De Algemene Verordering Gegevensbescherming

Er is veel over te lezen de laatste tijd: De Algemene Verordening Gegevensbescherming. Afgekort tot AVG, of in het Engels GDPR. In dit artikel een uitleg wat deze verordering inhoud met betrekking tot de dienstverlening van bHosted en hoe je als klant een verwerkersovereenkomst van bHosted kunt verkrijgen.

De AVG zal per 25 Mei 2018 de Wet Bescherming Persoongegevens (Wbp) vervangen en zal op kleine details na voor de hele Europesche Unie het zelfde zijn. Het doel van de verordening is een nog betere bescherming van persoonsgegevens waarborgen.

Om het concreet te maken met een voorbeeld: Als een nieuwe klant zich aanmeldt bij bHosted, dan vraagt bHosted persoonsgegevens: Naam, adres, telefoonnummer, mobiele nummer,  e-mail adres en eventueel bankgegevens voor automatische incasso. Dit zijn gegevens die noodzakelijk zijn voor het kunnen uitvoeren en factureren van de afgenomen webhosting diensten.

Er is veel over te lezen de laatste tijd: De Algemene Verordening Gegevensbescherming. Afgekort tot AVG, of in het Engels GDPR. In dit artikel een uitleg wat deze verordening inhoud met betrekkeing tot de dienstverlening van bHosted en hoe je als klant een verwerkersovereenkomst van bHosted kunt verkrijgen.

De AVG zal per 25 Mei 2018 de Wet Bescherming Persoongegevens (Wbp) vervangen en zal op kleine details na voor de hele Europesche Unie het zelfde zijn. Het doel van de verordening is een nog betere bescherming van persoongegevens waarborgen.

Om het concreet te maken met een voorbeeld: Als een nieuwe klant zich aanmeldt bij bHosted, dan vraagt bHosted persoonsgegevens: Naam, adres, telefoonnummer, mobiele nummer, e-mail adres en eventueel bankgegevens voor automatische incasso. Dit zijn gegevens die noodzakelijk zijn voor het kunnen uitvoeren en factureren van de afgenomen webhosting diensten.

Vanuit de AVG wordt bHosted in deze hoedanigheid gezien als de Verantwoordelijke: de klant geeft zijn gegevens aan bHosted en vertrouwt erop dat bHosted de gegevens alleen gebruikt voor het uitvoeren van de afgenomen diensten, zoals beschreven staat in de overeenkomst en de algemene voorwaarden. De AVG schrijft ook voor dat er niet om meer gegevens gevraagd wordt dan noodzakelijk is voor het kunnen uitvoeren van de afgenomen diensten. Er zou bijvoorbeeld ook om de geboortedatum gevraagd kunnen worden, maar dat persoonsgegeven is niet noodzakelijk om de diensten uit te kunnen voeren.

Een Verantwoordelijke kan meestal niet alle bedrijfstaken zelf uitvoeren. Sommige taken worden uitbesteed aan andere bedrijven. Zo’n taak kan bijvoorbeeld de boekhouding zijn, De persoonsgevens worden doorgegeven aan het bedrijf waar bHosted zijn online boekhouding doet. Dit bedrijf is in AVG termen een verwerker. Als Verantwoordelijke dient bHosted met dit bedrijf een verwerkersovereenkomst af te sluiten. Of de Verantwoordelijke of de Verwerker deze verwerkersovereenkomst opstelt, is vrij om overeen te komen door beide partijen. Als de Verwerker een bedrijf is met een groot aantal klanten die allemaal een vergelijkbare dienst afnemen, dan zal voor de overzichtelijkheid de Verwerker een algemene verwerkersovereenkomst opstellen en deze aanbieden aan de Verantwoordelijke. In dit voorbeeld zal dus het online boekhoud bedrijf een verwerkersovereenkomst aanbieden aan bHosted.

Zo moet bHosted dus met de bedrijven waar persoongegevens aan verstrekt worden een verwerkersovereenkomst sluiten: naast het online boekhoud bedrijf moet hierbij gedacht worden aan het bedrijf dat de mailings verzorgt, maar ook waar de .com en dergelijke domeinen worden onder gebracht voor het vastleggen van wie de betreffende domein is.

Voor .nl, .eu en .be domeinen ligt het iets anders: In die situatie wordt de SIDN (beheerder van alle .nl domeinnamen) gezien als Verantwoordelijke. De klant gaat juridisch gezien namelijk bij afname van een .nl domeinnaam ook een overeenkomst aan met de SIDN.

Wat het o.a. voor webhosting bedrijven complex maakt, is dat er diensten worden aangeboden waarbij er de mogelijkheid is dat de klant van bHosted persoonsgegevens opslaat en/of verwerkt op de servers van bHosted. Dat kan in de vorm van het ontvangen, versturen en bewaren van e-mails op de servers zijn, maar ook in databases of bestanden die door de website(s) worden gebruikt. Het is volgens de AVG al noodzakelijk om een verwerkersovereenkomst te sluiten als er een contactformulier op de website staat.

De AVG schrijft voor dat deze opslag en uitwisseling van persoongegevens op een afdoende manier wordt beveiligd. De verantwoordelijkheid ligt volgens de AVG uiteraard bij de Verantwoordelijke, maar in de verwerkersovereenkomst wordt aangeven welke verantwoordelijkheden er bij een Verwerker neergelegd worden en of er bepaalde diensten door de Verwerker weer uitbesteed zijn aan sub-verwerkers. Ook staat er in de verwerkersovereenkomst aangegeven of er bijzondere persoongegevens verwerkt worden door de Verantwoordelijke via de diensten van de Verwerker. Onder bijzondere persoongegevens vallen onder andere medische gegevens, maar ook het BSN nummer. Dit laatste is een van de toevoegingen die er door Nederland gemaakt zijn ten opzichte van de op Europees niveau vastgestelde AVG regels die gelden.

De verantwoordelijkheden die met de algemene verwerkersovereenkomst bij bHosted worden neergelegd hebben betrekking op:

  • De fysieke beveiliging van de server.
    Denk hierbij aan het beveiligen van het datacentrum en computer kasten waar de bHosted servers in geplaatst zijn.
  • Een veilige hosting omgeving
    Bij bHosted zijn de accounts van alle klanten gescheiden van elkaar: Iedere account draait in een afgescheide omgeving. Bij het bijwerken van bestanden met FTP, het inloggen met SSH, het ontvangen en ophalen van e-mail, maar ook bij het uitvoeren van website scripts zijn bestanden en mappen van andere klanten niet te zien.
  • Het bijwerken van de server software
    Onder server software wordt verstaan het operating systeem van de server, de webserver software, de e-mail server software en andere algemene software op de servers. Hoewel er een webserver firewall draait ter bescherming van onder andere WordPress en Joomla scripts, is de klant zelf verantwoordelijk voor het installeren en veilig houden van het geïnstalleerde script. Hieronder vallen ook de scripts die geinstalleerd zijn met Installatron.
  • De mogelijkheid geven tot het beveiligen van website verbindingen
    Bij bHosted is het mogelijk om SSL certificaten aan te vragen ter beveiliging van de verbinding tussen de webserver en de website bezoeker. Het forceren van een beveiligde website verbinding is de verantwoordelijkheid van de klant. Hoe dit gedaan moet worden is uitgelegd in de bHosted helpdesk.
  • De mogelijkheid geven tot het beveiligen van de e-mail verbindingen
    e-Mail kan opgehaald worden over beveiligde en onbeveiligde verbindingen. Het is aan de klant om de e-mail altijd over een beveiligde verbinding binnen te halen en te versturen. Dit wordt bepaald door het gebruikte e-mail programma.

bHosted geeft dus de mogelijkheid om een veilige omgeving op te bouwen voor de onderbrengen van de website en e-mail, maar het is aan de Verantwoordeljke om de benodigde beveiligingen te activeren als dit door de AVG wordt voorgeschreven. Indien je advies nodig hebt, kan je hiervoor contact opnemen met de helpdesk.

Dus verwerk en/of bewaar je persoonsgegevens voor je bedrijf bij bHosted, dan kan de verwerkersovereenkomst getekend en in PDF vorm gedownload worden in het controle paneel. De standaard verwerkersovereenkomst is te lezen op de pagina https://www.bhosted.nl/over-bhosted/verwerkersovereenkomst.

Standaard wordt door bHosted met behulp van de verwerkersovereenkomst alleen het verwerken van niet bijzondere persoongegevens toegestaan. Dit zijn naam, adres, woonplaats, telefoonnummer, etc.. Voor de AVG zijn bijzondere persoonsgegevens:

  • BSN nummer
  • Ras
  • Godsdienst
  • Seksuele leven
  • Politieke opvatting
  • Gezondheid
  • Lidmaatschap van een vakvereniging
  • Strafrechtelijk gedrag
  • Genetische gegevens
  • Biometrische gegevens

Mochten er ook bijzondere persoongegevens verwerkt worden met de bHosted diensten, dan kan er contact opgenomen worden via info@bhosted.nl.

Als Verantwoordelijke moet dan aangegeven worden welke bijzondere persoongegevens er verwerkt worden. Ook dient aangegeven te worden of, en zo ja, welke aanvullende beveiligingen door bHosted genomen dienen te worden. Uiteraard kan bHosted hierin een adviserende rol hebben.

Voor de volledigheid: dit artikel beschrijft niet alle onderdelen van de AVG, zoals de meldplicht, bewaartermijnen en het recht om vergeten te worden.Vanuit de AVG wordt bHosted in deze hoedanigheid gezien als de Verantwoordelijke: de klant geeft zijn gegevens aan bHosted en vertrouwt erop dat bHosted de gegevens alleen gebruikt voor het uitvoeren van de afgenomen diensten, zoals beschreven staat in de overeenkomst en de algemene voorwaarden. De AVG schrijft ook voor dat er niet om meer gegevens gevraagd wordt dan noodzakelijk is voor het kunnen uitvoeren van de afgenomen diensten. Er zou bijvoorbeeld ook om de geboortedatum gevraagd kunnen worden, maar dat persoonsgegeven is niet noodzakelijk om de diensten uit te kunnen voeren.

Een Verantwoordelijke kan meestal niet alle bedrijfstaken zelf uitvoeren. Sommige taken worden uitbesteed aan andere bedrijven. Zo’n taak kan bijvoorbeeld de boekhouding zijn, De persoonsgevens worden doorgegeven aan het bedrijf waar bHosted zijn online boekhouding doet. Dit bedrijf is in AVG termen een verwerker. Als Verantwoordelijke dient bHosted met dit bedrijf een verwerkersovereenkomst af te sluiten. Of de Verantwoordelijke of de Verwerker deze verwerkersovereenkomst opstelt, is vrij om overeen te komen door beide partijen. Als de Verwerker een bedrijf is met een groot aantal klanten die allemaal een vergelijkbare dienst afnemen, dan zal voor de overzichtelijkheid de Verwerker een algemene verwerkersovereenkomst opstellen en deze aanbieden aan de Verantwoordelijke. In dit voorbeeld zal dus het online boekhoud bedrijf een verwerkersovereenkomst aanbieden aan bHosted.
Zo moet bHosted dus met de bedrijven waar persoonsgegevens aan verstrekt worden een verwerkersovereenkomst sluiten: naast het online boekhoud bedrijf moet hierbij gedacht worden aan het bedrijf dat de mailings verzorgt, maar ook waar de .com en dergelijke domeinen worden onder gebracht voor het vastleggen van wie de betreffende domein is.
Voor .nl, .eu en .be domeinen ligt het iets anders: In die situatie wordt de SIDN (beheerder van alle .nl domeinnamen) gezien als Verantwoordelijke. De klant gaat juridisch gezien namelijk bij afname van een .nl domeinnaam ook een overeenkomst aan met de SIDN.
Wat het o.a. voor webhosting bedrijven complex maakt, is dat er diensten worden aangeboden waarbij er de mogelijkheid is dat de klant van bHosted persoonsgegevens opslaat en/of verwerkt op de servers van bHosted. Dat kan in de vorm van het ontvangen, versturen en bewaren van e-mails op de servers zijn, maar ook in databases of bestanden die door de website(s) worden gebruikt. Het is volgens de AVG al noodzakelijk om een verwerkersovereenkomst te sluiten als er een contactformulier op de website staat.
De AVG schrijft voor dat deze opslag en uitwisseling van persoonsgegevens op een afdoende manier wordt beveiligd. De verantwoordelijkheid ligt volgens de AVG uiteraard bij de Verantwoordelijke, maar in de verwerkersovereenkomst wordt aangeven welke verantwoordelijkheden er bij een Verwerker neergelegd worden en of er bepaalde diensten door de Verwerker weer uitbesteed zijn aan sub-verwerkers. Ook staat er in de verwerkersovereenkomst aangegeven of er bijzondere persoonsgegevens verwerkt worden door de Verantwoordelijke via de diensten van de Verwerker. Onder bijzondere persoonsgegevens vallen onder andere medische gegevens, maar ook het BSN nummer. Dit laatste is een van de toevoegingen die er door Nederland gemaakt zijn ten opzichte van de op Europees niveau vastgestelde AVG regels die gelden.
De verantwoordelijkheden die met de algemene verwerkersovereenkomst bij bHosted worden neergelegd hebben betrekking op:
  • De fysieke beveiliging van de server.
    Denk hierbij aan het beveiligen van het datacentrum en computer kasten waar de bHosted servers in geplaatst zijn.
  • Een veilige hosting omgeving
    Bij bHosted zijn de accounts van alle klanten gescheiden van elkaar: Iedere account draait in een afgescheiden omgeving. Bij het bijwerken van bestanden met FTP, het inloggen met SSH, het ontvangen en ophalen van e-mail, maar ook bij het uitvoeren van website scripts zijn bestanden en mappen van andere klanten niet te zien.
  • Het bijwerken van de server software
    Onder server software wordt verstaan het operating systeem van de server, de webserver software, de e-mail server software en andere algemene software op de servers. Hoewel er een webserver firewall draait ter bescherming van onder andere WordPress en Joomla scripts, is de klant zelf verantwoordelijk voor het installeren en veilig houden van het geïnstalleerde script. Hieronder vallen ook de scripts die geïnstalleerd zijn met Installatron.
  • De mogelijkheid geven tot het beveiligen van website verbindingen
    Bij bHosted is het mogelijk om SSL certificaten aan te vragen ter beveiliging van de verbinding tussen de webserver en de website bezoeker. Het forceren van een beveiligde website verbinding is de verantwoordelijkheid van de klant. Hoe dit gedaan moet worden is uitgelegd in de bHosted helpdesk.
  • De mogelijkheid geven tot het beveiligen van de e-mail verbindingen
    e-Mail kan opgehaald worden over beveiligde en onbeveiligde verbindingen. Het is aan de klant om de e-mail altijd over een beveiligde verbinding binnen te halen en te versturen. Dit wordt bepaald door het gebruikte e-mail programma.
bHosted geeft dus de mogelijkheid om een veilige omgeving op te bouwen voor de onderbrengen van de website en e-mail, maar het is aan de Verantwoordeljke om de benodigde beveiligingen te activeren als dit door de AVG wordt voorgeschreven. Indien je advies nodig hebt, kan je hiervoor contact opnemen met de helpdesk.
Dus verwerk en/of bewaar je persoonsgegevens voor je bedrijf bij bHosted, dan kan de verwerkersovereenkomst getekend en in PDF vorm gedownload worden in het controle paneel. De standaard verwerkersovereenkomst is te lezen op de pagina https://www.bhosted.nl/over-bhosted/verwerkersovereenkomst.
Standaard wordt door bHosted met behulp van de verwerkersovereenkomst alleen het verwerken van niet bijzondere persoonsgegevens toegestaan. Dit zijn naam, adres, woonplaats, telefoonnummer, etc.. Voor de AVG zijn bijzondere persoonsgegevens:
  • BSN nummer
  • Ras
  • Godsdienst
  • Seksuele leven
  • Politieke opvatting
  • Gezondheid
  • Lidmaatschap van een vakvereniging
  • Strafrechtelijk gedrag
  • Genetische gegevens
  • Biometrische gegevens
Mochten er ook bijzondere persoonsgegevens verwerkt worden met de bHosted diensten, dan kan er contact opgenomen worden via info@bhosted.nl.
Als Verantwoordelijke moet dan aangegeven worden welke bijzondere persoonsgegevens er verwerkt worden. Ook dient aangegeven te worden of, en zo ja, welke aanvullende beveiligingen door bHosted genomen dienen te worden. Uiteraard kan bHosted hierin een adviserende rol hebben.
Voor de volledigheid: dit artikel beschrijft niet alle onderdelen van de AVG, zoals de meldplicht, bewaartermijnen en het recht om vergeten te worden.

1 Reactie op De Algemene Verordering Gegevensbescherming

  1. Frank van Bortel schreef:

    BSN = burger service nummer, “BSN nummer” is dus incorrect.
    Daarnaast is er teveel geplakt; hele lappen tekst staan er twee keer in.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*