Hey,
Er komen enorme wijzigingen vanaf 25 mei!

https://www.sdworx.be/nl-be/sd-worx-...efinitief-2018

Hoe denken jullie hierover?

Ook de grote e-mailbestanden dat hier verkocht worden.
Word dit niet gevaarlijker en het zomaar mailen met professionele nieuwsbrief en uitschrijven link zal dan hoogstwaarschijnlijk uit den boze zijn..

Dan vraag ik me ook af. Zakelijke info@ mails. Normaal mag je daar commerciële mails naar sturen in BE. En nu met deze nieuwe regels....

Dat mailen is maar bijzaak eigenlijk. Als klant van een hoster kun je tegen die tijd maar beter zorgen dat je een GDPR overeenkomst met je hoster hebt afgesloten. Op dit moment ben je als klant verantwoordelijk voor hetgeen onder je domein gebeurd. Dat vloeit grofweg voort uit de voorwaarden van de registrars waar je een domein registreert.

Dat betekent dat een derde (bezoeker van een site) de hoster niet verantwoordelijk kan houden voor dingen wat onder jouw domein gebeuren. Ook niet als gegevens lekken. Een hoster kan die derde gewoon naar de klant doorsturen en verder gewoon doorgaan (meestal) met jouw site te hosten, backups te maken van je database e.d.

Na 25 mei is dat flink anders. Mocht jouw site gegevens lekken van een derde en levert dat schade op aan die derde (noem maar iets van bestellingen op naam van die derde tot spam, whatever)... dan kan die derde niet alleen de eigenaar van de site aansprakelijk houden... maar ook de hoster.
En volgens de wet is dat 'dwingend' wat grofweg betekent dat de klager zijn vergoeding krijgt en je kunt gaan procedureren om ze terug te krijgen.

Dat is natuurlijk wel een issue, want je hoster weet wie jij bent en gaat die kosten 1 op 1 op jouw verhalen en dat gaat dan ook weer lukken.

Nu is het voor een hoster best lastig om elke klant te gaan overtijden van deze achterlijke wet zodat die klant een zogenaamde bewerkersovereenkomst met de hoster gaat afsluiten. Hierin leg je o.a. aansprakelijkheid vast en wat een hoster met jouw gegevens mag doen. Dus echt zwart op wit vastleggen dat je hoster backups mag maken en welk soort gegevens jij in je database stopt. Plus nog eens dat je als klant zelf gecontroleerd hebt dat de beveiliging van de hoster voldoende is voor het soort gegevens dat je opslaat. En vooral... het uitsluiten van wederzijdse aansprakelijkheid zodat hoster en klant elkaar niet gaan aanklagen.

Heb je die overeenkomst niet dan kan die woocommerce site met 5 bestellingen en waar je geen ssl cert hebt, jaartje niet geupdate omdat 'het niet liep' je wel opeens een zooi geld gaan kosten als je niet oplet.

Wil je verder ook geen overeenkomst met je hoster afsluiten mbt tot die 'verwerking' dan heeft je hoster grofweg de volgende mogelijkheden.

1. je privacy schenden door je hostingpakket en databases te inspecteren om zeker te zijn dat je geen privacygevoelige gegevens opslaat. (Wat voor een hoster eigenlijk een no-no is...)

2. je verbieden om nog gegevens in een database op te slaan en de backups uit te schakelen (want volgens die wet valt backuppen, weblogs met ipadressen, databases met klantgegevens etc. allemaal onder het 'verwerken van gegevens' en daarvoor is dan ondubbelzinnig toestemming nodig van de klant).

3. niks doen met het risico dat ie flinke kosten krijgt in geval ie aangeklaagd wordt en dan maar hopen dat ie het op de klant kan verhalen. Maar de kans is klein dat dit zal gebeuren.

Dus om op je vraag terug te komen hoe ik erover denk.... ik snap dat het op papier prettig is om duidelijkheid te hebben en te voorkomen dat iedereen met de vinger naar elkaar gaat wijzigen bij issues.... maar verder is deze bureaucratische onzin voor klant en hoster gewoon onzin en een nachtmerrie.
Dit gaat puur over het vastleggen wie verantwoordelijk is bij privacyschendingen. Het vóórkomt schendingen totaal niet. Gelekt = gelekt tenslotte.

en m.b.t. cookies? Verandert er daar ook veel?

"Na 25 mei is dat flink anders. Mocht jouw site gegevens lekken van een derde en levert dat schade op aan die derde (noem maar iets van bestellingen op naam van die derde tot spam, whatever)... dan kan die derde niet alleen de eigenaar van de site aansprakelijk houden... maar ook de hoster.
En volgens de wet is dat 'dwingend' wat grofweg betekent dat de klager zijn vergoeding krijgt en je kunt gaan procedureren om ze terug te krijgen."
Op grond van wat kan de betrokkene de hoster dan aanspreken op schending van de AVG? Volgens mij is de website, waarbij de website eigenaar doel en middel van de verwerking vaststelt, ook volgens de nieuwe wetgeving nog steeds verwerkingsverantwoordelijke. De hoster stelt geen doel en middel van de verwerking vast en is op zijn hoogst verwerker, maar dan moet de hoster persoonsgegevens van de website verwerken. Als het datalek niet aan verwerker te wijten is, diens organisatorische en technische beveiliging is op orde en er wordt verder op mutual niveau aan de AVG voldaan, dan hoeft hoster (verwerker) niets te vrezen. Het is juridisch toch het beste om als er persoonsgegevens uit de database van een website lekken de website eigenaar (en/of de eigenaar van het domein) als zijnde verwerkingsverantwoordelijke aan te spreken. Ik vraag mij dan af hoe dat straks moet als mensen waardevolle domeinen gaan huren van anderen, wie dan verwerkingsverantwoordelijke is. Dat is volgens mij een lastigere kwestie dan dat de hoster aangesproken zou worden. Meestal gaat men toch meteen naar de verwerkingsverantwoordelijke, aan verwerker is het vaak niet te wijten (soms wel).

Origineel gepost door Rein N

en m.b.t. cookies? Verandert er daar ook veel?

Ja, maar niet zo zeer nadelig eigenlijk.

Er gaat best wel wat veranderen. Heb juridisch advies ingewonnen en weet wat me te doen staat. Ik denk dat iedereen - die serieus bezig is - dat het beste ook kan doen.

Zoals John al schrijft, loop je straks mogelijk behoorlijke risico's. Die kun je wellicht tijdig dichttimmeren door sommige dingen gewoon niet op te slaan, wat oude sites dicht te zetten, etc.

Ik vind het grappig om te zien dat iedereen ineens actie gaat ondernemen. Dergelijke wetten / regelgeving zijn er al lange tijd. Echter is net nu zo dat er aangegeven is dat men er ook echt op gaat controleren, beboeten etc.
Je bent namelijk al lange tijd verplicht om beide nieuwsbriefinschrijvingen voor dubbel opt-in te kiezen. Je dient op verzoek van een particulier aan te geven welke gegevens je van een klant bewaard en waar deze voor gebruikt worden....

Neemt niet weg dat velen website / webshop eigenaren, emailmarketeers etc. er goed aan doen om hun manier van werken e.d. onder de loep te nemen.

Origineel gepost door yuri oosterveem

Ik vind het grappig om te zien dat iedereen ineens actie gaat ondernemen. Dergelijke wetten / regelgeving zijn er al lange tijd. Echter is net nu zo dat er aangegeven is dat men er ook echt op gaat controleren, beboeten etc.
Je bent namelijk al lange tijd verplicht om beide nieuwsbriefinschrijvingen voor dubbel opt-in te kiezen. Je dient op verzoek van een particulier aan te geven welke gegevens je van een klant bewaard en waar deze voor gebruikt worden....

Neemt niet weg dat velen website / webshop eigenaren, emailmarketeers etc. er goed aan doen om hun manier van werken e.d. onder de loep te nemen.

Al aangenomen op 27 april 2016 idd. Ik heb mijn HBO-rechten bachelor scriptie erover geschreven, eind 2015 begin 2016. Toen waren het nog concept artikelen maar verschilden maar minimaal van nu. Dit wisten we al jaren, sinds 2013 al.

Even een vraag. Als webdesignbedrijf.
Alle websites van de klanten.
Standaard ben ik bezig met overal de cookiebar toe te voegen maar hoe staat het met de privacy en cookie pagina. Is dit iets dat de klant moet aanleveren?

En kan ik daarvoor aansprakelijk gesteld worden want domein staat op naam van klant dus is effectief zijn website..

En dan volgende vraag.
Ik lees dat hier mensen al juridische bedrijven gecontacteerd hebben. Voor een kleine vennootschap. Weten jullie wat mij dit zou kosten? Ben wel BE bedrijf..

Mbt cookies veranderd er wel degelijk het een en ander. Mensen dienen bewust opt-in te geven voor de verschillende typen cookies, nu word dit onder één knop geplaatst. Daarnaast is een zogenaamde cookiewall ook niet meer toegestaan (zoals op dumpert.nl). Check anders een aantal artikelen op m'n blog: https://klue.nl/gdpr - vragen mag je ook PM-en

Origineel gepost door moniaH

Even een vraag. Als webdesignbedrijf.
Alle websites van de klanten.
Standaard ben ik bezig met overal de cookiebar toe te voegen maar hoe staat het met de privacy en cookie pagina. Is dit iets dat de klant moet aanleveren?

En kan ik daarvoor aansprakelijk gesteld worden want domein staat op naam van klant dus is effectief zijn website..

En dan volgende vraag.
Ik lees dat hier mensen al juridische bedrijven gecontacteerd hebben. Voor een kleine vennootschap. Weten jullie wat mij dit zou kosten? Ben wel BE bedrijf..

Heb je toegang tot een website (ftp of mysql bv) en slaat de klant persoonsgegevens op (contact formulier oid) dan heb je een overeenkomst nodig met die klant. Het maakt neit uit of je gebruik maakt van die gegevens, maar of je eraan 'zou' kunnen komen. Het maakt verder niet uit je een bv, vof of eenmanszaak bent. En het is Europees dus nl/be maakt ook niet uit.

Origineel gepost door John Timmer

Heb je toegang tot een website (ftp of mysql bv) en slaat de klant persoonsgegevens op (contact formulier oid) dan heb je een overeenkomst nodig met die klant. Het maakt neit uit of je gebruik maakt van die gegevens, maar of je eraan 'zou' kunnen komen. Het maakt verder niet uit je een bv, vof of eenmanszaak bent. En het is Europees dus nl/be maakt ook niet uit.

Waar ligt de verantwoordelijkheid om een verwerkersovereenkomst af te sluiten? De klant (=eigenaar/verantwoordelijke website) moet hem opstellen voor de webdesigner/programmeur die hosting aanbiedt? En de webdesigner/programmeur moet er een opstellen en afsluiten met de partij waar hij de hosting inkoopt?

Origineel gepost door Jeroen van Krimpen

Waar ligt de verantwoordelijkheid om een verwerkersovereenkomst af te sluiten? De klant (=eigenaar/verantwoordelijke website) moet hem opstellen voor de webdesigner/programmeur die hosting aanbiedt? En de webdesigner/programmeur moet er een opstellen en afsluiten met de partij waar hij de hosting inkoopt?

Er zijn een aantal regels om te bepalen wie de verantwoordelijke en wie de verwerker is, maar vanaf mei is het gewoon verplicht om hebben voor zowel verantwoordelijke als verwerker.
Als de verantwoordelijke niet met een overeenkomst komt dan zal de verwerker het moeten doen. Dus beiden zijn verantwoordelijk voor het hebben van de overeenkomst.

Het rare is dat ik enkel van bijv. Fb en andere grote bedrijven de info gekregen heb dat ze aanpassingen doen en dat je dus akkoord moet gaan etc...

Maar met iedereen dat ik zaken doe heb ik nog niets van documenten ontvangen.. zowel niet van klanten, hosting etc..

Van hosting kreeg ik mail omtrent privacy en alg voorwaarden aangepast. Ik vroeg hen of er geen overeenkomst moet getekend worden en dat moest niet..

Ik vind dit toch allemaal wel raar.

En mijn vraag blijft eigenlijk nog wat onbeantwoord. Moet ik op de site van mijn klanten zelf verplicht de cookiebar en extra paginas toevoegen zoals cookie en privacy beleid? Waarschijnlijk niet? Hoe gaan jullie hiermee om?

Ik leg dit voor bij mijn klanten en leg uit waarom het nodig is. Voor een kleine vergoeding regel ik het dan voor ze (cookiebar en standaard AVG- policy) de rest is echt aan hen mits ze vragen om advies en hulp natuurlijk.

Van hosting kreeg ik mail omtrent privacy en alg voorwaarden aangepast. Ik vroeg hen of er geen overeenkomst moet getekend worden en dat moest niet..

Wij hebben de AVG ook verwerkt in onze algemene voorwaarden, een aparte overeenkomst is niet verplicht. Als wij voor elke klant een overeenkomst moeten gaan opstellen dan is dat ook niet te doen.