GDPR binnen Level27

In ons eerste artikel legden we GDPR in het algemeen uit, maar in dit deel willen we GDPR binnen Level27, een hostingbedrijf dus, verduidelijken. Heb je na het lezen van deze blogartikels toch nog vragen betreffende GDPR? Aarzel dan zeker niet om je vraag te richten aan Virginie, zij helpt je met plezier verder!

GDPR binnen een hostingbedrijf

Als hostingbedrijf vervullen wij, afhankelijk van de situatie, de verschillende rollen. Graag leggen wij in concrete voorbeelden onze rollen en verplichtingen uit.

Wij, Level27, zijn verwerkingsverantwoordelijke voor de data die wij zelf verzamelen. Binnen GDPR is het aan ons als verwerkingsverantwoordelijke, om na te gaan of het verwerken en bijhouden van deze gegevens toegestaan is. Om transparant te zijn, hebben wij een overzicht (inventaris) aangemaakt van alle gegevens die wij behouden, zoals contactgegevens, voor de verschillende data categorieën:

• werknemers,
• klanten,
• leveranciers,
• prospecten.
   

Wij, Level27, zijn verwerker van alle gegevens die klanten ons bezorgen/toevertrouwen. Dit houdt concreet in: alle data die op onze servers staan. Als verwerker zijn wij binnen GDPR niet verantwoordelijk om na te gaan of het verwerken en bijhouden van deze gegevens toegestaan is. Wel hebben wij als verwerker volgende taken/verplichtingen:

• logs bijhouden,
• inbreuken melden (bv. website die wordt gehacked),
• sub-verwerkers die wij inhuren nagaan (bv. onze data centers).
   

Wij, Level27, zijn eveneens betrokkene gezien onze klanten en leveranciers persoonsgegevens van ons verwerken en bijhouden. Elke partij die onze gegevens verwerkt en bijhoudt, is dus verplicht om:

• bij ons na te gaan of ze onze toestemming hebben,
• ons te garanderen dat onze data veilig wordt bijgehouden.

Als hostingbedrijf merken wij ook volgende scenario's op:

1. Onze klanten kunnen verwerker zijn maar niet verantwoordelijk.
   Voorbeeld: Een webbouwer maakt de website, maar de winkel is verantwoordelijk voor de data die klanten ingeven op deze website.
2. Onze klanten kunnen verwerkingsverantwoordelijke zijn.
   Voorbeeld: de eigenaar van een website is verwerkingsverantwoordelijke omdat hij/zij iets met de gegevens doet die klanten op de website doorgeven.
3. De bezoekers van een website en de klanten van een webshop zijn altijd de betrokkenen.

Voorbeeldschema ter verduidelijking

In dit voorbeeldschema werken we, buiten voor onze eigen website, met fictieve voorbeelden.

• https://level27.be/
  • Verwerkingsverantwoordelijke: Level27 = eigenaar van de website
  • Verwerker: Level27 = hoster en bouwer van de website
  • Betrokkene: Bezoekers van onze website
• https://concertenzijnleuk.be
  • Verwerkingsverantwoordelijke: Concertzaalhouder = eigenaar van de website
  • Verwerker: Level27 = hoster van de website + Webbouwer = bouwer van de website
  • Betrokkene: Bezoeker die een ticket voor een concert wil kopen
• https://leukecitrytrips.eu
  • Verwerkingsverantwoordelijke: Webbouwer = bouwer en eigenaar van de website
  • Verwerker: Level27 = hoster van de website
  • Betrokkene: Bezoekers die een citytrip wil boeken
• https://www.heerlijkekoffie.com
  • Verwerkingsverantwoordelijke: Koffieshopeigenaar = eigenaar van de website
  • Verwerker: Level27 = hoster van de website + onbekende bouwer van de website
  • Betrokkene: Bezoekers die koffie wil kopen

ISO en GDPR

Sinds september 2017 zijn we bij Level27 gecertifieerd in ISO9001 (kwaliteit) en ISO27001 (informatiebeveiliging). Het klaarstomen voor onze ISO-audits heeft ervoor gezorgd dat wij ook al heel wat stappen ondernomen hebben op GDPR-vlak, wat voor onze klanten als bijkomende geruststelling kan gezien worden. Zoals eerder uitgelegd in ons blogartikel over de ISO-certificaten, willen we jou als klant een bevestiging kunnen geven dat je gegevens in veilige handen zijn. En ook voor GDPR willen we hier verder op vertrouwen.

Binnen Level27 willen we een link behouden tussen ISO en GDPR. Aangezien we beide ISO-certificaten hebben behaald, worden we elk jaar opnieuw aan een audit onderworpen. De auditor zal dus verifiëren of we leven naar de norm en zal dit bevestigen door de certificatie voor 1 jaar te verlengen.

Een grote gelijkenis en tevens een belangrijk element voor zowel ISO als GDPR zijn actieplannen, opvolging en documentatie. Net zoals we voor ISO al onze processen geanalyseerd hebben, zullen we dit voor GDPR ook doen. Op basis van deze analyse, stellen we een actieplan op en dit actieplan verwerken we dan. Alle stappen die wij ondernemen, alle verbeteringen die wij zien, alle problemen die wij tegenkomen, documenteren wij en we laten niets onberoerd. Bijkomend achten wij continuous improvement zeer hoog in het vaandel:

1. Identificeren: problemen en verbeteringen spotten.
2. Plannen: zoeken naar de best mogelijke oplossing of verbetering.
3. Uitvoeren: de oplossing en/of verbetering integreren.
4. Reviewen: controleren of de oplossing en/of verbetering efficiënt en effectief is voor iedereen en hoe we in de toekomst beter/sneller kunnen ingrijpen en voorkomen.

Ons actieplan

Het belangrijkste punt binnen GDPR is om een duidelijk data-inventaris te hebben. Omdat wij als hostingbedrijf verschillende rollen hebben, vonden wij het belangrijk om in ons inventaris een onderscheid te maken tussen volgende categorieën:

• werknemers,
• klanten,
• leveranciers,
• prospecten,
• klantendata (gerelateerd dus aan onze data centers).

Op basis van deze eerste oefening en ons ISO-verhaal, zijn we gaan kijken wat we verder zeker nog moeten ondernemen:

• Consultatie van een advocaat om wettelijke teksten te voorzien.
• Toestemming aan werknemers, klanten, prospecten en leveranciers vragen om hun data te mogen bewaren. 
• Termijnen bepalen voor het bijhouden van gegevens en deze meedelen aan alle bestaande werknemers, klanten, prospecten en leveranciers.
• Onderschrift schrijven en toepassen waarmee we toestemming vragen aan toekomstige werknemers, klanten, prospecten en leveranciers om data te mogen bijhouden.
• Contracten herbekijken en aanpassen naar de GDPR normen.
• Nagaan of onze leveranciers GDPR-proof zijn.
• Ons huidig rampenplan controleren en indien nodig aanpassen.
• Een concreet plan en communicatieplan uitwerken indien er zich een datalek zou voordoen.

Zoals bij het behalen van onze ISO-certificaten, doen we al het mogelijke om aan de GDPR-normen te voldoen. Bovenstaand actieplan zien wij als een goede aanvulling op de ISO-normen om de veiligheid van data te bewaken en garanderen. Dankzij onze continuous improvement strategie, zullen wij in de komende maanden blijven analyseren en handelen om de nodige actiepunten te herkennen en behandelen.