We vinden het bij Hello’s super belangrijk dat er goed met (jouw) gegevens om wordt gegaan. Daarom leggen we in deze blog uit hoe wij er voor zorgen dat we aan de AVG blijven voldoen. Dit is overigens geen eenmalige activiteit maar een continu proces. We hebben geprobeerd het zo makkelijk uit te leggen hoe we dat doen.

Afgelopen maand hebben wij al onze processen en documentatie grondig laten toetsen op de AVG wetgeving, een zogenoemde DPIA (Data Protection Impact Assessment). Dit is gedaan door een onafhankelijke specialist. Goed nieuws; we zijn officieel AVG gecertificeerd.

Daarnaast hebben we door een onafhankelijk experts testen laten uitvoeren om te zien hoe onze techniek er voor staat. Deze testen hielden onder andere in dat zij zich voordeden als een hacker en probeerden in ons systeem te komen. Dit is niet gelukt. Sterker nog: ze werden op een blacklist gezet. Super goed dus!

Ook hebben ze getest wat er zou gebeuren als ze het account van iemand hadden en wat er dan kan gebeuren. Ook hierin bleken de resultaten goed: ze konden bijvoorbeeld geen andere accounts overnemen of op de server gevaarlijke bestanden uploaden. Een fijn gevoel.

Wel hebben we een tweetal wijzigingen doorgevoerd.

1. Externe Functionaris Gegevensbescherming

We vinden het bijvoorbeeld belangrijk dat we niet onszelf toetsen maar dat een externe functionaris gegevensbescherming ons scherp houdt. Daarom is Demi Grandiek van ICT Recht onze nieuwe Functionaris Gegevensbescherming. Zij stelt zich voor:

 

‘Mijn naam is Demi Grandiek en werk als juridisch adviseur bij ICTRecht als Certified Information Privacy Professional/Europe (CIPP/E).

In mijn werk stel ik contracten op, adviseer ik bedrijven en controleer ik in hoeverre hun werkwijzen voldoen aan de privacy- en telecommunicatiewetgeving.  Sinds oktober ben ik door Hello’s aangesteld als functionaris voor gegevensbescherming.’

We zijn blij dat Demi ons versterkt op het gebied van privacy, een onderwerp waarmee je bij haar goed terecht kunt.

 

 

 

2. Twee-factor-authenticatie standaard in Hello’s Online

Natuurlijk komen er altijd verbeterpunten uit en dat heeft ons doen besluiten om de twee-factor-authenticatie niet meer in maatwerk aan te bieden maar standaard in de applicatie te zetten. Met twee-factor-authenticatielog je op dezelfde manier in maar komt er de vraag om een code in te voeren die je via Google Authenticator met je telefoon kunt genereren. Je kunt als organisatie en klant van Hello’s Online zelf bepalen of je deze functie aan of uit zet. Demi legt uit wanneer je twee-factor-authenticatie aan en uit kunt zetten:

‘De AVG wetgeving stelt dat beveiliging van persoonsgegevens ‘passend’ moet zijn. Passend is een term die telkens voor elke situatie en elke soort persoonsgegevens ingevuld dient te worden, waarbij gekeken moet worden naar de stand van de techniek. Het soort gegevens zegt iets over de mate van bescherming (medische gegevens, gevoelige informatie, dient beter beveiligd te worden dan een postcode en huisnummer), het aantal gegevens zegt iets over de mate van bescherming en de risico’s bij lekken geven indicaties.  De verantwoordelijke voor de gegevensverwerking dient te bepalen welke mate van bescherming passend is. Twee-factor-authenticatie wordt inmiddels gezien als een normale, niet al te ingewikkelde manier, om gegevens te beschermen. Als je met bijzondere persoonsgegevens werkt wordt er eigenlijk al vanuit gegaan dat je twee-factor-authenticatie gebruikt.

Kortom, we gaan ver om na te gaan of Hello’s Online zowel technisch als organisatorisch voldoet aan de geldende veiligheidseisen volgens de Algemene Verordening Gegevensbescherming (AVG). Je kunt erop rekenen dat wij altijd vertrouwelijk met je gegevens om zullen gaan!