De nieuwe AVG: Hoe EventInsight compliant is

Bas Krijgsman

De nieuwe AVG: Hoe EventInsight compliant is

Bedrijven en organisaties zijn er maar druk mee, de Algemene verordening gegevensbescherming (AVG) die op 25 mei van kracht wordt. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). Dit blog beschrijft hoe EventInsight in kaart heeft gebracht welke stappen ze moest ondernemen om AVG-compliant te worden. Samenvattend? Eigenlijk viel alles wel mee; onze werkwijze blijft nagenoeg gelijk, alleen is deze net wat scherper geworden waardoor de waarborgen met betrekking tot de privacy zijn verbeterd. Ik vind de AVG dan ook een goede aanvulling voor de veiligheid van de data.

Omdat ik zelf niet altijd het geduld heb om alles uitgebreid te lezen, heb ik voor de snelle lezer een korte samenvatting (klik hier) gemaakt waarin de kern van dit blog duidelijk wordt.

Inventarisatie & grondslag

Allereerst hebben we bekeken welke persoonsgegevens we allemaal gebruiken. We defininieren een onderscheid tussen de gebruikers van onze app en de afnemers van de app.

Om persoonsgegevens op te mogen slaan heb je een grondslag nodig. Een deel van de gegevens mogen we opslaan, omdat dit een vereiste is voor het uitvoeren van de overeenkomst. Dit is bijvoorbeeld het e-mailadres. Zonder e-mailadres zijn we niet in staat om je account te resetten. Een ander deel van de gegevens mogen we niet zomaar opslaan. Hiervoor vragen we dan ook expliciet toestemming.

Ons business model bestaat uit het verbeteren van evenementen via onze app en wij hebben geen enkel commercieel belang bij de data.

We hebben van alle gegevens precies uitgezocht of de data nodig is voor een wettelijke plicht, nodig voor het uitvoeren van de overeenkomst of dat het gegevens zijn waar expliciet toestemming voor moet worden gevraagd. Voor de gegevens waar toestemming voor gevraagd dient te worden, wordt bij het aanmaken van een account expliciet toestemming gevraagd. Als gebruiker kan je de toestemming natuurlijk altijd direct intrekken. De opsomming van de gegevens die we gebruiken en de grondslagen zijn verwerkt in ons privacybeleid.

Bewaartermijn

De gebruiker moet voorafgaand aan het aanmaken van een account weten hoelang deze gegevens worden opgeslagen. Dit is bij EventInsight iets lastigs, aangezien dit afhankelijk is van de wensen van de afnemer. Juist om de AVG tegemoet te komen hebben we er uiteindelijk voor gekozen om deze maximaal drie maanden na afloop van het evenement te bewaren. De afnemer kan deze termijn altijd zelf beperken.

Beveiligingsbeleid

Een belangrijk aspect van de AVG is de beveiliging van de persoonsgegevens. EventInsight hanteert hierbij Privacy by Design en Privacy by Default. Het idee erachter is dat we bij het opzetten en ontwerpen van het product standaard rekening houden met de privacy en verwerking van de gegevens. Hiermee zorgen we ervoor dat we zowel bewust als onbewust de privacy van onze gebruikers kunnen garanderen.

Wij hebben bijvoorbeeld de volgende maatregelen genomen:

- Alle gegevens worden altijd in gescheiden databases opgeslagen. In het onwaarschijnlijke geval dat er via een afnemer een lek optreedt zijn de gegevens van de andere afnemers en gebruikers nog steeds beveiligd.

- Al het verkeer naar en tussen onze server is via SSL versleuteld. Hierdoor kunnen ongewenste derden niet mee kijken naar de gegevens.

- Er is een beperkte root toegang tot onze servers. Bij EventInsight zijn slechts twee mensen bevoegd.

- Indien onze supportmedewerkers toegang moeten krijgen tot de omgeving van onze afnemers wordt hier telkens voor een periode van 24 uur toestemming gegeven. Deze toegang wordt gelogd zodat achteraf precies te zien is wie toegang heeft gehad. Indien een medewerker het bedrijf verlaat heeft hij automatisch geen toestemming meer aangezien de toegang altijd binnen 24 uur verloopt.

- Enkel supportmedewerkers en de twee bevoegde mensen tot root access hebben eventuele toegang tot de data van afnemers. Partnerships advisors, data-entry medewerkers en administratie hebben absoluut geen toegang.

- Al ons personeel heeft een geheimhoudingsverklaring ondertekend omtrent de geheimhouding van de gegevens die zij inzien.

- Er zijn meerdere automatische controlemechanismen geïmplementeerd. Mochten er afwijkende of onverwachtse activiteiten op onze server plaatsvinden wordt dit getoond op onze waarschuwingsschermen op kantoor.

Verwerkingen door derden

EventInsight slaat de gegevens van haar klanten en afnemers op in Nederland. Om precies te zijn bij TransIP in Noord-Holland. Volgens de Autoriteit Persoonsgegevens in het nodig om met andere partijen waar gegevens worden opgeslagen verwerkersovereenkomsten af te sluiten.

Hoewel TransIP zelf geen Root toegang heeft tot onze servers en daardoor niet bij onze data kan komen, hebben we voor de zekerheid toch een verwerkersovereenkomst met ze afgesloten. Daarmee kan je er dus van zijn dat onze data op een juiste manier wordt verwerkt.

De data blijft altijd in eigen beheer en er zijn geen andere verwerkers.

Beleid voor data lekken

Sinds 2016 is de meldplicht voor datalekken van toepassing. Nieuw onder de AVG is dat we elk datalek, dus ook degene die niet verplicht gemeld hoefde te worden, intern te registreren inclusief verbeterplan om te zorgen dat het niet nogmaals gebeurt. Deze registratie moet op verzoek door de toezichthouder ingezien kunnen worden. EventInsight heeft hiervoor een register opgesteld en gaat ervan uit dat deze altijd leeg zal blijven.

Vertalen naar een privacyverklaring

We hebben al hetgeen hierboven vernoemd staat vertaald naar een privacyverklaring. Deze wordt getoond in de Appstore & Google Play store, zodat elke gebruiker zich ervan bewust is waarvoor toestemming wordt gegeven. Afhankelijk van de keuze van de afnemer wordt de privacyverklaring nogmaals expliciet getoond bij het inloggen in onze applicatie. De afnemer kan hiermee zelf kiezen op welke wijze de gebruikers akkoord gaan met de privacyverklaring.

Wij begrijpen dat lange verklaringen niet worden gelezen en hebben de essentie van deze verklaring daarom bovenin dikgedrukt neergezet. Dit bespaart een hoop tijd en geeft de duidelijkheid waarnaar wordt gezocht.

Wat betekent dit voor u op het moment dat u een event app door ons laat maken?

Voor u betekent de nieuwe AVG dat u met ons een verwerkersovereenkomst tekent bij het opzetten van een nieuwe applicatie. Deze hebben we al voor u klaarliggen en deze hoeft u zelf niet op te stellen. Wij leggen u graag uit wat de bepalingen inhouden.

Checklist

Samen met Slim Juridisch advies zijn we een checklist afgelopen om de puntjes op die i te zetten:

1. We hebben de privacyverklaring aangevuld met de nieuwe bepalingen om te voldoen aan de AVG.

2. We hebben een e-mailadres beschikbaar gesteld en een procedure gemaakt waardoor gebruikers/afnemers een verzoek om inzage kunnen indienen.

3. Ons personeel heeft een geheimhoudingsverklaring ondertekend omtrent de geheimhouding van de gegevens die zij inzien.

4. We hebben de grondslagen van de gegevens die we opvragen gecontroleerd.

5. We hebben geverifieerd dat onze diensten privacyvriendelijk zijn ontworpen.

6. We hebben een register van verwerkingsactiviteiten opgesteld.

7. We hebben met de benodigde partijen een verwerkersovereenkomst opgesteld.

Was dit alles?

Dit was alles waar onze gebruikers en afnemers mee te maken hebben. De nieuwe AVG geldt echter ook voor ons personeel en dat betekent ook dat we hier intern e.e.a. hebben moeten wijzigen om compliant te worden. Zo hebben we bijvoorbeeld ook een verwerkersovereenkomst met ons administratiekantoor afgesloten. Maar dit blog is inmiddels lang genoeg, dus we zullen u besparen met de interne maatregelen die we genomen hebben. Uiteraard leggen we deze bij ons op kantoor graag uit met een kopje koffie!

De toekomst

Ik ben blij dat EventInsight weer helemaal klaar is voor de toekomst en een nog betere waarborg kan bieden voor de data van onze gebruikers en afnemers.

We staan bij EventInsight altijd open voor suggesties op ons privacy beleid en vinden het fijn als mensen met ons mee willen denken. Op deze manier blijven we scherp en kunnen we het beste garanderen voor onze gebruikers!

Samenvatting

Alle persoonsgegevens die we gebruiken zijn in kaart gebracht. We hebben tevens vastgesteld met welke doelen deze gegevens worden gebruikt. De risico’s van de verwerking zijn ingeschat. In beginsel verwerkt geen enkele andere partij onze gegevens. Desondanks hebben wel met onze hostingpartij een verwerkersovereenkomst afgesloten. Alles is netjes opgeschreven in ons privacybeleid die hier te vinden is. Een juridisch kantoor dat zich bezighoudt met de AVG heeft dit allemaal gecontroleerd en akkoord bevonden.

Alle data wordt uiterlijk drie maanden na een evenement verwijderd, maar we laten de keuze om dit eerder te doen aan de organisatie van een event. Dit kan dus ook direct na afloop van het evenement. Uiteraard kan elke gebruiker waarvan de gegevens in ons systeem staan dit op elk moment ook zelf aangeven.

EventInsight stelt de privacy van de gebruikers en afnemer van de app voorop. Ons business model bestaat uit het verbeteren van evenementen via onze app en wij hebben geen enkel commercieel belang bij de data. Bij ons betekent dit dat verwijderde data ook echt dat de data verwijderd is.