In de Europese Privacy verordening staat de verplichting om een verwerkersovereenkomst (voorheen bewerkersovereenkomst) op te stellen die door verantwoordelijke en verwerker wordt ondertekend.

Wat is een bewerkersovereenkomst ?

De bewerkersovereenkomst is de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan.

Een voorbeeld van een verantwoordelijke is een vereniging, die lidgegevens op zijn website administreert ten behoeve van de inning van de jaarlijkse contributie. De verwerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Bijvoorbeeld de webhoster van de website.

Verenigingen hebben dus de verantwoordelijkheid dat een overeenkomst wordt opgesteld en ondertekend. Onze ervaring is dat het verenigingsbestuur er onvoldoende kennis van heeft, en dus hebben wij als webhoster een verwerkersovereenkomst opgesteld. Hierin verplichten wij ons onder andere de servers en backups afdoende te beveiligen tegen datadiefstal. Om met de belastingdienst te spreken "Leuker kunnen we het niet maken, makkelijker wel.".

Wat is de Euopese privacy verordening of Algemene Verordening Gegevensbescherming (AVG) ?

De AVG behelst in grote lijnen een verbetering van de privacyrechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties). De sleutelbegrippen in de AVG zijn privacy en persoonsgegevens.

De Europese Privacyverordening treedt in werking op 25 mei 2018.

Een verordening, zoals de AVG, legt verplichtingen op aan de lidstaten. Hierdoor is er sprake van één, uniforme wetgeving. Daarmee is een verordening veel dwingender dan een richtlijn voor de lidstaten.

MMS voorziet u van de tools om te voldoen aan de AVG (GDPR) met standaard ingebouwde functies.

Recht op inzage en correctie persoonsegegevens

Leden hebben het recht om hun geregistreerde gegevens in te zien die de club heeft, daarin is voorzien door leden toegang te geven tot hun gegevens. Ook kunnen leden hun eigen gegevens muteren, binnen door u ingestelde grenzen. Meer info in de documentatie.

Recht om vergeten te worden

In MMS zit de automatische verwijdering van alle lidgegevens na een instelbare periode (Retentie periode). Meer info in de documentatie.

Recht op overdracht persoonsgegevens

Na aanvraag exporteert u met 1 druk op de knop de gegevens van het betreffende lid naar Excel, waarna de data kunnen worden overgedragen. Meer info in de documentatie.

Veiligheid in het ontwerp

Door integratie in Joomla (ACL) zijn geavanceerde beveiligingen mogelijk, met verschillende niveaus en toegang tot functies binnen de club. Ook wordt de security van de code regelmatig getest, in april 2018 is de code voor het laatst gecontroleerd en goed bevonden. Meer info in de documentatie.

Garantie op goede configuratie

Wilt u een gegarandeerd correcte en veilige intranet installatie? Op aanvraag kunt u aan ons de configuratie uitbesteden of een check laten uitvoeren. Neem nu contact op.

MMS helpt verenigingen en stichtingen om te voldoen aan de voorwaarden van de AVG:

• Recht op toegang tot gegevens
• Privacy waarborging
• Gegevens mobiliteit

Om nu ook te voldoen aan "Het recht om te worden vergeten", introduceren wij de functie om "verouderde gegevens automatisch te verwijderen".

Sinds MMS versie 7.5.20 vindt u in het options menu, het aantal dagen dat gegevens moet worden bewaard na het beeindigen van het lidmaatschap. De Crontab zal nadat het aantal dagen voorbij is de lidgegevens, de aanmeldgegevens en de facturen verwijderen (indien u MMS Subscription gebruikt). Bij lidgegevens wordt de opzegdatum gebruikt, voor facturen wordt de facturatiedatum gebruikt en voor aanmeldgegevens wordt de aanmelddatum gebruikt.

Tijdens de installatie of update, wordt de waarde op 3650 gezet, dat is 10 jaar. Afhankelijk van het doel dat de gegevens moeten worden bewaard bij de organisatie, kan 10 jaar te lang zijn. 1 a 2 jaar is een veilige instelling, en nog bruikbaar voor een vereniging of stichting.

Deze nieuwe functie kan ook worden ingezet als een lid daarom vraagt: zet de opzegdatum hoger dan de ingestelde waarde. De gegevens worden dan verwijderd zodra de cron job weer draait.

Wij adviseren ook om een Joomla component in te zetten om verouderde accounts dagelijks op te schonen. Er is immers geen reden om Joomla gebruiker gegevens tot in de eeuwigheid op uw website te bewaren.

Stapsgewijs wordt de wetgeving met betrekking tot bescherming van de persoonsgegevens opgevoerd. Eerst werd de WBP aangescherpt, en die ging per 25 mei 2018 over in de AVG (Algemene verordening gegevensbescherming).

Voor organisaties die leden of klanten hebben, betekent dit dat ze goed moeten doorlichten hoe ze met persoonsgegevens omgaan.
In ons artikel uit 2015 staat de basis beveiliging voor onze klanten al toegelicht.

Op dat artikel hebben we 2 aanvullingen:

1. In de tussentijd is de bewerkersovereenkomst overgegaan in de verwerkers overeenkomst.
2. Ook heeft de overheid een nuttige site gelanceerd waarmee u de hosting instellingen kunt controleren: internet.nl. Wij hebben daar 1 punt van aandacht bij: als u het achterhalen van wachtwoorden via Brute Force voorkomt met "ban software" zoals Fail2ban, dan is IPV6 een onvelige instelling. De meest gebruikte ban software werkt namelijk nog niet met IPV6 op stable webservers. Dus daarmee maakt u uw systeem eerder onveilig dan veilig !