Privacy voor bureaus en WordPress ontwikkelaars

Nils Möllers Laatst bijgewerkt op 21.10.2020
5 Min.
Gegevensbescherming voor bureaus
Laatst bijgewerkt op 21.10.2020

Digitale marktontwikkeling is geen nieuw onderwerp voor bedrijven en zelfstandigen. Helaas kan niet noodzakelijk hetzelfde worden gezegd van de gegevensbescherming voor agentschappen. Waarmee moeten uitzendbureaus en freelancers rekening houden in het kader van de wetgeving inzake gegevensbescherming? En hoe zit het met de orderverwerking op WordPress ? Een overzicht.

De Algemene verordening gegevensbescherming (AVG) is al bijna twee jaar van kracht - er wordt ook gewerkt met iedereen die bij WordPress werkzaam is op het gebied van gegevensbescherming. Het onderwerp gegevensbescherming bestaat echter al sinds 1971 en er is een toenemende spanning tussen gegevensbescherming en de verantwoorde digitalisering van bedrijfsprocessen. Daarom is het des te belangrijker om de centrale regels te kennen.

Opmerking: dit basisartikel is geen vervanging voor juridisch advies. Om uw maatregelen en uw website te herzien, moet u altijd contact opnemen met een professioneel advocatenkantoor voor onlinerecht en gegevensbescherming.

Wanneer moet een agentschap een functionaris voor gegevensbescherming aanstellen?

Hierover zijn in het verleden verhitte discussies geweest. Voor nederlandse agentschappen kunnen we nu echter de volgende kernpunten vaststellen:

  1. Het agentschap heeft meer dan 20 personeelsleden in dienst die persoonsgegevens verwerken.
  2. Het agentschap voert verwerkingen uit die moeten worden beoordeeld aan de hand van een gegevensbeschermingseffectbeoordeling.
  3. Het bureau is actief op het gebied van markt- of opinieonderzoek 
  4. Het agentschap verwerkt persoonsgegevensdie bijzonder gevoeligzijn

Met het oog op de vermindering van de bureaucratie hadden de CDU/CSU-fracties geëist dat de grens van de aanstellingsplicht van een functionaris voor gegevensbescherming voor ondernemingen (§ 38 BDSG) tot 50 personen zou worden verhoogd. Uiteindelijk werd medio 2019 een akkoord bereikt over een limiet van 20 werknemers.

In wezen rijst hier de vraag of de verhoging van de limiet verstandig was, aangezien gegevensbescherming door elke onderneming moet worden nageleefd. Zelfs door een 1-persoons bedrijf.

Waarmee moet bij software voor uitzendbureaus rekening worden gehouden in termen van gegevensbescherming?

Veel bureaus werken met bureausoftware, ticketsystemen of workflowbeheer om processen te automatiseren en het overzicht te bewaren. In deze softwareoplossingen worden doorgaans persoonsgegevens van klanten en andere partners verwerkt. Daarom zijn ook hier de voorschriften inzake gegevensbescherming van toepassing.

In beginsel moeten de agentschappen ervoor zorgen dat er een passend niveau van bescherming bestaat voor de ingevoerde softwareproducten. Naast een machtigings- en verwijderingsconcept moeten verdere technisch-organisatorische maatregelen (TOM) overeenkomstig artikel 32 AVG in acht worden genomen om de respectieve software op een gegevensbeschermingsconforme manier te gebruiken.

Er moet rekening worden gehouden met de economische geschiktheid. Zo kan de TOM van een klein agentschap wegens economische aspecten niet op alle gebieden aan dezelfde normen voldoen als de maatregelen van een grote onderneming.

In de meeste gevallen is deze software een cloud-dienst. Dit zijn bijvoorbeeld:

  • monday.com.
  • Google Suite of
  • Atlassian Jira Service Desk

om er maar een paar te noemen. Met deze aanbieders moet beslist een verwerkersovereenkomst worden gesloten, aangezien de instrumenten persoonsgegevens verwerken volgens de instructies.

Google AVG
Google stelt zijn eigen middelen ter beschikking voor zijn clouddiensten

In het kader van de sluiting van een verwerkingscontract (vóór de aanvang van de samenwerking) moeten agentschappen of ontwikkelaars deze technische en organisatorische maatregelen van de dienst controleren.

Het contract voor de verwerking van de bestelling moet onder meer ook de volgende punten bevatten: Ondersteunende diensten bij het doen gelden van rechten van betrokkenen, kwaliteitsnormen, bestaan van onderaannemers, indien van toepassing.

Is WordPress ontwikkeling orderverwerking?

Veel agentschappen wanhopen aan de beoordeling van de vraag of zij gegevens verwerken als verwerker of als (eigen) voor verwerking verantwoordelijke. Eigenlijk is de beoordeling heel eenvoudig: de voor de verwerking verantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 4, lid 7, AVG). Anderzijds treedt een agentschap op als verwerker in de zin van artikel 4, lid 8, AVG indien het voor rekening van de klant persoonsgegevens verwerkt.

Maar het probleem is dat agentschappen en ook freelancers vaak holistische diensten aanbieden. In dit geval is het niet altijd mogelijk duidelijk na te gaan of er sprake is van vermenging van verantwoordelijkheden. De overheersende mening van de commissarissen voor gegevensbescherming is thans dat in geval van twijfel de in opdracht gegeven verwerking wordt afgesloten. Dit brengt het agentschap overigens in een betere positie wat aansprakelijkheid betreft dan zonder een contract over verwerking in opdracht.

Wat moet je zoeken in WordPress hosting?

Het onderwerp gegevensbescherming voor agentschappen omvat ook webhosting. Naast de beschikbaarheid van een SSL-certificaat is het van groot belang dat de hosting plaatsvindt in een datacenter dat is gecertificeerd volgens bijvoorbeeld ISO/EN 27001. Bijvoorbeeld volgens ISO/EN 27001, want hier geldt dezelfde eis van artikel 32 AVG: agentschappen en ontwikkelaars moeten de beschikbaarheid, integriteit en vertrouwelijkheid waarborgen door middel van een passend niveau van beveiliging.

Naast preventieve maatregelen moet ook een geschikte back-upstrategie worden toegepast. In de praktijk zijn dagelijkse incrementele back-ups en wekelijkse volledige back-ups, die tot 90 dagen worden bewaard, succesvol gebleken.

backupstrategie
Automatische back-ups verhogen de veiligheid

Toch moeten back-ups niet op één plaats worden opgeslagen. In de regel bieden datacenters de mogelijkheid om terug te vallen op meerdere brandcompartimenten.

Waaraan moet een site WordPress voldoen met het oog op gegevensbescherming?

In beginsel moeten websites voldoen aan de beginselen van de algemene verordening gegevensbescherming. Dus gelden:

  • Het beginsel van gegevensminimalisering
  • Inachtneming van de rechtsgrondslagen voor de verwerking van persoonsgegevens
  • Evenzo moet de inachtneming van een passend doel van de verwerking

Klassiek zou elke website een uitgebreid en correct privacybeleid moeten hebben om te voldoen aan de informatievereisten.

WordPress  Privacy-pagina
Stel de privacybeleidspagina in WordPress in

Voorts moet de rechtsgrondslag voor de verschillende verwerkingen worden gecreëerd, met name wat het gebruik van cookies van derden betreft. Aan deze eis kan heel gemakkelijk worden voldaan met een Cookie Consent Manager. Wat WordPress betreft, moet rekening worden gehouden met de volgende aspecten:

Evenzo moeten voor bepaalde verwerkingen (registraties, contactformulieren, enz.) toestemmingsformulieren worden opgesteld die voldoen aan de voorwaarden van artikel 7 AVG .

WordPress  Plugin  Beheer
Praktisch: Update Plugins en Themes centraal in de hosting backend

Gegevensbescherming voor agentschappen: wanneer heb je toestemming nodig?

In wezen moet de Algemene verordening gegevensbescherming worden opgevat als een verbod met toestemming. Dit betekent dat in de eerste plaats geen persoonsgegevens mogen worden verwerkt. Aangezien persoonsgegevens echter vaak moeten worden verwerkt, heeft de Europese wetgever zogeheten toestemmingscriteria vastgesteld - in artikel 6, lid 1, onder a) tot en met f) AVG.

AVG Tekst
De tekst van de AVG op eur-lex.europa.eu

Toestemming is altijd vereist indien een van de toelaatbare omstandigheden overeenkomstig artikel 6, lid 1, onder b) tot en met f), AVG niet relevant is. Deze toestemming moet voldoen aan de voorwaarden van artikel 7. Er staat onder andere:

  • "Wanneer de verwerking op toestemming is gebaseerd, moet de voor de verwerking verantwoordelijke kunnen aantonen dat de betrokkene heeft ingestemd met de verwerking van zijn of haar persoonsgegevens"
  • "De betrokkene heeft het recht zijn of haar toestemming te allen tijde in te trekken. De intrekking van de toestemming heeft geen gevolgen voor de rechtmatigheid van de verwerking die tot de intrekking op grond van de toestemming heeft plaatsgevonden. De betrokkene wordt hiervan in kennis gesteld voordat hij toestemming geeft. Het intrekken van toestemming is even eenvoudig als het geven van toestemming."

Toestemming moet dus altijd geïnformeerd, transparant, controleerbaar, vrijwillig en herroepbaar zijn.

Daarnaast is er een zogenaamde overweging 32 tot AVG. De daarin genoemde voorbeelden zijn bedoeld om het ontwerpen van toestemming voor de bedrijfspraktijk te vergemakkelijken. Zelf ontwikkelde oplossingen - en de bijbehorende WordPress Plugins - moeten echter regelmatig juridisch worden getoetst op hun toelaatbaarheid, bijvoorbeeld door een geschikt advocatenkantoor.

Vragen over gegevensbescherming voor agentschappen

Hebt u vragen over gegevensbescherming voor agentschappen en freelancers? Voel je vrij om de commentaarfunctie te gebruiken. Wilt u op de hoogte blijven van nieuwe artikelen over het onderwerp online recht? Volg ons dan op Twitter, Facebook of via onze nieuwsbrief.

Nils Möllers is de oprichter en directeur van Keyed GmbH uit Münsterland - als gecertificeerd functionaris voor gegevensbescherming en expert voor gegevensbescherming in marketing, bij ondernemingsgroepen en in franchisesystemen. Nils Möllers adviseert bedrijven ook op het gebied van IT-beveiliging, waarbij ISO27001 wordt begeleid.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.