Logboek van GDPR compliancy voor murb

In dit logboek houd ik mijn vorderingen bij in mijn weg naar GDPR compliancy

De actuele privacy verklaring vind je hier.

Introductie

De AVG (Algemene Verordening Gegevensverwerking), ik krijg er de laatste tijd toch steeds meer vragen over. Toch maak ik mij er niet enorm veel zorgen over, en jurist Charlotte Meindersma deelt gelukkig die mening (in ieder geval voor de meeste ZZP’ers en MKB’ers (<250 medewerkers, die geen data verzamelaars zijn)). Belangrijkste zou namelijk toch al goed geregeld moeten zijn; denk aan bewerkersovereenkomsten met partijen die jij ingschakelt om persoonsgegevens van jouw klanten verder te verwerken, een helder leesbare privacy verklaring, e.d.. Wel is het zo dat er straks ook stevige boetes uitgedeeld kunnen worden als er onzorgvuldig is gehandeld. Het is dus geen slecht idee om de privacyverklaring toch weer even onder de loep te houden. Goede raad is ook te vinden op de blog van Arnoud Engelfired, partner bij ICTRecht. Pas wel op met onaangekondigd monitoren van je gebruikers, hiervoor is straks écht expliciete toestemming nodig. En als iemand die gegevens wil opvragen, dan moet je ze kunnen leveren.

Logboek

Januari

• Oeps, ik heb zelf niet eens een privacy verklaring. Nu was dit voor freelancers ook niet iets dat typisch verlangd werd, maar nu is het ook verplicht voor ZZP’ers.
• Privacy verklaring opgesteld a.d.h.v. Is je privacy verklaring AVG ready van Charlotte Meindersma (dit is nog werk in uitvoering)
• Aantal diensten vereenvoudigd: ik maakte deels gebruik van Apple’s iCloud diensten, naast de Fastmail dienst. Ik was al bezig met een migratie naar Fastmail en heb deze nu even een tandje bijgezet. Probleem: is echter dat FastMail is nog niet GDPR ready (maar ze zijn wel voornemens dit te zijn; sowieso namen ze privacy al erg serieus).

Februari

• Ik begrijp de GDPR steeds beter. In een notendop (note IANAL, en onderstaand is geen juridische tekst ;) ):
  1. Verzamel niet meer persoonsgegevens dan strikt noodzakelijk & logisch (en vraag anders expliciete toestemming)
  2. Verwijder persoonsgegevens wanneer ze niet meer noodzakelijk zijn
  3. Besteed je informatie verwerking uit, zorg voor een bewerkersovereenkomst waarin ook de bewerker duidelijk aangeeft te voldoen aan alle eisen
  4. Doe alles wat je kunt om verspreiding van informatie tegen te gaan.
  5. Wijs personen op hun recht om hun informatie in te zien, aan te laten passen en/of te verwijderen.
• Twee bedrijven waar ik gebruik van zijn nog steeds niet officieel GDPR compliant :(

Eind februari: Als het strikt naar de geest van de richtlijn wordt gehandhaafd moeten veel organisaties nog flink wat werk verzetten en expliciet toestemming gaan vragen. Een dienst mag dan ook niet meer worden geweigerd als je niet akkoord gaat met verregaande gegevensdeling. Wat de NPO app momenteel doet mag dus straks echt niet meer. Het is vreemd dat die relatie nog maar weinig gelegd wordt. Wellicht omdat het de wereld op z’n kop zet?

Maart

Oei, ik kom nog steeds misverstanden tegen op internet. Nieuw voor mij (ik ben geen jurist) is dat de EU ook zogenaamde recitals heeft gepubliceerd, waarin ze begrippen toelichten. Nog beter is echter de lezing van deze recitals door een nieuwe bron die ik onlangs vond: GDPR EU.org.

April

Thomas Baekdal schrijft vaak interessante artikelen over marketing en online publicaties. Zo schreef hij ook een uitgebreid advies voor uitgevers hoe om te gaan met de GDPR. Kern van zijn betoog, omarm het, vecht er niet tegen. Kan het er niet meer dan eens mee zijn.

Mei

Ik zie zeer strikte lezingen van de GDPR en veel vrijere. Techneuten houden graag van de striktere uitleg, zie bijvoorbeeld ook hoe deze techneut uitlegt hoe je je server logs dagelijks schoont en zelf ben ik voor zeer basale anonimisering van ip adressen, maar als ik naar veel voorwaarden kijk die ik ontvang zie ik meestal gewoon staan dat het IP adres wordt opgeslagen om misbruik tegen te gaan en fouten te analyseren, hetgeen door velen een redelijke grond voor verwerking wordt gevonden.