Nieuwe AVG Privacy wet

Nederlandse ondersteuning voor CMS Made Simple

Moderator: velden

Post Reply
musicscore
Power Poster
Power Poster
Posts: 444
Joined: Wed Jan 25, 2006 11:53 am
Location: Netherlands

Nieuwe AVG Privacy wet

Post by musicscore »

Hallo allen.

Vanaf mei 2018 is het zover. Dan wordt de wet AVG (https://autoriteitpersoonsgegevens.nl/n ... rmatie-avg ook in Nerderland van kracht.
Als beheerder van de websites van mijn klanten heb ook ik hiermee van doen. Het registreren van bezoekers-ipadres is al een gegeven waarop deze wet bv. van toepassing is.

Mijn vraag is. Hoe gaan jullie hier mee om?

Op dit moment heb ik het idee maar te stoppen met mijn hobby/bijbaan en al mijn klanten in te lichten dat ze maar naar een ander moeten overstappen. Deze wet brengt namelijk nogal wat gevaar-voor-grote-boetes met zich mee.

Nogmaals, Hoe gaan jullie hier mee om ?
deactivated010521

Re: Nieuwe AVG Privacy wet

Post by deactivated010521 »

Ik heb met ingelezen in de GDPR wetgeving. Kort door de bocht je mag gebruikersgegevens opslaan maar je mag deze niet langer dan noodzakelijk bewaren. Daarnaast zult je eindgebruikers toestemming moeten vragen en op de hoogte moeten stellen wanneer je gegevens opslaat. Je zult inzage en verwijdering van gegevens moeten honoreren.

Voor mijn persoonlijke websites sla ik geen gebruikersgegevens op. Ik ben afgestapt van Social Media Links, Google Analytics. Ook het het loggen van ipadressen (apache error / access log) heb ik uitgezet (Anonimiseren van logfiles is binnen de Apache webserver via een LogFormat setting mogelijk). Ik log niets “nada”.

Functionele cookies zijn toegestaan. Gebruik je cookies voor analyse, marketing etc dan zul je met een “Cookie Consent” moeten werken.

Sla je andere gebruikersgegevens op (in bijvoorbeeld een database) dan is het verstandig om een goede omschrijving te maken in je website voorwaarden, privacy statement (niet delen, distribueren, verkopen van gebruikersdata etc...).

Stuur je emails / nieuwsbrieven dan zul je bij de regsitratie de gebruiker om akkoord moeten vragen. Het is correct om de eerste nieuwsbrief of mailing een bevestiging te vragen. De eindgebruiker moet zich altijd kunnen uitschrijven (recht op verzet). Na uitschrijving mag een emailadres niet bewaard worden. Functionaliteiten voor inschrijven, bevestigen, uitschrijven zitten in een module als NMS ingebakken, gebruik deze mogelijkheden.

Voor modules als SelfReg / FEU kan de eindegebruiker zich zelf inschrijven. In het inschrijfformulier kan je in vinkje plaatsen met [] Ja, ik ga akkoord met de voorwaarden (link) van deze website.

Een gebruikersprofiel kan wanneer ingelogd gewijzigd worden. Het uitschrijven / verwijderen van gegevens kan ondervangen worden met een eenvoudig webformulier. Login geschiedenis kan je via een pseudocron of crontab legen.

Ontwerp, host of ontwikkel je websites voor derden dan is de “website”eigenaar verantwoordelijk voor privacy zaken. Je zult je klant moeten informeren en in een offerte je hosting cq algemene voorwaarden (met een verwijzing naar de GDPR) moeten bijsluiten.

Tot slot denk ik dat de meeste CMSMS webontwerpers ontwikkelaars niet snel met een GDPR audit of boete te maken zullen krijgen, uiteraard zal je de wet wel moeten naleven.

In de hoek van grote internet- en socialemediabedrijven, telecomproviders, verzekeraars en banken daar wordt het boeiend. Ik ben benieuwd wat voor boetes FaceBook of Google zullen krijgen wanneer regels overschreden worden. Op het moment dat ze diensten aan EU gebruikers leveren telt de wetgeving van de eindgebruiker en niet de vestigingsplaats van het bedrijf.
musicscore
Power Poster
Power Poster
Posts: 444
Joined: Wed Jan 25, 2006 11:53 am
Location: Netherlands

Re: Nieuwe AVG Privacy wet

Post by musicscore »

Arnoud,

Bedankt voor dit uitvoerig antwoord.
Nu heb ik modules als statistics, google analytics, etc, uitgezet maar via mijn reseller hosting pakket kan ik toch nog logging opvragen. Ik verwacht dit niet te kunnen uitzetten (ik gebruik cpanel).

Maar goed. Ik zal mijn klanten aangeven wat er allemaal geregistreerd wordt dan kunnen zij zelf bepalen of ze weg willen of blijven.

Nogmaals, bedankt.
User avatar
Rolf
Dev Team Member
Dev Team Member
Posts: 7825
Joined: Wed Apr 23, 2008 7:53 am
Location: The Netherlands
Contact:

Re: Nieuwe AVG Privacy wet

Post by Rolf »

- + - + - + - + - + - + -
LATEST TUTORIAL AT CMS CAN BE SIMPLE:
Migrating Company Directory module to LISE
- + - + - + - + - + - + -
Image
deactivated010521

Re: Nieuwe AVG Privacy wet

Post by deactivated010521 »

Een keurige website dat veiliginternetten wat je met een beetje creativiteit en Bootstrap onder de motorkap wel niet kan doen.

Beter een standaard privacyverklaring dan helemaal niets. Een paar weken geleden een paar websites wat meer (durf nog niet te spreken van volledig) AVG proof gemaakt.

Google Analystics (en andere tracking zooi) heb ik voor de meeste websites er helemaal uitgegooid.

Zo ook sociale media componenten (embeded Facebook etc..) en dergelijke.

Alleen voor shopping sites en de /admin login worden er nog cookies opgeslagen maar dat zijn "functionele cookies" en daar hoef je daan geen consent voor te tonen.

Een lastig punt is nog "het recht op vergetelheid", in teksten cq modules als News / CGBlog is het nog redelijk eenvoudig om "voornaam achternaam" te verwijderen, te anonimiseren. FEU/SelfReg, NMS daar is dit ook nog werkbaar.

https://autoriteitpersoonsgegevens.nl/n ... etrokkenen

Echter als het om foto's of afbeeldingen gaat bijna ondoenlijk.

In de toekomst kan het verwijderen van foto's misschien geautomatiseerd worden met gezichtsherkennings-software, voorlopig nog handwerk.

Als er in een privacystatement staat u heeft recht op verzet, wij verwijderen al uw persoonlijke gegevens als u daar om vraagt is dit de verkeerde insteek.

De rechthebbende dient aan te geven om welke gegegevens het gaat. Tip: voor foto's naam van afbeeldingen in alt tekst zetten, voor Gallery/Album ergens het fotoid vermelden. Deze dienen dan door de persoon die verwijdering wenst aangeleverd te worden.

Een vraagt wij draaien maar u moet daar wel wat voor doen, houdt vreemde verwijderings of inzage verzoeken hopelijk zo veel mogelijk buiten de deur.
User avatar
Rolf
Dev Team Member
Dev Team Member
Posts: 7825
Joined: Wed Apr 23, 2008 7:53 am
Location: The Netherlands
Contact:

Re: Nieuwe AVG Privacy wet

Post by Rolf »

Ik gebruik het liefst Piwik/Matomo analytics dan heb je alles in eigen beheer.

Maar als het dan toch moet en ik GA moet gebruiken dan anonimiseer ik de input. IP adressen worden dan ingekort waardoor ze niet aan een fysiek adres gekoppeld kunnen worden.
Zie https://cmscanbesimple.org/blog/add-a-c ... ytics-code
Op deze manier voldoe je aan de Cookie wet en de AVG wet. Het zijn nml. geen persoongegevens meer.
Tja, of Google ook daadwerkelijk doet wat het belooft??? Dat vind ik ook het gevaarlijke aan het gebruik van de Tag Manager. Je zet toch een deur open waar derden mee kunnen doen wat ze willen...


Wat betreft Server Logs, deze registreren inderdaad IP-adressen. Maar zijn dit persoonlijke gegevens?? Ik denk het niet! Het getoonde IP-adres is normaal gesproken niet te herleiden naar een persoon! Dus wie zou zich hier druk om maken?
Voor een willekeurig telefoonnummer is dat anders, je kunt in het telefoon"boek" kijken van wie die is. Er is geen IP-adressen"boek".
Toch?! Andere meningen?
- + - + - + - + - + - + -
LATEST TUTORIAL AT CMS CAN BE SIMPLE:
Migrating Company Directory module to LISE
- + - + - + - + - + - + -
Image
musicscore
Power Poster
Power Poster
Posts: 444
Joined: Wed Jan 25, 2006 11:53 am
Location: Netherlands

Re: Nieuwe AVG Privacy wet

Post by musicscore »

Ben op een security seminar geweest (van tweakers) en daar werd mij verteld dat een IP-adres voor ons geen persoonsgegevens is omdat wij niet de mogelijkheid hebben om een IP-Adres te herleiden naar een persoon. Anders is dat voor een ISP. Hij heeft deze mogelijkheden wel.
Alleen de IP-adressen van de beheerder zijn natuurlijk voor ons wel te herleiden en daar zul je dan afspraken over moeten maken.

Voor backups geldt dat wanneer een persoon vergeten wilt worden de backups niet opengebroken hoeven te worden om daar ook de gegeven uit te halen. Er dient wel bij de backup een vermelding te komen waarin opgenomen is welke personen vergeten willen worden indien de backup gerestored wordt. Dit document dient bij een controle (wat er waarschijnlijk nooit komt) beschikbaar te zijn.
deactivated010521

Re: Nieuwe AVG Privacy wet

Post by deactivated010521 »

Als een ipadres te herleiden is naar een persoon dan kan je het wel zien als een persoonsgegeven.... zou me er inderdaad niet al te druk over maken.

Google zal aan de hand van een ipadres en overige data een persoon kunnen herleiden. Een stukje van een ipadres, gps locatie of netwerkadres en browser header ook.

Een webdeveloper afhankelijk van wat hij/zij opslaat. Registratie SelfReg oid met iplogging, webformulier met iplogging versus Apache access logs zonder dat er meer van de gebruiker bekend is.

Ik heb het loggen van ipadressen in mijn Apache configuratie uitgezet, doe er toch niets mee.

Gebruik je Google Analytics oid dan zou ik dit melden in mijn privacy statement.... (met wie deel je data en wat voor data is dit).
Post Reply

Return to “Dutch - Nederlands”