11 juni, 2018

Je hebt toch niks te verbergen?

25 mei 2018 was het uur U. Veel bedrijven en overheidsafdelingen zijn voor én na die datum druk bezig om te zorgen dat jouw privacy niet meer zo snel op straat komt te liggen. De Nederlandse wet bescherming persoonsgegevens deed tot nu toe aardig zijn best, maar de nieuwe afspraken gelden voor alle EU landen. Ook heeft de nieuwe wet flinke tanden gekregen.

Wij moesten flink aan de bak om te zorgen dat we zouden voldoen aan deze nieuwe regels. Je moet onder andere een volledige registratie hebben van alle plekken waar je persoonsgegevens binnenkrijgt en bewaard. Ook moet je aangeven welke gegevens je opslaat, van wie en waarom. Wie toegang heeft tot deze gegevens, waar ze worden opgeslagen en hoe lang mag ook niet ontbreken. Zelfs hoe je de beveiliging hebt geregeld moet worden vermeld.

Het maken van deze lijst is veel werk, maar nog veel belangrijker is dat je aan het nadenken wordt gezet over de gegevens die je hebt opgeslagen. Gegevens die je misschien niet vaak onder ogen krijgt en waar je niet aan denkt.

Kopie paspoorten van oud-medewerkers bijvoorbeeld. Dat is gevoelige informatie en niet meer van belang, hup, door de shredder! Ook het geslacht dat je op Eet.nu bij je account kon invullen werd niet door ons gebruikt en is ook niet meer van deze tijd. We hebben dit veld dus ook verwijderd uit het formulier en onze database. Gegevens die wij opslaan bij recensies en reserveringen ter ondersteuning van onze controles en voor het vinden van fouten in onze software konden we weghalen na 30 dagen, want daarna zijn deze gegevens niet meer nodig. En zo waren er nog tal van voorbeelden te vinden.

Waar we data met anderen deelden terwijl dat niet absoluut noodzakelijk was, hebben we aanpassingen gemaakt. Onze Google Analytics data wordt nu niet meer gedeeld met AdWords, maar ook de salarisstroken van onze werknemers sturen we niet meer per email, want daarmee deel je in principe gevoelige gegevens met de mailprovider (Google in ons geval).

Nadat we alle datastromen in kaart hadden gebracht, de spullen verwijderd hadden die we niet meer nodig hadden en gegevens niet meer deelden waar dit niet nodig was, moest er gezorgd worden dat de overgebleven persoonsgegevens veilig behandeld en opgeslagen werden. Alle Eet.nu medewerkers hebben een wachtwoord-manager gekregen 1Password. Dit is software die lange en lastige wachtwoorden voor je kan verzinnen, maar ook veilig bewaren en invullen als je ze nodig hebt. We hebben meteen hele lange nieuwe wachtwoorden gemaakt voor gezamenlijk gebruikte producten. Omdat deze lange reeksen willekeurige tekens niet te onthouden zijn wordt iedereen direct gedwongen om te wennen aan het gebruik van een wachtwoord manager.

Onze interne systemen zijn ook op de schop gegaan. Waar je vroeger als werknemer van Eet.nu bijna bij alle gegevens kon, is dit nu flink aan banden gelegd. Er zijn rollen binnen het bedrijf gedefinieerd en een rol geeft je enkel toegang tot die informatie die je uitdrukkelijk nodig hebt voor je rol. Dus zo kunnen bijvoorbeeld onze butlers die reserveringen behandelen, niet meer de persoonsgegevens van recensies inzien en kunnen de content managers, die onder andere recensies behandelen, niet meer de persoonsgegevens van reserveringen inzien.

Om te kunnen voldoen aan de AVG, moet elke partij waar je data mee deelt ook voldoen aan de AVG. Dit is best spannend, want hoe lang ben je bereid te wachten op een andere partij? Als ze te laat zijn, ben je zelf ook te laat en valt het hele kaartenhuis in duigen. Voor alle verwerkers van data heb je een verwerkersovereenkomst nodig. Hier leg je in vast hoe deze verwerkers met de data waar wij verantwoordelijk voor zijn, moeten omgaan.

De lijst met verwerkers bleek langer dan ik initieel had gedacht. Met Amazon, Google, Papertrailapp, CloudVPS, DigitalOcean, Dropbox, Helpscout, Slack, Sendgrid, Twilio, Messagebird en zelfs met onze accountant en telefoonprovider hebben we uiteindelijk een overeenkomst gesloten. Onze scanner kreeg het er warm van!

Tevreden over de hoeveelheid werk die we hadden verricht. Blij dat onze nieuwsbriefabonnees al lang op een AVG vriendelijke manier ingeschreven werden en Eet.nu de website geen cookies had waarvoor we toestemming moesten vragen, hingen we achterover te wachten tot het 25 mei zou zijn. Weer een project met succes afgerond. Onze rust werd wreed verstoord door het besef dat onze klanten natuurlijk ook aan de AVG willen voldoen!

De websites die wij leveren plaatsen ook cookies en hebben een privacyverklaring nodig. Gelukkig hadden we veel ervaring opgedaan in de afgelopen maanden en konden we snel een nieuwe pagina toevoegen aan de honderden websites waarin de bezoeker wordt uitgelegd hoe er met zijn persoonlijke gegevens wordt omgegaan. De klanten die met ons persoonlijke informatie delen hebben we een verwerkersovereenkomst aangeboden zodat zij ook alles in orde konden maken om aan de AVG te voldoen.

Dan is het zo ver. 25 mei 2018. Dé datum. De dag waar we allemaal naar toe gewerkt hebben. Mijn vrouw wenste me nog succes toen ik in de ochtend naar kantoor vertrok. Eenmaal daar bleek er voor de AVG niks meer te doen. Ook deze anti-climax werd snel doorbroken. Het eerste verzoek ter verwijdering van persoonlijke data kwam binnen. Leuk! Ik had nog geen script hiervoor gemaakt, dus nu moest ik daarmee aan de gang. Het is van belang om dit proces te automatiseren omdat klantgegevens in zo veel verschillende systemen en lijsten kan zitten, dat je niet per ongeluk iets wilt overslaan. Ook heb je dit script nodig als je bij calamiteiten een backup terug plaatst waar deze gegevens zich nog in bevinden dan moet je namelijk weer opnieuw de gegevens verwijderen. En als laatste, met de hoeveelheid accounts die we bij Eet.nu hebben, zal dit niet de laatste keer zijn dat iemand om verwijdering vraagt en dan is het de volgende keer maar een druk op de knop.

Dus beste privacy-zoeker, ik wil je graag bedanken voor deze vuurdoop, maar kan helaas je contactgegevens niet meer vinden.

Reacties

Nieuwe reactie
    1. Om SPAM tegen te gaan moet u deze vraag correct beantwoorden.

Laatste reacties

  1. Lieven Roose in Leven als een Bourgondiër

    Leuk artikel, mooi geschreven! Maar wat de meeste mensen over het hoofd zien, is dat de zogehete...

  2. Arnaud de Klerk in 6× Culinair genieten aan het water

    Ook een geweldige locatie aan het water om te eten: https://www.eet.nu/willemstad/vista Allee...

  3. Arnaud de Klerk in 20× heerlijke aanraders voor 20 jaar kapsalon!

    Ook nog een goede locatie om in het zuiden van het land een goede kapsalon te halen: https://www...

  4. Ravi Khanna in Domino's geeft duizenden pizza's weg

    Ken je de website pizzaactie.nl al? Ik ben net achter gekomen dat hun megaveel kortingscodes hebb...

  5. Gerard in 7× All you can eat toprestaurants

    Het voordeel van all-you-can-eat is dat je vaak meer keuze hebt. Ik hou van keuze!

  6. Willem Punt in 7× All you can eat toprestaurants

    Bij Sushi Today in Amersfoort op het Eemplein kun je uitstekend all you can eat eten. Zowel sush...

  7. Wilj in 7× All you can eat toprestaurants

    Foodunie in Wormerveer, is een wereldkeuken en all you can eat. Kinderen en 65+ betalen minder en...

  8. Arnaud de Klerk in 7× All you can eat toprestaurants

    Okidoki. Dan is dat verkeerd ingeschat van mijn kant :)