AVG/GDPR update
door Jonas Lodewegen
De Nederlandse en Engelse verwerkersovereenkomst voor de Marketing Software zijn gepubliceerd en de variant voor de gebruikers van SMTPeter verschijnt deze week online. Onder de AVG hebben betrokkenen meerdere aan hun persoonsgegevens gerelateerde rechten, zoals het recht op inzage, rectificatie en vergetelheid (in de volksmond: 'het recht om verwijderd te worden'). Voor gebruikers van Copernica is het nu arbeidsintensief om alle informatie van een betrokkene uit het systeem te halen en alleen de data uit de 'live' database kan verwijderd worden. In feite kan er dus niet worden voldaan aan de plichten onder de AVG. Daarom hebben wij aanpassing doorgevoerd die alle gebruikers en onszelf in staat stellen te voldoen aan de plichten die samenhangen met eerder genoemde rechten van betrokkenen.
Momenteel worden twee aanpassingen, in de vorm van formulieren, getest die later langzaam uitgerold zullen worden. De eerste start een proces dat het hele account doorzoekt en alle aan het opgegeven e-mailadres gerelateerde data verzamelt. Dit gaat niet alleen om profielgegevens, maar ook historische profielwaarden, statistieken, formulieren etcetera. Al deze data wordt na het verzamelen naar de indiener van het verzoek gemaild. Let wel, dit is dus de gebruiker die toegang heeft tot Copernica's software en niet de betrokkene, omdat wij in de verwerkersovereenkomst hebben opgenomen dat betrokkenen niet rechtstreeks bij Copernica deze rechten kunnen uitoefenen (conform de wet).
Het tweede formulier zoekt ook alle aan het gegeven e-mailadres gerelateerde data op, maar zal dit verwijderen. Deze operatie is onomkeerbaar, omdat ook alle back-ups doorzocht en geleegd worden.
Vanuit de noties van dataminimalisatie, doelbinding en privacy by design & default volgt dat persoonsgegevens niet langer verwerkt mogen worden dan noodzakelijk. Nu is er geen gedefinieerde houdbaarheid van bijvoorbeeld een toestemmingsverlening om een e-mailadres voor commerciële uitingen te verwerken, maar niet langer actuele persoonsgegevens mogen in ieder geval niet verwerkt worden (lees: dit moet je verwijderen). Daarom werken we nu aan de mogelijkheid om de bewaartermijn op accountniveau te configureren (zoals dit voor IP-adressen al mogelijk was vanwege Duitse wetgeving).
De komende tijd word je op de hoogte gehouden middels de blog en de nieuwsbrief.