Privacy voor bureaus en WordPress ontwikkelaars

Nils Möllers Bijgewerkt op 21.10.2020
5 Min.
Gegevensbescherming voor bureaus
Laatst bijgewerkt op 21.10.2020

De ontwikkeling van de digitale markt is geen nieuw onderwerp voor bedrijven en zelfstandigen. Helaas kan hetzelfde niet per se worden gezegd over gegevensbescherming voor agentschappen. Waarmee moeten agentschappen en freelancers rekening houden als het gaat om gegevensbescherming? En hoe zit het WordPress met de orderverwerking? Een overzicht.

De Algemene verordening gegevensbescherming (AVG) is al bijna twee jaar van kracht - er wordt ook gewerkt met iedereen die bij WordPress werkzaam is op het gebied van gegevensbescherming. Het onderwerp gegevensbescherming bestaat echter al sinds 1971 en er is een toenemende spanning tussen gegevensbescherming en de verantwoorde digitalisering van bedrijfsprocessen. Daarom is het des te belangrijker om de centrale regels te kennen.

Opmerking: Dit basisartikel komt niet in de plaats van juridisch advies. Om uw maatregelen en uw website te controleren, moet u altijd contact opnemen met een advocatenkantoor dat gespecialiseerd is in online recht en gegevensbescherming.

Wanneer moet een agentschap een functionaris voor gegevensbescherming aanstellen?

Er zijn hier in het verleden verhitte discussies gevoerd. We kunnen nu echter de volgende kernpunten voor de nederlandse agentschappen vastleggen:

  1. Het Agentschap heeft meer dan 20 personeelsleden in dienst die persoonsgegevens verwerken.
  2. Het Agentschap voert de volgende verwerkingshandelingen uit Gegevensbeschermingseffectbeoordeling moeten worden beoordeeld
  3. Het bureau is actief op het gebied van markt- of opinieonderzoek 
  4. Het Agentschap zal in het bijzonder gevoelige persoonlijke gegevens

Met het oog op de vermindering van de bureaucratie hadden de CDU/CSU-parlementsfracties in het kader van de wetgevingsconsultatie de eis ingevoerd om de grens van de verplichting om een functionaris voor de bescherming van bedrijfsgegevens te benoemen (artikel 38 BDSG) op te trekken tot 50 personen. Tot slot werd medio 2009 een akkoord bereikt over een limiet van 20 werknemers.

De fundamentele vraag is hier of het verhogen van de limiet verstandig was, aangezien de gegevensbescherming door elk bedrijf in acht moet worden genomen. Zelfs een 1-persoons bedrijf.

Wat moet worden nageleefd in het kader van de wetgeving inzake gegevensbescherming voor agentschapssoftware?

Veel bureaus werken met agency software, ticketing systemen of workflow management om processen te automatiseren en het overzicht te behouden. Meestal verwerken deze softwareoplossingen persoonlijke gegevens van klanten en andere partners. Daarom zijn de regels voor gegevensbescherming ook hier van toepassing.

In principe moeten de agentschappen ervoor zorgen dat er een adequaat niveau van bescherming is voor geïmporteerde softwareproducten. Naast een autorisatie- en schrappingsconcept, is er verder technisch-organisatorische maatregelen (TOM) overeenkomstig artikel 32 AVGom de software op een gegevensbeschermingsconforme manier te gebruiken.

Er moet rekening worden gehouden met de economische toereikendheid. Zo kunnen de TOM's van een klein bureau om economische redenen niet op alle gebieden aan dezelfde normen voldoen als de maatregelen van een grote onderneming.

In de meeste gevallen is deze software een clouddienst. Deze zijn bijvoorbeeld:

  • maandag.nl
  • Google Suite of
  • Atlassian Jira Service Desk

om er maar een paar te noemen. Met deze aanbieders dient zeker een contract te worden afgesloten, aangezien de persoonsgegevens door de tools volgens de instructies worden verwerkt.

Google AVG
Google levert zijn eigen middelen voor zijn cloud-diensten

Bij het afsluiten van een orderverwerking (voor het begin van de samenwerking) moeten de agentschappen of ontwikkelaars technische en organisatorische maatregelen van de dienst.

Het contract voor de verwerking van de bestelling moet onder meer de volgende onderwerpen bevatten: hulp bij het doen gelden van de rechten van de betrokkenen, kwaliteitsnormen, eventuele onderaannemers.

Is WordPress ontwikkeling een orderverwerking?

Veel bureaus zijn wanhopig over de beoordeling of ze gegevens verwerken als verwerker in opdracht van een opdrachtgever of als (zelf)verantwoordelijke. In feite is de beoordeling heel eenvoudig: de voor de verwerking verantwoordelijke is de persoon die het doel en de middelen van de verwerking van de persoonsgegevens bepaalt (artikel 4, lid 7AVG). Anderzijds treedt een bureau op als verwerker in de zin van artikel 4, lid 8AVG, wanneer het voor rekening van de opdrachtgever persoonsgegevens verwerkt.

Maar het probleem is dat agentschappen en freelancers vaak geïntegreerde diensten aanbieden. In dergelijke gevallen is het niet altijd mogelijk om heel duidelijk na te gaan of er geen sprake is van een mengeling van verantwoordelijkheden. De heersende mening van de functionarissen voor gegevensbescherming is dat in geval van twijfel een orderverwerking wordt afgerond. Dit brengt het bureau overigens in een betere positie op het gebied van aansprakelijkheid dan zonder een contract voor de opdrachtverwerking.

Waar moet je op letten bij het WordPress hosten?

Webhosting maakt ook deel uit van de gegevensbescherming voor agentschappen. Naast de beschikbaarheid van een SSL-certificaat het is van groot belang dat de hosting plaatsvindt in een datacenter dat gecertificeerd is. Bijvoorbeeld ISO/EN 27001, omdat hier dezelfde eis van artikel 32 van AVGtoepassing is: agentschappen en ontwikkelaars moeten de beschikbaarheid, integriteit en vertrouwelijkheid waarborgen door middel van een passend beveiligingsniveau.

Naast de preventieve maatregelen moet een passende Back-up strategie kan worden uitgevoerd. In de praktijk hebben dagelijkse incrementele back-ups en wekelijkse volledige back-ups, die tot 90 dagen worden bewaard, zich bewezen.

Back-up strategie
Automatische back-ups verhogen de veiligheid

Back-ups moeten echter niet op één locatie worden opgeslagen. In de regel bieden datacenters de mogelijkheid om toegang te krijgen tot meerdere brandcompartimenten.

Waaraan moet een WordPress pagina voldoen voor de bescherming van gegevens?

In principe moeten websites voldoen aan de beginselen van de basisverordening inzake gegevensbescherming. Daarom is het van toepassing:

  • Het beginsel van gegevensminimalisatie
  • De eerbiediging van de rechtsgrondslagen voor de verwerking van persoonsgegevens
  • Hetzelfde geldt voor de naleving van een redelijk doel van de verwerking.

Traditioneel zou elke website een uitgebreide en nauwkeurige privacyverklaring moeten hebben om aan de informatie-eisen te voldoen.

WordPress  Privacy pagina
Stel de pagina met het privacybeleid inWordPress

Daarnaast moeten de rechtsgrondslagen voor de verschillende verwerkingshandelingen worden vastgesteld, met name met betrekking tot het gebruik van cookies van derden. Deze eis kan zeer eenvoudig worden geïmplementeerd met een Cookie Consent Manager. In dit verband moet rekening worden gehouden met de volgende aspectenWordPress :

Evenzo geldt voor bepaalde verwerkingen (registraties, contactformulieren, enz.) Toestemmingsverklaringen die voldoen aan de voorwaarden van artikel 7AVG.

WordPress  Plugin Beheer
Praktisch: Plugins en update Themes centraal in de hosting backend

Gegevensbescherming voor instanties: Wanneer heeft men toestemming nodig?

De basisverordening inzake gegevensbescherming moet in principe worden opgevat als een verbod waarvoor toestemming moet worden verleend. Dit betekent dat er in eerste instantie helemaal geen persoonsgegevens mogen worden verwerkt. Aangezien persoonsgegevens echter vaak moeten worden verwerkt, heeft de Europese wetgever zogenaamde op toestemming gebaseerde delicten gedefinieerd - in Artikel 6, eerste alinea aangestoken. a tot fAVG.

AVG Tekst
De tekst van de AVGop eur-lex.europa.eu

Toestemming is altijd vereist als een van de toegestane misdrijven op grond van artikel 6, lid 1, onder b tot en met fAVG, niet relevant is. Deze toestemming moet voldoen aan de voorwaarden van Artikel 7 volbrengen. Het specificeert onder andere:

  • "Wanneer de verwerking gebaseerd is op toestemming, moet de voor de verwerking verantwoordelijke kunnen aantonen dat de betrokkene heeft ingestemd met de verwerking van zijn persoonsgegevens".
  • "De betrokkene heeft het recht zijn of haar toestemming te allen tijde in te trekken". De intrekking van de toestemming heeft geen invloed op de rechtmatigheid van de verwerking die op basis van de toestemming wordt uitgevoerd, totdat deze wordt ingetrokken. De betrokkene wordt op de hoogte gebracht voordat hij of zij toestemming geeft. De intrekking van de toestemming is even eenvoudig als het verlenen van de toestemming".

De toestemming moet dus altijd geïnformeerd, transparant, controleerbaar, vrijwillig en herroepbaar zijn.

Daarnaast is er een zogenaamde Overweging 32 naar AVGde . daarin gegeven voorbeelden zijn bedoeld om het opstellen van een toestemming voor de handelspraktijk te vergemakkelijken. De in eigen beheer ontwikkelde oplossingen - en de bijbehorende WordPress Plugins oplossingen - moeten echter regelmatig wettelijk worden gecontroleerd op hun toelaatbaarheid, bijvoorbeeld door een geschikt advocatenkantoor.

Vragen over gegevensbescherming voor agentschappen

Heeft u vragen over gegevensbescherming voor agentschappen en freelancers? Gebruik de commentaarfunctie. Wilt u op de hoogte blijven van nieuwe artikelen over het onderwerp online recht? Volg ons dan op Twitter, Facebook of via onze Nieuwsbrief.

Nils Möllers is de oprichter en directeur van Keyed GmbH uit het Münsterland - als gecertificeerd functionaris voor gegevensbescherming en expert voor gegevensbescherming in de marketing, in ondernemingsgroepen en in franchisesystemen. Nils Möllers adviseert ook bedrijven op het gebied van IT-beveiliging, in het kader van ISO27001.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.