagde informatie (instelbaar). Gegevens kunnen persoonsgegevens bevatten, maar zijn vereist voor uitvoeren doel.	Onbeperkt (tot verwijderen)

6) Gepaste beveiligingsmaatregelen

De verordening stelt dat, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

Technisch gezien zijn redelijke maatregelen getroffen om de systemen afdoende te beveiligen. Zo is al het verkeer van en naar de servers beveiligd/versleuteld, is software actief of inbraken de detecteren en voorkomen, draaien de servers in datacenters die voldoen aan certificeringen als ISO 9001 en 27001, NEN 7510, PCI DDS, worden frequent backups gemaakt (en off-site bewaard).

Organisatorisch hebben slechts een beperkt aantal mensen toegang tot systemen en zijn deze gehouden aan een geheimhoudingsplicht.