GDPR

GDPR beschrijft de Europese regelgeving rond privacy die van kracht is vanaf 25 mei 2018. We zetten de belangrijkste dingen even op een rijtje die je hierover moet weten als klant van How2 Solutions.

Algemene dingen die je moet weten

GDPR staat voor General Data Protection Regulation. In het Nederlands wordt dat Algemene Verordening Gegevensbescherming (AVG). De nieuwe regelgeving zorgt voor een strengere bescherming van privacy.

  • Het verzamelen van data wordt strenger geregeld. Zo wordt ondermeer de regelgeving rond expliciete toestemming veel strenger. Iedere persoon mag ook altijd vragen om zijn gegevens in te zien of te laten verwijderen.
  • Het begrip "persoonsgegevens" wordt uitgebreid met een aantal extra datatypes. Persoonsgegevens worden omschreven als alle data waarmee een persoon te identificeren valt. Bijvoorbeeld een nummerplaat, consumptiegedrag of een IP-adres behoren vanaf nu ook tot "persoonsgegevens".
  • De wetgeving is gelijk voor alle bedrijven en organisaties binnen de EU, ongeacht hun grootte of locatie. Wordt er data van EU-burgers verwerkt door bedrijven buiten de EU, dan is GDPR ook voor hen van toepassing.
  • De wet voorziet hoge boetes wanneer de verzamelde data niet correct worden beheerd, een datalek niet wordt gemeld of het bedrijf geen risico-audit doet. Boetes kunnen oplopen tot 4 procent van de omzet, met een maximum van 20 miljoen euro.

Rollen die je moet kennen binnen GDPR

De GDPR regels zijn erg complex, zeker omdat je als bedrijf of organisatie soms in verschillende rollen terechtkomt.

  • Datasubject: dit is de persoon van wie persoonlijke informatie verwerkt wordt, ook wel betrokkene genoemd.
  • Dataverwerkingsverantwoordelijke (DPO, Data Protection Officer): dit is de degene die de gegevens verzamelt. Wanneer jij naam, adres, betaalgegevens, enz. van jouw klanten verzamelt, ben jij dataverwerkingsverantwoordelijke.
  • Dataverwerker: dit is degene die de data opslaat of verwerkt, zoals bepaald door de dataverwerkingsverantwoordelijke. Wanneer jij als klant van How2 Solutions vraagt om een backup te maken, is How2 Solutions de dataverwerker.

Wat moet jij doen voor je eigen bedrijf of organisatie?

Als bedrijf of organisatie moet je uiteraard zorgen dat je zelf volledig in orde bent met de GDPR-regelgeving. In dit geval zit jij in de rol van dataverwerkingsverantwoordelijke. Dat betekent ondermeer:

  • dat je moet zorgen dat het verwerken van persoonlijke gegevens toegestaan is (door de regelgeving te volgen).
  • dat je moet zorgen dat al je data voldoende beschermd is.
  • dat je elke schending van je beveiliging (een zogeheten data breach) waarbij persoongegevens betrokken zijn binnen de 72 uur moet melden aan de bevoegde autoriteiten. Gaat het om een datalek met een "hoog risico" dan moeten ook de betrokkenen in kwestie geïnformeerd worden. Een voorbeeld van een "hoog risico" is bijvoorbeeld wanneer het medische gegevens of betaalgegevens betreft.

Om alle regels te kennen neem je best een kijkje op de website van de privacycommissie of bevoegde instantie in het land waar je je bevindt.


Wat moet jij doen als klant van How2 Solutions?

Als klant van How2 Solutions moet jij ons laten weten welk soort data je bij ons plaatst (niet de inhoud, enkel het soort data) en aangeven hoe wij die verwerken (lees: hosting, databases, backups, email, enz.). Dat kan door een dataregister in te vullen binnen je account op onze website. Dit dataregister zal later beschikbaar worden gemaakt.

Het dataregister is een overzicht van het soort persoonsgegevens dat je verwerkt, waar ze vandaan komen en met wie ze gedeeld worden. Dat register moet te allen tijde een accuraat overzicht geven. Als er ooit een datalek is, dient dat register namelijk als bewijs dat de regels wel degelijk gevolgd werden.

De regelgeving rond GDPR is opgenomen in onze Algemene Voorwaarden alsook in ons Privacybeleid.


Wat doet How2 Solutions?

How2 Solutions heeft een dubbele rol: die van dataverwerker (voor de data van jouw klanten die jij bij ons plaatst) en die van dataverwerkingsverantwoordelijke (voor jouw persoonlijke data als klant van How2 Solutions).

Als dataverwerker zorgen wij voor de data die jij als dataverwerkingsverantwoordelijke verzameld hebt. In die rol zorgen wij ervoor dat:

  • het duidelijk is wie legale verantwoordelijkheid draagt. Afhankelijk van het type dienst dragen wij als verwerker meer of minder verantwoordelijkheid.
  • elke medewerker perfect op de hoogte is van alles wat GDPR inhoudt.
  • je data maximaal beveiligd is.
  • we logs bijhouden van dataverwerkingen die we doen op jouw data.
  • een eventuele schending van de beveiligingen op door ons beheerde infrastructuur, zo snel mogelijk aan jou gemeld wordt.
  • we van dichtbij opvolgen welke inspanningen onze leveranciers en partners doen om in regel te zijn met GDPR.
  • je beveiligde toegang krijgt tot jouw gegevens of we je een kopie ervan bezorgen wanneer je als klant kiest voor een andere dataverwerker.

Als dataverwerkingsverantwoordelijke beheren wij dan weer jouw eigen persoonlijke informatie (als klant van How2 Solutions). Dat betekent dat jij als datasubject een aantal rechten hebt:

  • Je mag je data inkijken en indien nodig (laten) verbeteren.
  • Je mag ten allen tijde je mailvoorkeuren wijzigen.
  • Je mag informatie over je data vragen (hoe lang wij je data bewaren, waarom wij die data verzamelen, welke personen/organisaties er toegang toe hebben, enz.)
  • Je mag vragen om je gegevens te wissen. Dit betreft gegevens waarvoor actieve toestemming gegeven is of wanneer er een gerechtvaardig belang is. Data die om contractgerelateerde redenen nodig is (om facturen te kunnen sturen of bepaalde technische aanpassingen te melden, bijvoorbeeld), vallen onder wettelijk bepaalde bewaartermijnen. Na deze termijnen worden de gegevens automatisch gewist.

Waar wordt mijn data opgeslagen en gebruikt?

Alle data die tot het hostingpakket behoort wordt opgeslagen in de Europese Unie, meer bepaald in de landen België, Nederland en/of Duitsland. Dit betreft alle bestanden, databases, emails, ... die door de klant zelf verzameld worden binnen zijn hostingpakket. Deze data wordt niet benaderd door How2 Solutions, met uitzondering van het maken van backups en het behandelen van supportaanvragen van de klant.

De persoonlijke informatie van de klanten van How2 Solutions wordt eveneens opgeslagen in de Europese Unie, meer bepaald in de landen België en Nederland. Wij delen deze klantengegevens niet met derden, met uitzondering van de door de klant aangekochte diensten waarbij dit noodzakelijk is (bv. domeinnaam registratie). Wij beperken ons hierbij steeds tot het strikt noodzakelijke.


Uw data voldoende beschermen

De GDPR wetgeving vereist dat alle data voldoende beschermd is. Hierbij enkele maatregelen die je best in acht neemt om aan deze verplichting te voldoen:

Maatregelen die je als klant neemt:

  • Gebruik steeds de laatste versie van de software die u gekozen heeft (WordPress, Drupal, Prestashop, ...). Er worden regelmatig kwetsbaarheden gevonden die het eenvoudig maken om een website binnen te dringen. Sommige software biedt ook de mogelijkheid om uit zichzelf te controleren op nieuwe versies en deze automatisch toe te passen.
  • Ook in plugins en themes van deze software kunnen zich kwetsbaarheden bevinden. Hou deze dus ook in de gaten en gebruik bij voorkeur geen plugins of themes die niet meer actief ondersteund worden.
  • Gebruik een ondersteunde PHP versie. De meeste software binnen uw hostingpakket maakt gebruik van PHP. Dit is de motor van de software die u gebruikt. U kan zelf de versie van PHP kiezen in cPanel onder MultiPHP.
  • Gebruik encryptie voor het opslaan van wachtwoorden en gevoelige data.
  • Stel uw website zo in dat bezoekers steeds omgeleid worden naar https (SSL). Dit voorkomt dat data makkelijk onderschept kan worden.

Maatregelen die How2 Solutions neemt:

  • Installatie van de meest recente versies van de besturingssystemen die we gebruiken.
  • Beveiliging van de kernel, de motor van het besturingssysteem.
  • Installatie van de meest recente versies van cPanel, Apache, PHP, ... en andere onderdelen van het hostingplatform.
  • Afschermen van gebruikers. Dit voorkomt dat klanten aan bestanden van andere klanten kunnen en beperkt de impact wanneer de hostingruimte van één klant binnengedrongen wordt.
  • Beveiliging tegen DDoS aanvallen in het datacenter.
  • Beveiliging van het netwerk op onze servers.
  • Een WAF (Web Application Firewall) beschermt websites tegen specifieke en generieke aanvallen waarmee data kan buitgemaakt worden.
  • Actief scannen op malware en virussen van bestanden die via upload of FTP op de hostingruimte terechtkomen.
  • Brute-force beveiliging, waarmee het aantal pogingen om te proberen met een wachtwoord sterk beperkt wordt.

Praktische voorbeelden

U doet het goed indien u:

  • Steeds de laatste versie van de door u gekozen software (WordPress, Drupal, ...) gebruikt.
  • Uw hosting account instelt op een PHP versie die nog ondersteund wordt.
  • U bijhoudt wie welke gegevens heeft geraadpleegd of aangepast.
  • U niet zomaar iedereen uw gegevens laat inkijken zonder duidelijke afspraken.

U doet het fout indien u:

  • Gegevens van uw klanten zomaar door iedereen te raadplegen zijn, binnen of buiten uw organisate.
  • Gegevens van klanten doorstuurt zonder dat deze daar toestemming voor gegeven hebben.
  • Nieuwsbrieven verstuurd aan personen die daar nooit expliciet toestemming voor gegeven hebben.
  • Uw klanten hun gegevens niet kunnen inkijken of hun voorkeuren aanpassen.

Domeinnaam beschikbaar?

Alle extensies weergeven