In mei 2016 is de General Data Protection Regulation (GDPR), aangekondigd. In het Nederlands heet deze wet de Algemene Verordening Gegevensbescherming (AVG). Alle organisaties die persoonsgegevens verwerken, hebben toen twee jaar de tijd gekregen om aan deze nieuwe verordening te voldoen.
Ook Mijndomein zal voldoen aan de AVG per mei 2018. Wij verwerken namelijk ook persoonsgegevens van onze klanten.
Wat is de rol van Mijndomein?
De AVG kent twee typen verwerkers van persoonsgegevens: de verwerkersverantwoordelijke en de verwerker. Mijndomein is actief in beide rollen:
- Verwerkersverantwoordelijke: wij zijn verantwoordelijk voor de persoonsgegevens die jij met ons deelt als je een product aanschaft, zodat wij in contact met je kunnen blijven, jouw betalingen kunnen faciliteren, etc. Wij zijn in dit geval verantwoordelijk voor de beveiliging van jouw persoonsgegevens en het waarborgen van jouw privacy. Hiervoor hebben we een privacy- en cookiestatement opgesteld.
- Verwerker: wij zijn verwerker voor de gegevens die je met ons deelt in onze producten, bijvoorbeeld via webhosting en e-mail. Voor deze diensten ben je zelf de verwerkersverantwoordelijke. Dat betekent dat jij dus verantwoordelijk bent voor de gegevens die bezoekers van je website bijvoorbeeld achterlaten in een contactformulier en andere persoonsgegevens die jouw klanten bij jou achterlaten. Als verwerkersverantwoordelijke ben je verplicht afspraken te maken met alle verwerkers met wie je samenwerkt. Hierover in de volgende vraag meer.
Afspraken met Mijndomein als verwerker
Meerdere klanten hebben ons benaderd voor het afsluiten van een separate verwerkersovereenkomst. Je kunt je voorstellen dat dit met 200.000 klanten geen haalbare zaak is. Daarom hebben wij, op advies van specialisten op dit gebied, ervoor gekozen om een bijlage aan onze algemene voorwaarden te voegen waarin we duidelijke afspraken hebben vastgelegd over dit onderwerp. Als je jouw product aanschaft, ga je akkoord met onze algemene voorwaarden. Daarmee geef je toestemming en dat is voldoende als verwerkersovereenkomst.
Werkt Mijndomein zelf ook met derde partijen?
Mijndomein is verwerkersverantwoordelijke voor persoonsgegevens die je bij ons achterlaat als je een product aanschaft. Om die producten te kunnen leveren, werken we soms samen met andere organisaties. Bijvoorbeeld bij de aanschaf van een domeinnaam, waarbij de uitgevende instantie beslist over de toekenning van een domeinnaam. Denk aan de SIDN bij .nl-domeinnamen. Deze derde partijen zijn dan (sub)verwerkers van jouw gegevens. (Sub)verwerkers moeten tenminste dezelfde verplichtingen op zich nemen als op Mijndomein rusten. Mijndomein maakt goede afspraken met hen en houdt dit in de gaten.
Wat moet ik als organisatie zelf doen met de AVG?
Of je nu een bedrijf hebt, ZZP'er bent of bij de hockeyclub zit, elke organisatie die werkt met persoonsgegevens moet voldoen aan de regels van de AVG. Persoonsgegevens zijn gegevens die (direct of indirect) te herleiden zijn tot een specifiek individu, denk aan: NAWTE-gegevens, zakelijke contactgegevens, leeftijd, geslacht, bankgegevens, maar ook foto’s, videobeelden en IP-adressen. De nieuwe privacywetgeving ziet niet alleen toe op digitale gegevens, maar ook gegevens op papier. AVG-experts DMCC schreven een blog over hoe je je kunt voorbereiden op de AVG.