Wat betekent de AVG voor mijn bedrijf?
Wat is AVG?
De Algemene Verordening Gegevensbescherming (AVG) is een wet van de Europese Unie (EU) gericht op gegevensbescherming en privacy voor alle burgers en inwoners van de EU. AVG regelt hoe bedrijven, waaronder GoDaddy, persoonlijke gegevens van individuen in de EU kunnen verwerken. AVG is op 25 mei 2018 van kracht geworden. Voor een meer gedetailleerde beschrijving van wat AVG is en hoe GoDaddy AVG -compatibel is, raadpleeg je de informatie in ons Privacycentrum .
GoDaddy is geen advocatenkantoor
We hopen dat dit document een overzicht biedt van wat de AVG is en wat het voor jou kan betekenen, maar GoDaddy is geen bedrijf voor juridisch advies en dit is niet een allesomvattende handleiding voor AVG. Iedere bedrijfssituatie is anders en AVG is een erg ingewikkelde wet. Voor specifieke vragen over je bedrijfsvoering en hoe de AVG hierop van invloed kan zijn (net als andere privacywetten die van toepassing zijn), raden we aan een advocaat raad te plegen.
Wij zijn geen experts op het gebied van uw bedrijf
We zouden je graag expliciet advies geven over hoe je de naleving van de AVG het beste af kunt handelen, maar dat is helaas onmogelijk. Ieder bedrijf heeft een andere bedrijfsvoering, met andere beleidsregels, protocollen, werknemers, locaties, etc. We willen dus graag een overzicht bieden van hoe GoDaddy de AVG interpreteert, maar de verordening heeft een aantal nuances die we in dit document voor je bespreken. Op basis van deze nuances dien je zelf te oordelen welke maatregelen bij jouw situatie passen.
Wat maakt de AVG anders?
De AVG is niet heel anders dan andere privacywetten in de wereld. De reden dat de AVG zo ontzettend grootschalig is, is dat het verder reikt dan de EU en van invloed is op ieder bedrijf ter wereld dat omgaat met persoonlijke gegevens van EU-inwoners en bovendien grote boetes met zich meebrengt (tot 20 miljoen euro of 4% van de wereldwijde jaaropbrengst) als de wet niet nageleefd wordt. Dus: meer landen, grotere boetes en breder bereik, dat leidt tot meer media-aandacht. Dat betekent niet dat er geen verschillen zijn: de AVG eist van bedrijven die onder de wet vallen dat ze hun klanten bepaalde rechten verlenen (zoals het ‘recht om vergeten te worden’ en een ‘recht op gegevensportabiliteit’) en dat ze bepaalde maatregelen voor bedrijfsnaleving implementeren.
Wordt mijn bedrijf beïnvloed?
Er zijn een aantal redenen waarom dit van invloed kan zijn op jouw bedrijf. Indien je bedrijf gevestigd is in of zaken doet met klanten in de Europese Economische Ruimte (EER) voor het verkopen van goederen en diensten, lees dan verder. Indien je geen zaken doet in dat gebied of individuen in de EU als doelgroep hebt, is alles waarschijnlijk in orde (maar nogmaals, neem contact op met je eigen juridisch adviseur om hier zeker van te zijn).
Voldoen de producten en diensten van mijn GoDaddy aan de AVG?
Producten of diensten kunnen nooit op zichzelf voldoen aan de AVG. Als ze echter goed zijn geconfigureerd voor jouw specifieke zakelijke behoeften en gebruikt worden in combinatie met andere maatregelen, beleidsregels en processen die implementeert je waar nodig voor jouw specifieke bedrijf (hieronder worden een aantal voorbeelden gegeven), kunnen ze gebruikt worden op een manier die voldoet aan de AVG. Niemand kent jouw bedrijf beter dan jij. Hoewel GoDaddy graag de hulpmiddelen en hulpbronnen biedt om jouw bedrijf helpt te voldoen aan AVG en we hier zijn om je te helpen, kunnen we niet controleren of jouw bedrijf voldoet aan alle wetten die van toepassing zijn.
Wat betekent het om te voldoen aan de AVG?
De AVG is sterk gefocust op persoonlijke gegevens. Kort gezegd gaat het erom dat je er zeker van bent dat de persoonlijke gegevens van je klanten beschermd zijn en op de juiste manier gebruikt worden. Voordat we ingaan op de details, volgen hieronder een aantal kerndefinities voor de wet die ons kunnen helpen onze respectievelijke verantwoordelijkheden te definiëren op het gebied van de omgang met persoonlijke gegevens:
- Betrokkene: de persoon die de persoonlijke gegevens aanlevert. Dit kan een klant zijn, een werknemer of iemand die je website bezoekt (deze laatste geldt wanneer je informatie over ze gebruikt via ‚cookies en vergelijkbare technologieën‘).
- Gegevenscontroller: de partij die het doel en de middelen voor het verwerken van persoonlijke gegevens bepaalt.
- Gegevensverwerker: de partij die persoonlijke gegevens verwerkt namens de gegevenscontroller.
- Verwerken/verwerking: elke bewerking of reeks handelingen die wordt uitgevoerd op persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, opname, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, uitlijnen of combineren, beperken, wissen of vernietigen.
- Persoonlijke gegevens: de AVG is alleen van toepassing op ‘persoonlijke gegevens’. Hiermee worden alle gegevens bedoeld die betrekking hebben op een identificeerbaar persoon die direct of indirect geïdentificeerd kan worden aan de hand van een identificeerder. Volgens deze definitie vallen veel persoonlijke identificeerders onder persoonlijke gegevens, waaronder naam, identificatienummer, locatiegegevens of online identificeerders. Dit weerspiegelt veranderingen in technologie en de manier waarop bedrijven informatie over mensen verzamelen. Het komt er op neer dat als je iets kunt gebruiken om een gebruiker, klant of iemand anders te identificeren, het persoonlijke gegevens zijn.
Wat betekenen deze definities voor mij?
Het komt binnen onze relatie voor dat wij een Gegevenscontroller zijn (wanneer we gegevens van jou verzamelen om je onze producten of diensten te verkopen, zoals je naam, adres, e-mail, telefoonnummer en creditcardgegevens) en het komt voor dat wij een Gegevensverwerker zijn en jij de Gegevenscontroller bent (zoals wanneer je onze host gehoste diensten gebruikt voor je eigen bedrijfsdoelen en de informatie naar onze servers gestuurd wordt, zodat wij de diensten voor jou kunnen leveren, beheren en onderhouden (zie hieronder voor meer informatie over dit onderwerp).
Wat vereist de wet precies?
Dus, de officiële versie van de AVG is 261 pagina‘s lang, bevat 173 Overwegingen, 99 Artikelen en (zoals genoemd) is ingewikkeld en vaak algemeen, vaag en ambigu (hebben we weer geluk mee). We zullen slechts een aantal van de belangrijkste principes behandelen:
Transparantie
Welke gegevens verzamel je en hoe worden ze gebruikt? Het is een belangrijk principe van iedere privacywet, dus ook van de AVG, om dit op een gemakkelijk leesbare en eenvoudig begrijpelijke manier uit te leggen aan je klanten.
Waarschijnlijk heb je de afgelopen tijd miljoenen e-mails gehad met als onderwerp ‘we hebben ons privacybeleid bijgewerkt’. Dat is geen toeval. Bedrijven moeten volgens de AVG meer transparantie en helderheid bieden op het gebied van hoe ze informatie van klanten verzamelen en gebruiken (in andere woorden, gebruiksvriendelijker maken). Transparantie bieden gaat over het algemeen via een privacybeleid: hierin leg je je klanten duidelijk en in eenvoudig taalgebruik uit hoe je hun persoonlijke gegevens verzamelt en gebruikt en hoe ze contact met je op kunnen nemen of eventuele rechten uit kunnen oefenen.
GoDaddy biedt hulpmiddelen waarmee je een privacybeleid kunt integreren in je websites en biedt in sommige gevallen sjablonen waar je mee kunt werken. Omdat we niet alles van je bedrijfsvoering weten, kunnen we je echter onmogelijk een volledig privacybeleid bieden waarmee je de AVG naleeft.
De klant bepaalt en beheert toestemming
Transparant zijn is een goed begin, maar als je meer informatie gebruikt (of verzamelt) van klanten dan strikt noodzakelijk om ze de goederen of diensten die je verkoopt te leveren, moet je er ook zeker van zijn dat ze de optie krijgen toestemming te geven tot aanvullend gebruik en ze de mogelijkheid bieden die toestemming later in te trekken.
Het meest voor de hand liggende voorbeeld hier is het gebruik van verzamelde e-mailadressen of telefoonnummers om contact op te nemen met je klanten (meestal gebruiken we voor dergelijke communicatie/abonnementen een opt-in/opt-out-systeem). Deze informatie kan door klanten aangeleverd zijn bij het aanmaken van een account of bij het kopen van een product of dienst. Het gaat echter ook om de informatie die je verzamelt van mensen die je website bezoeken, via tools die over het algemeen bekend staan als ‚cookies‘ (en vergelijkbare technologieën, zoals pixels, scripts, etc.). Je hebt vast wel eens ‘cookiebanners’ gezien als je naar een website gaat. Deze banners maken het mogelijk om transparanter te zijn, net als het gebruik van een privacybeleid. Als je een cookiebanner weergeeft, kunnen individuen meer informatie krijgen over de hulpmiddelen die gebruikt worden om hun gegevens te verzamelen, dit gebruik accepteren of weigeren en/of op een andere manier beheren welke cookies acceptabel voor gebruik zijn.
Volgens de AVG moeten je klanten het recht krijgen in te stemmen met het verzamelen (en het bijbehorende gebruik) van gegevens, en de enige manier waarop deze toestemming juist gegeven kan worden is wanneer ze de optie om toestemming te geven gekregen hebben op een eenvoudig te begrijpen, specifieke (voor het gebruik in kwestie) en expliciete manier. Van te voren geselecteerde vakjes, stilte of inactiviteit kunnen niet gebruikt worden om de toestemming van je klanten aan te geven. Als je bijvoorbeeld een selectievakje op je website hebt staan met de tekst ‘wij delen gegevens met externe adverteerders’ mag dit vakje niet van tevoren al geselecteerd zijn om klanten in te schrijven voor het verwerken van hun gegevens. Het selectievakje moet open blijven voor klanten in de EER totdat ze het vrijwillig selecteren of toestemming geven voor het verwerken.
Uiteindelijk dien je te garanderen dat je klanten het gebruik van hun persoonlijke gegevens, communicatie en toestemming kunnen beheren en het recht hebben hun toestemming in te trekken.
Het recht om vergeten te worden
We hebben eerder al genoemd dat de AVG vergelijkbaar is met andere privacywetten op aarde. Dit is een recht voor je klanten dat uniek is aan de AVG. De AVG biedt individuen het ‚recht om vergeten te worden‘ (het ‚Recht op verwijdering‘ volgens de wet). Dit betekent dat de klant er om kan vragen dat al diens persoonlijke gegevens verwijderd worden (en de klant ‘vergeten’ wordt), wanneer de verzamelde persoonlijke gegevens niet langer nodig zijn voor het doel waarvoor ze verzameld of anderzijds verwerkt zijn.
Waar dit recht bestaat, ben je verplicht de persoonlijke gegevens van de betrokkene te verwijderen uit je systemen (tenzij er legitieme zakelijk of juridische redenen zijn dat deze gegevens bewaard moeten worden, bijvoorbeeld voor financiële rapportage of juridische bewaring).
Als een klant er bijvoorbeeld voor kiest geen zaken meer te doen met je, kan het zijn dat deze klant niet langer wil dat je de gegevens bewaart die je eerder had verzameld en opgeslagen. Hoewel dit recht beperkingen heeft (met uitzonderingen en ingewikkelde nuances) moet je waar dit van toepassing is, overwegen hoe je dit verzoek kunt inwilligen wanneer het gemaakt wordt.
GoDaddy zal, zoals we beschreven hebben en volgens ons Addendum voor gegevensverwerking, verzoeken van jou (de Gegevenscontroller) om gegevens van je klanten te verwijderen uit onze systemen inwilligen zodra de verzoeken gedaan worden.
Recht op gegevensportabiliteit
Het recht op gegevensportabiliteit is een recht dat uniek is aan de AVG en dat individuen in staat stelt hun persoonlijke gegevens te verkrijgen en bij verschillende diensten opnieuw te gebruiken voor hun eigen doeleinden. Het stelt ze in staat persoonlijke gegevens eenvoudig en op een veilige manier te verplaatsen, te kopiëren of over te zetten van één IT-omgeving naar een andere, zonder de bruikbaarheid te beïnvloeden.
Stel dat je een evenementenorganisator bent. Je klant heeft alle benodigde contactgegevens en relevante persoonlijke voorkeuren aangeleverd, maar is vervolgens verhuisd en heeft besloten een nieuwe evenementenorganisator aan te nemen. In de EER moet deze klant de mogelijkheid hebben een elektronische kopie van deze persoonlijke gegevens te krijgen om door te geven aan een nieuwe evenementenorganisator. GoDaddy is hier om te helpen met dergelijke verzoeken tot de hoogte waarop de persoonlijke gegevens van de klant bestaan binnen en aan jou overgedragen kunnen worden vanuit de producten of diensten die we bieden.
Privacy by Design
Privacy by Design (of by default) betekent kort gezegd dat de noodzakelijke beschermingen overwogen en meegenomen worden wanneer je persoonlijke gegevens krijgt, verwerkt, opslaat of gebruikt. Hier zijn geen speciale overwegingen of extra stappen voor nodig en alleen de minimaal noodzakelijke gegevens worden verzameld. Ze worden veilig (versleuteld) ontvangen en opgeslagen op een veilige locatie en zijn alleen toegankelijk voor mensen met een legitieme reden die hiervoor zijn opgeleid. Hier hoort ook bij dat je controleert of externe partijen ook beschermende maatregelen getroffen hebben voordat je ze de persoonlijke gegevens van je klanten stuurt.
Dit is vergelijkbaar met een patiënt die naar de dokter gaat. Als patiënt wil je dat je gezondheidsdossiers, de aantekeningen die gemaakt worden en het advies dat je krijgt veilig en vertrouwelijk blijven. Als je net zo goed let op jouw betrokkenen, zit het goed.
Elk onderzoek naar je bedrijfsvoering moet ook omvatten hoe de producten en diensten van GoDaddy gebruikt kunnen worden met het oog op privacy. Hoewel wij hopen dat onze producten en diensten aangepast kunnen worden om te voldoen aan jouw specifieke behoeften, is het aan jou om te bepalen of het gebruik van onze diensten afdoende is voor de naleving van de wetten voor gegevensprivacy en -bescherming die van toepassing zijn.
Meldingen van gegevenslekken
Indien een ongewenst lek van persoonlijke gegevens voorkomt, hebben bedrijven de plicht om toezichthoudende autoriteiten op de hoogte te stellen binnen 72 uur nadat het lek ontdekt is of zonder onnodige vertraging. Raadpleeg je advocaat voor meer informatie over hoe je dit bekend maakt en wat voor stappen je dient te ondernemen.
Wat betekent dit voor ons?
Zoals eerder genoemd, is GoDaddy meestal je Gegevensverwerker. We verwerken gegevens alleen waar nodig om namens jou, of volgens andere instructies, de diensten te leveren die je van ons gekocht hebt. Gebruik je onze diensten op een manier waarbij gegevens verzameld worden zodat je je producten kunt verkopen of om informatie over afspraken of verkoopleads te verzamelen? Geen probleem. Wij zorgen er namens jou voor dat de gegevens veilig en beschermd verwerkt worden.
Als gegevensbeheerder bepaalt u hoe de gegevens worden gebruikt en opgeslagen, en wij verwerken deze alleen volgens de voorwaarden van ons addendum gegevensverwerking addendum gegevensverwerking bij het leveren en onderhouden van de services namens u. Dit betekent dat je goed moet letten op je interne beleid en de toegang van werknemers tot records, waaronder hoe je gegevens deelt met derden en hoe gemakkelijk iemand toegang kan krijgen tot de informatie van de betrokkene.
Zoals uit bovenstaande kernpunten duidelijk wordt, is het doel van de AVG (en andere privacywetgevingen) om er zeker van te zijn dat de gegevens die we verzamelen en gebruiken om onze bedrijven succesvol te maken, goed worden beveiligd en beschermd.