Multi-Admin en de AVG

Productinfo
Multi-Admin en de AVG

Sinds Mei 2018 is de nieuwe wet Algemene Verordening Gegevensbescherming , oftewel AVG, van kracht.  Dit houdt in dat consumenten meer inzicht en controle hebben wanneer een organisatie gebruik maakt van persoonsgegeven die ze aan hen toevertrouwen. Multi-admin voldoet volledig aan deze nieuwe wetgeving en maakt het organisaties mogelijk om hieraan te voldoen.

De AVG bestaat uit verschillende onderdelen die betrekking hebben op Multi-admin, namelijk:

  • Een organisatie moet zorgvuldig met persoonsgegevens omgaan en deze beschermen

  • Een organisatie moet duidelijk zijn over welke data wordt opgeslagen waar deze data terecht komt, wie er toegang hebben en  hoe lang deze bewaard worden.

  • Als een consument graag zijn gegevens wilt inzien, exporteren, aanpassen of geheel verwijderen dan moet dat altijd kunnen.

  • Gegevens mogen niet langer worden opgeslagen dan nodig.

Bewaar persoonsgegevens zorgvuldig en bescherm deze

Als het om datacenters gaat hebben wij een top datacentrum uitgekozen voor onze servers en de data daar ook fysiek op te slaan.  Multi-admin staat op servers in Amsterdam in een gerenommeerd datacentrum van The Datacenter Group. Ze beschikken over verschillende ISO Certificeringen voor beveiliging, zoals ISO 27001 (beveiliging), ISO 14001 (MVO), NEN 7510 (informatiebeveiliging in de Zorg) en  PCI DSS (financiële transactie beveiliging). 

De connecties naar Multi-admin maken gebruik van SSL, te herkennen aan het slotje in de adresbalk van de browser. Hierdoor is alle communicatie tussen browser en onze servers versleutelt. Alle wachtwoorden in de database zijn ook versleuteld, daarom zullen wij nooit uw wachtwoord kunnen zien.

Toegang binnen Multi-admin is geregeld door middel van rechten en rollen. Iemand die geen toegang hoort te hebben kan deze data niet inzien. Daarnaast loggen wij elke bewerking en kunnen dus altijd terug zien welk account wat heeft gedaan.  Onze servers worden wekelijks geupdate en Multi-admin zelf krijgt elke maand een update zodat alles up-to-date blijft.

Vreemde inlogpogingen , bot-verkeer, snel opvragen van meerdere paginas of wachtwoorden veelvuldig fout invoeren zijn allemaal signalen die het systeem herkent en de toegang blokkeert. Ook kan er gekozen worden voor een 2-Factor Authentication (2FA) via google Authenticator, wat al verplicht is voor enkele sectoren zoals de zorg en de financiële sector volgens de NEN 7510. 

Transparent over het gebruik van data

Als dataverwerker hebben wij een dataverwerking overeenkomt met onze klanten.  Hierin wordt duidelijk omschreven welke verantwoordelijkheden wij nemen ten opzichte van de data. Daarbij helpen we elke klant met het opstellen van een duidelijk privacy statement en voorwaarden waarin staat beschreven waar de data wordt opgeslagen, wie er bij kan en hoe lang deze bewaard blijven.

Bij oplevering van het pakket krijgt de klant ook een volledige lijst van welke data waar naartoe gaat, de zogenaamde lijst dataverwerkers. Omdat deze voor elke klant verschillend is wordt dit bij oplevering gedaan en bijgewerkt wanneer nodig.

Bijvoorbeeld: Om de e-mails goed aan te laten komen en te meten welke e-mails aankomen en welke niet maken wij gebruik van een externe service. Deze service krijgt de naam en e-mail adres van de ontvanger en is dus een externe organisatie die toegang heeft tot persoonsdata. Ook deze organisatie heeft een verwerkersovereenkomt met ons en moet voldoen aan de regels van de AVG.

Recht van inzage, vergeten en portabiliteit

Een persoon die hun data beschikbaar stelt leent deze als het ware aan ons uit zodat wij en de klant zijn werk kan doen.  Daardoor zijn wij nooit eigenaar van deze gegevens. Dat betekend dat deze niet kunnen worden doorverkocht en dat als een persoon er aanpassingen in wilt zien, dat dat altijd mogelijk moet zijn. 

Via het portaal bieden we na het inloggen alle standaard AVG functies aan. Ook het exporteren van persoonsgegevens en het compleet verwijderen ervan (mits mogelijk). Andere zaken kunnen altijd via de Functionaris Gegevensbescherming geregeld worden. Deze functie ligt meestal bij de klant maar kunnen wij eventueel ook uitvoeren.

Gegevens anonimiseren bij verwijdering of als deze niet meer nodig zijn

Als een gebruiker zijn persoonsgegevens wilt verwijderen of als een gebruiker een jaar niet meer actief is, dan moet een organisatie de persoonsgegevens wissen. Bij ons gebeurd dit door deze te anonimiseren en gedeeltelijk leeg te gooien. Zo kunnen rapporten en historie nog steeds gemaakt worden, maar zonder de persoonsgegevens van deze persoon te weten.