De afgelopen weken leek er een soort privacypaniek uitgebroken. Het regende mailtjes van bedrijven die vóór 25 mei nog even wilden benadrukken dat ze privacy heel belangrijk vinden. Een aardig idee natuurlijk, want privacy is heel belangrijk. Maar een mailbox vol met honderden mailtjes over privacy, AVG en GDPR maakt het er voor de meeste mensen niet duidelijker op.

Dat is jammer, want duidelijkheid is nou juist zo belangrijk is als het om privacy gaat. Laat u daarom niet gek maken door de paniek, en lees dit pas als u de tijd en de aandacht heeft om er rustig naar te kijken.

AVG

Op 25 mei is de nieuwe privacywet ingegaan. De Algemene Verordening Gegevensbescherming. Die geeft mensen meer controle over hun persoonlijke gegevens. En hij stelt hogere eisen aan organisaties die iets met die gegevens willen doen. Dat is goed, want het verwerken van persoonsgegevens vindt overal in de wereld op zo’n reusachtige schaal plaats dat het vrijwel onmogelijk is om na te gaan wat er allemaal gebeurt. Daardoor kan het zijn dat bedrijven en instellingen beslissingen over u nemen en u zelfs manipuleren op basis van uw persoonsgegevens, zonder dat u dat weet. Dat is een aantasting van de autonomie van mensen, en dat is een kwalijke zaak.

Bedrijven en organisaties moeten daarom nu nog transparanter zijn, en beter uitleggen wat ze doen. Wij hebben daarom onze privacyverklaring aangepast. Er is niks veranderd aan de manier waarop we met persoonlijke gegevens omgaan. Maar we leggen het in de privacyverklaring nu nóg iets beter uit. In duidelijke taal, zodat iedereen echt kan begrijpen wat we met persoonlijke gegevens doen.

Grondslagen en belangen

In de privacyverklaring beschrijven we nu op welke regels in de wet we ons baseren bij het verwerken van persoonsgegevens (in artikel 2.1). Soms hebben we die gegevens gewoon nodig om de dienst te kunnen leveren. Soms is er een wettelijke plicht om ze te verwerken. En soms doen we dat omdat er sprake is van een gerechtvaardigd belang. Als dat het geval is, leggen we uit welke belangenafweging we gemaakt hebben en hoe we de impact op de privacy zo klein mogelijk maken.

Monitoring van netwerkverkeer

XS4ALL monitort netwerkverkeer om storingen en aanvallen te kunnen detecteren. Dat deden we al lang, maar het stond nog niet duidelijk in de vorige privacyverklaring. Nu staat het uitgelegd in artikel 4.2.

Nummerinformatiediensten

Telefoonnummers van Bellen-klanten kunnen worden opgenomen in telefoonboeken en nummerinformatiediensten, als de klant dat wil. Wie daarvoor kiest, geeft toestemming voor vermelding in nummerinformatiediensten in heel Europa. Dat stond niet duidelijk in de vorige versie. Nu staat het in artikel 7.3.

Klacht over privacy

Helemaal nieuw is artikel 13, waarin staat dat klanten een klacht kunnen indienen bij de Autoriteit Persoonsgegevens als ze vermoeden dat hun persoonlijke gegevens zijn verwerkt op een manier die in strijd is met de wet. We zijn verplicht hierop te wijzen. En dat doen we graag, want als u denkt dat we iets fout doen, dan willen we daar graag iets aan doen.

Vragen, opmerkingen en klachten over privacy mogen daarom ook altijd naar privacyofficer@xs4all.net

Onze privacyverklaring is hier te lezen.

Niels Huijbregts
Privacy Officer van XS4ALL

Foto boven: I Always Feel Like (Somebody’s Watching Me), door Jason Mrachina

Deel dit:

Reacties

  1. Mike H. says:

    Na lezing van de 18 pagina’s tellende privacyverklaring (dus zowel de korte als ook de lange versie) kan ik wel zeggen dat XS4ALL daarmee een van de beste privacyverklaringen heeft die ik de afgelopen tijd tegen ben gekomen.

    De verklaring laat aan duidelijkheid en compleetheid weinig tot niets te wensen over naar mijn mening. Juridisch jargon en ander cryptisch taalgebruik zijn duidelijk vermeden, net als lange, onoverzichtelijke zinsconstructies en een overmaat aan details en verwijzingen. De korte versie is met 1 pagina met recht kort te noemen, maar bevat voldoende informatie om een goed beeld te krijgen van de essentie van de manier, waarop XS4ALL met de privacy van zijn klanten omgaat en tegelijkertijd aan de (nieuwe) privacywetgeving tracht te voldoen.

    Petje af voor de geleverde inspanning in dit verband, maar XS4ALL heeft dan natuurlijk ook wel een naam hoog te houden als het om privacyzaken (en ook veiligheid) gaat.

    Vraag ik mij alleen nog even af of het wellicht een idee was geweest om een compleet overzichtje van alle partijen met wie XS4ALL ten behoeve van de bedrijfsvoering klantgegevens deelt (voor zover dit althans ook persoonsgegevens zijn), op te nemen in deze nieuwe privacyverklaring. Nu worden slechts enkele partijen met naam genoemd.

    • Niels Huijbregts Niels Huijbregts says:

      Dank voor het compliment, Mike! Heel fijn om te horen dat onze inspanningen gewaardeerd worden!

      Ik heb overwogen een complete lijst op te nemen van de bedrijven waar XS4ALL werkzaamheden aan uitbesteedt en dus gegevens mee uitwisselt. Ik heb uiteindelijk besloten het niet te doen omdat het niet prettig is om de privacyverklaring te moeten aanpassen als we bijvoorbeeld besluiten over te stappen op een ander incassobureau of een andere drukwerkverzender. In plaats daarvan heb ik een lijstje gemaakt van de verschillende soorten werkzaamheden die we uitbesteden zodat je toch een redelijk duidelijk beeld krijgt van waarom en wanneer XS4ALL persoonsgegevens verstrekt andere bedrijven.

      • Mike H. says:

        Graag gedaan, Niels. Ere wie ere toekomt, zou ik willen zeggen.

        Dank je voor de toelichting. Jouw wijze van redeneren en genomen besluit in dezen komen alleszins redelijk en begrijpelijk op mij over.

  2. Peter says:

    Even een correctie: Deze nieuwe privacywet ging niet in op 25 mei 2018, maar al op 25 mei 2016. Tot die tijd kregen organisaties de tijd om de bedrijfsvoering in overeenstemming te brengen met de AVG (of GDPR). Vanaf 25 mei 2018 kunnen er boetes worden opgelegd, maar voor die tijd kon dat nog niet. Bedrijven en instellingen hadden voor het doorvoeren van de AVG een behoorlijke tijd nodig, zeker als je spreekt over grote en internationale concerns. De internationale consultants waren al die jaren daarvoor al bezig met de nieuwe AVG. Nu, op 25 mei 2018 kan een bedrijf bij het niet nakomen van die AVG behoorlijk financieel gestraft worden, zoals 2% van de maximale jaaromzet van het vorige boekjaar.

    Meer informatie vindt men hieronder:
    https://nl.wikipedia.org/wiki/Algemene_verordening_gegevensbescherming

    • Cpt says:

      Even een correctie: de boete is 4% van de wereldwijde jaaromzet of 20 miljoen afhankelijk van wat er een hoger bedrag is (of anders gezegd: minimaal 20 miljoen).

      • Niels Huijbregts Niels Huijbregts says:

        Jullie hebben allebei gelijk :-)

        Er zijn twee soorten boetes: voor het niet nakomen van verplichtingen van de AVG kan de Autoriteit Persoonsgegevens een boete opleggen tot 10 miljoen / 2% van de jaaromzet. Als een organisatie persoonsgegevens misbruikt, kan de AP een boete opleggen van 20 miljoen / 4% van de jaaromzet.

        Maar die boetes zijn niet het belangrijkste element van de nieuwe privacywet. De AVG geeft goede kaders voor hoe organisaties op een juiste manier persoonsgegevens kunnen verwerken. Daarbij zijn een goede ‘persoonsgegevensboekhouding’ en duidelijk uitleg aan degene van wie de persoonsgegevens zijn, essentiële onderdelen. De boetes zijn een manier om te zorgen dat organisaties de wet serieus nemen. Dat is ongetwijfeld nodig in sommige gevallen. Maar als het goed is maakt de wet voldoende duidelijk wat het belang is van goed privacybeleid, en zijn die boetes niet de (enige) motivatie voor organisaties om verantwoordelijk met persoonsgegevens om te gaan.