AVG [GDPR]

Lightspeed AVG aanpak

Laatst bijgewerkt: 2 april 2018

De Algemene Verordening Gegevensbescherming (AVG of in het Engels GDPR General Data Protection Regulation) komt eraan en Lightspeed staat volledig achter de strenge privacynormen die hierdoor worden benadrukt. De AVG is een nieuwe wetgeving die op 25 mei 2018 effectief wordt. De verordening is bedoeld om de wetgeving inzake gegevensbescherming voor iedereen die in de Europese Unie leeft gelijk te trekken en te versterken.

Lightspeed heeft zich tot doel gesteld de GDPR volledig na te leven vóór de inwerkingtreding van de wetgeving.

  1. Wat doet Lightspeed met betrekking tot de GDPR?
  2. Wat moeten Lightspeed klanten doen?
  3. Algemene GDPR-informatie.

1. Wat doet Lightspeed met betrekking tot de GDPR?

Sinds 2017 heeft Lightspeed een toegewijd team van interne en externe adviseurs in dienst om verbeteringen en vereisten voor onze producten te identificeren. Wij zijn dit proces vroeg gestart omdat wij het recht op privacy van onze klanten (en hun klanten) hoog in het vaandel hebben staan. Als bedrijf willen wij te allen tijde voldoen aan (internationale) wetten die de privacy beschermen.

Lightspeed heeft twee rollen onder de GDPR. Enerzijds is Lightspeed de verwerkingsverantwoordelijke (controller) van persoonsgegevens van haar klanten. Deze persoonsgegevens betreffen voornamelijk de naam en contactgegevens van onze klanten.

Daarnaast treedt Lightspeed op als een verwerker (processor) van de persoonsgegevens die de Lightspeed-klanten ontvangen van haar klanten. Dit houdt in dat Lightspeed haar klanten moet ondersteunen in het verwerken van de persoonsgegevens. Onze primaire verantwoordelijkheid is om ervoor te zorgen dat wij alle gegevens van onze klanten adequaat beschermen. Daarnaast zullen wij onze klanten assisteren bij het tegemoetkomen aan verzoeken tot inzage, verwijdering of aanpassing van persoonsgegevens.
Om beide rollen zo goed mogelijk te vervullen is Lightspeed de manier waarop zij persoonsgegevens verwerkt aan het optimaliseren. Daarnaast bereidt Lightspeed zich voor om de nodige technische maatregelen te nemen om aan de nieuwe rechten van personen onder de GDPR tegemoet te komen.

Wij zijn begonnen actie te ondernemen onmiddellijk nadat de in kracht treding van de GDPR werd aangekondigd. Momenteel zijn wij onze interne analyse aan het afronden en zullen wij snel met een gedetailleerde update komen.U kunt deze pagina in de gaten houden, wij zullen de inhoud regelmatig bijwerken om onze klanten op de hoogte te houden van onze voortgang naar de naleving.

2. Wat moeten Lightspeed-klanten doen?

Iedere klant van Lightspeed heeft zelf de verantwoordelijkheid om ervoor te zorgen dat hij handelt volgens de nieuwe wetgeving. In de rol van de verwerkingsverantwoordelijke (controller) zijn de Lightspeed-klanten verantwoordelijk voor de rechtmatige verwerking van persoonlijke gegevens van hun klanten. Om hieraan te voldoen adviseren wij om minstens de volgende stappen te volgen:

a) Zorg ervoor dat uw servicevoorwaarden, uw privacybeleid en uw cookiebeleid uw klanten correct meedelen welke van hun persoonsgegevens u verwerkt en voor welke doeleinden.
b) U moet de personen van wie u de gegevens verwerkt de mogelijkheid geven om een ​​kopie van hun persoonlijke gegevens te ontvangen of, onder bepaalde omstandigheden, om hun persoonlijke gegevens te laten corrigeren of verwijderen.
c) U bent verplicht om een ​​overeenkomst voor gegevensverwerking aan te gaan met alle partijen die namens u persoonsgegevens verwerken om overeenstemming te bereiken over de doeleinden waarvoor deze verwerkers de persoonsgegevens mogen gebruiken. Dit betekent ook met Lightspeed. De komende weken nemen we contact met onze klanten op om hen in de gelegenheid te stellen onze standaardovereenkomst voor gegevensverwerking te ondertekenen (DPA).
d) U moet ervoor zorgen dat de persoonlijke gegevens die u bewaart adequaat worden beveiligd en beschermd.
e) U moet ervoor zorgen dat u uw persoonlijke gegevens niet langer bijhoudt dan nodig is voor het doel waarvoor u deze hebt ontvangen.
f) Wees voorbereid om betrokkenen tijdig op de hoogte te stellen (binnen 72 uur) in het geval van een datalek.

Houd er rekening mee dat het bovenstaande niet volledig is en we raden u aan (juridisch) advies in te winnen over de precieze implicaties van de GDPR voor uw bedrijf.

3. Algemene GDPR-informatie

Wat is de GDPR?

De GDPR is een nieuwe wetgeving, bedoeld om burgers van de Europese Unie meer controle over hun data te geven. Het zal de richtlijn gegevensbescherming van 1995 vervangen. De GDPR regelt de verzameling, opslag, overdracht en gebruik van persoonlijke gegevens. Dit betekent alle ‘verwerking’ van persoonlijke gegevens, inclusief het volgen(tracking) van apparaten. Daarom valt elk bedrijf of elke organisatie die gegevens verwerkt voor haar klanten, of klanten van klanten, onder deze wetgeving. Persoonlijke gegevens betekent alle informatie die betrekking heeft op een persoon (genaamd data-subject).

Voor EU burgers betekent dit dat ze meer controle over hun gegevens zullen krijgen. Er wordt nu geregeld hoe bedrijven de persoonlijke gegevens die zij verzamelen moeten verwerken en opslaan.

Belangrijke wijzigingen die in mei 2018 van kracht worden

  • Datalek melding en beveiliging. Onder de GDPR zijn verwerkingsverantwoordelijke verplicht om bepaalde datalekken te melden aan de nationale privacytoezichthouders. Onder bepaalde omstandigheden moeten deze inbreuken ook aan de betrokkenen worden meegedeeld. Bovenop de vereiste rapportering worden aanvullende beveiligingsvereisten aan organisaties gesteld.
  • Uitgebreide rechten voor individuen. Met de GDPR verleent de Europese Unie de burgers twee nieuwe rechten: het recht om te worden vergeten en het recht om een ​​kopie te ontvangen van de verwerker van alle persoonsgegevens die in hun bezit zijn.
  • Nalevingsverplichtingen. Organisaties moeten beleidsregels en beveiligingsprotocollen implementeren, gedetailleerde gegevens bijhouden over gegevensactiviteiten, privacybeoordelingen uitvoeren en schriftelijke overeenkomsten sluiten met leveranciers.

GDPR Veelgestelde vragen

V. Wat zijn persoonsgegevens?
Volgens GDPR zijn persoonsgegevens alle informatie die verband houden met een geïdentificeerd of identificeerbaar natuurlijke persoon. Naar deze persoon wordt verwezen als de “gegevenspersoon”. Deze omvatten de voor de hand liggende gegevens zoals naam, adres, e-mailadres en telefoonnummer, maar ook het IP-adres of gegevens die specifiek zijn voor de fysieke, fysiologische, genetische, economische, culturele of sociale identiteit van die natuurlijke persoon.

V. Wat houdt verwerking van persoonsgegevens in?
Verwerking betekent alles wat u met persoonsgegevens kunt doen. Dit omvat bekijken, opslaan, wijzigen, overdragen en zelfs wissen van persoonsgegevens.

V. Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker van persoonsgegevens?
De verwerkingsverantwoordelijke is de persoon die het doel en de verwerkingsmiddelen van persoonsgegevens bepaalt. De verwerker is een persoon die persoonsgegevens namens de verwerkingsverantwoordelijke en in overeenstemming met de instructies en reikwijdte die de verwerkingsverantwoordelijke en verwerker gezamenlijk zijn overeengekomen, verwerkt. Volgens GDPR is Lightspeed de verwerkingsverantwoordelijke van persoonsgegevens van zijn werknemers en de persoonsgegevens die direct te maken hebben met de contactpersonen van zijn handelaren. Lightspeed is een verwerker van de persoonsgegevens die de handelaren van hun klanten ontvangen.

V. Wat zijn de verplichtingen van de handelaren van Lightspeed volgens GDPR?
Volgens GDPR zijn de handelaren de verwerkingsverantwoordelijken van de persoonsgegevens van hun klanten. Dit betekent dat ze als verwerkingsverantwoordelijken gegevens in overeenstemming met de GDPR moeten verwerken. Enkele van de voornaamste punten zijn:

  1. Bepalen welke persoonsgegevens worden verwerkt en met welke doeleinden;
  2. Tegemoetkomen aan de rechten van haar klanten in verband met de verwerkte gegevens;
  3. Ervoor zorgen dat de verwerkte persoonsgegevens adequaat worden beschermd;
  4. Ervoor zorgen dat er een duidelijk proces wordt ingesteld om inbreuken op de gegevens te identificeren en te melden binnen de tijdskaders die in de GDPR zijn opgesteld;
  5. Een verwerkersovereenkomst sluiten met alle derde partijen die namens de Lightspeed klant persoonsgegevens verwerken;
  6. Haar klanten door middel van een privacybeleid op duidelijke, begrijpelijke wijze informeren over hoe hun gegevens worden verwerkt en wat eraan gedaan is om de GDPR na te leven

V. Wat zegt de GDPR over de verwerking van persoonsgegevens?

De GDPR schrijft voor dat bij de verwerking van persoonsgegevens rekening dient te worden gehouden met de volgende principes:

  1. Persoonsgegevens moeten worden verwerkt op een wijze die eerlijk en transparant is tegenover de gegevenspersoon;
  2. Persoonsgegevens mogen worden verzameld voor doeleinden die aan de gegevenspersoon zijn meegedeeld en waarmee u een rechtmatige bedoeling hebt;
  3. Persoonsgegevens moeten accuraat zijn en bijgewerkt blijven; inaccurate gegevens moeten zonder uitstel worden gecorrigeerd of gewist;
  4. Persoonsgegevens mogen niet langer worden bewaard dan nodig is;
  5. Er moet op een veilige manier met persoonsgegevens worden omgegaan.

V. Wat zijn de verplichtingen van Lightspeed ten aanzien van zijn handelaren volgens de GDPR?
Handelaren hebben Lightspeed gekozen als verwerker van de persoonsgegevens van hun klanten. Dit betekent dat Lightspeed hen helpt met hun verplichtingen als verwerkingsverantwoordelijken. Bovendien is Lightspeed de verwerkingsverantwoordelijke van alle persoonsgegevens die direct verband houden met de Lightspeed klant. Voor meer informatie over hoe we de persoonsgegevens in verband met onze directe handelaren verwerken, raadpleegt u het privacybeleid op onze website.

V. Welke specifieke rechten hebben personen in verband met de persoonsgegevens die volgens de GDPR zijn verwerkt?
Een persoon heeft de volgende rechten (elk hiervan wordt later in dit document uitgelegd):

  • Recht van informatie en toegang
  • Recht op rectificatie
  • Recht van overdraagbaarheid
  • Recht om bezwaar te maken
  • Recht op uitwissen
  • Recht op restrictie van de verwerking

De verwerkingsverantwoordelijke van de persoonsgegevens is verantwoordelijk voor de afhandeling van deze verzoeken, maar Lightspeed helpt als verwerker zijn handelaren daarbij. Elk verzoek van een Lightspeed klant in verband met de bovengenoemde rechten moet binnen één (1) maand na het verzoek worden nagegaan. Als het betrekking heeft op complexe of substantiële verzoeken, kan de termijn met een extra maand worden verlengd.

V. Wat betekent het recht op informatie en toegang tot persoonsgegevens?
Op verzoek moet de persoon worden geïnformeerd over de persoonsgegevens die verwerkt worden. Er moet kosteloos een kopie worden verstrekt van de persoonsgegevens die worden verwerkt. Bovendien moet de volgende informatie worden verstrekt:

  • de doeleinden van de verwerking
  • de categorieën verwerkte gegevens
  • de ontvangers of categorieën ontvangers
  • de voorziene bewaarperiode of, als dat niet mogelijk is, de criteria die gebruikt worden om deze periode te bepalen
  • de rechten van de persoon in verband met zijn persoonsgegevens

V. Wat betekent het recht op rectificatie van persoonsgegevens?
Iemand kan verlangen onjuiste persoonsgegevens te laten rectificeren.

V. Wat betekent het recht op overdraagbaarheid van persoonsgegevens?
Iemand kan verlangen dat de persoonsgegevens op gestructureerde, algemeen gebruikte en door machines leesbare wijze worden verstrekt, zodat ze zonder onnodige problemen aan een andere gegevenscontroleur kunnen worden doorgegeven.

V. Wat betekent het recht om bezwaar te maken tegen de verwerking van persoonsgegevens?
Iemand heeft niet het recht om bezwaar te maken tegen het verwerken van persoonsgegevens in het al algemeen, maar kan bezwaar maken tegen de volgende verwerkingsactiviteiten:

  • Verwerking voor directe marketingdoeleinden
  • Verwerking voor wetenschappelijke, historische, onderzoeks- of statistische doeleinden

V. Wat betekent het recht om persoonsgegevens te laten wissen?
Dit betekent dat een persoon een verwerkingsverantwoordelijke kan vragen persoonsgegevens te wissen als de verwerking niet voldoet aan de eisen van de GDPR. Dit kan het geval zijn in de volgende omstandigheden:

  • Als de persoonsgegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld;
  • Wanneer iemand een eerdere toestemming intrekt en er geen rechtvaardiging is voor de verwerking.
  • Wanneer iemand bezwaar maakt tegen de basis waarop een verwerkingsverantwoordelijke de gegevens verwerkt.
  • Wanneer de gegevens op andere wijze onwettig worden verwerkt.

V. Wat betekent het recht op restrictie van de verwerking van persoonsgegevens?
Dit recht geeft iemand een alternatief voor het recht op het laten wissen en maakt het iemand mogelijk te eisen dat gegevens beschermd worden tegen verdere verwerking wanneer de verwerking wordt aangevochten. Een dergelijke wraking kan zich voordoen als de persoon de nauwkeurigheid van de gegevens betwist of bezwaar heeft gemaakt tegen de verwerking. Een restrictie betekent dat de verwerkingsverantwoordelijke de gegevens alleen mag opslaan en niet verder mag verwerken behalve als de persoon toestemming geeft, of de verwerking vanwege wettelijke eisen noodzakelijk is.

V. Hoe helpt Lightspeed handelaren met de persoonsgegevensrechten van klanten?
Lightspeed helpt handelaren met de passende technische en organisationele maatregelen om verzoeken te beantwoorden. Dit betekent dat als er een verzoek van een klant wordt ontvangen, handelaren dit gemakkelijk kunnen doorsturen naar Lightspeed voor extra assistentie. De exacte procedure om een verzoek van een gegevenspersoon bij Lightspeed te archiveren volgt spoedig.

V. Hoe beschermt Lightspeed de persoonsgegevens die het verwerkt?
Lightspeed heeft zowel technische als organisationele maatregelen getroffen om te verzekeren dat alle gegevens die we verwerken adequaat worden beschermd.

V. Wat is een inbreuk op gegevens?
Elk incident waarbij sprake is van een inbreuk op de beveiliging die leidt tot de onbedoelde of onwettige vernietiging, het verlies, de wijziging, onbevoegde openbaarmaking van of toegang tot persoonsgegevens.

V. Wat doet Lightspeed in het geval er sprake is van een inbreuk op gegevens?
Lightspeed heeft een intern beleid bij inbreuk op gegevens geïmplementeerd waarmee het in geval van een inbreuk op gegevens adequaat kan reageren. De acties van Lightspeed zijn in het kort als volgt:

  1. Identificeert de bron van de inbreuk op gegevens;
  2. Perkt de inbreuk in en neemt alle noodzakelijke maatregelen om gegevens te beschermen;
  3. Stelt de betreffende gegevenscontroleur zonder onnodig uitstel op de hoogte nadat men zich bewust is geworden van de inbreuk op gegevens;
  4. Maakt een inschatting van tot in welke mate er maatregelen moeten worden genomen om een soortgelijke inbreuk op de gegevens in de toekomst te voorkomen.

Het is de plicht van de verwerkingsverantwoordelijke zonder onnodig uitstel en wanneer dat mogelijk is, de toezichthoudende autoriteiten binnen 72 uur nadat hij zich bewust is geworden van de inbreuk, hiervan op de hoogte te brengen. Een melding is niet nodig als het onwaarschijnlijk is dat de inbreuk leidt tot een risico voor de rechten en vrijheid van natuurlijke personen.

Het is ook de plicht van de verwerkingsverantwoordelijke om de personen die getroffen worden door de inbreuk op de gegevens hiervan op de hoogte te stellen. De kennisgeving is niet nodig als het onwaarschijnlijk is dat de inbreuk leidt tot een hoog risico voor de rechten en vrijheden van de personen of als er een passende technische en organisationele bescherming was geïmplementeerd op het tijdstip van het incident.

V. Maakt Lightspeed gebruik van sub-verwerkers?
Lightspeed maakt gebruik van AWS en KPN om onze gegevens op te slaan en te beschermen. Lightspeed is voor deze diensten een overeenkomst met deze sub-verwerkers aangegaan om zeker te stellen dat zij de persoonsgegevens met ten minste hetzelfde beveiligingsniveau als hijzelf verwerken.

V. Geeft Lightspeed gegevens door buiten de Europese Economische Ruimte?
Lightspeed gebruikt AWS-servers in de VS om gegevens van handelaren in verband met Lightspeed Retail op te slaan. De GDPR eist dat als er gegevens worden overgebracht buiten de Europese Economische Ruimte (EER), Lightspeed dient te verzekeren dat de ontvanger van de gegevens beschermd is met hetzelfde beveiligingsniveau als waaraan verwerkers binnen de EER zijn gebonden. De Europese Commissie heeft de certificering onder de principes van het EU-VS-privacyschild erkend als een vorm van adequate bescherming. Lightspeed heeft een overeenkomst met AWS ondertekend om te bevestigen dat zij gecertificeerd zijn onder en gebonden aan de principes van het EU-VS-privacyschild en daarom een adequate vorm van bescherming bieden voor de persoonsgegevens die zij van Lightspeed ontvangen. Lightspeed is momenteel onder een dergelijk privacyschild gecertificeerd.

V. Gaat Lightspeed een twee-staps-authenticatie bieden?
Lightspeed evalueert en verbetert zijn beveiligingsinfrastructuur voortdurend als bescherming tegen onbevoegde en onwettige verwerking van persoonsgegevens. Momenteel hebben we geen concrete plannen om een twee-staps-authenticatie te implementeren.

V. Moeten klanten van Lightspeed voor 25 mei 2018 een extra overeenkomst met Lightspeed ondertekenen?
De GDPR eist dat er een controle in een verwerkersovereenkomst met elke verwerker wordt opgenomen. Lightspeed handelt als een verwerker voor de persoonsgegevens die deze van de klanten van de Lightspeed klant ontvangt, omdat ze in softwareproducten van Lightspeed worden opgeslagen. Lightspeed biedt zijn handelaren aan de standaard verwerkersovereenkomst voor 25 mei 2018 te ondertekenen. In deze overeenkomst zet Lightspeed de doelstellingen uiteen waarvoor hij de persoonsgegevens van de Lightspeed klant mag verwerken en de maatregelen die zijn genomen om dergelijk gegevens te beschermen.

V. Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst stelt de relatie tussen de verwerkingsverantwoordelijke en de verwerker op. Ze beschrijft welke persoonsgegevens de verwerker namens de verwerkingsverantwoordelijke mag verwerken en voor welke doeleinden deze dat zal doen. Ze beschrijft ook de technische en organisationele maatregelen die de verwerker heeft genomen om zeker te stellen dat de verwerkingsactiviteiten voldoen aan de eisen van de GDPR en dat de rechten van de personen adequaat worden beschermd.

V. Hoe lang kunnen persoonsgegevens worden bewaard?
De GDPR vermeldt geen specifieke termijn met betrekking tot het houden van persoonsgegevens, maar geeft aan dat persoonsgegevens niet langer hoeven te worden bewaard dan noodzakelijk is in verband met het doel waarvoor dergelijke gegevens worden verwerkt. Er is ook een uitzondering, bepaalde personeelsgegevens worden dan langer bewaard als dit vereist wordt door de wet.

V. Hoeveel jaar zal Lightspeed de door hem verwerkte persoonsgegevens bewaren?
Lightspeed streeft ernaar persoonsgegevens niet langer te bewaren dan noodzakelijk voor het doel waarvoor dergelijke gegevens werden ontvangen en verwerkt. De duur van de periode verschilt echt afhankelijk van het type persoonsgegevens. Meer details over ons gegevensretentiebeleid zullen spoedig volgen.

V. Is de huidige cookie-balk in overeenstemming met de GDPR?
De GDPR gaat niet specifiek in op mogelijke eisen voor cookie-balken. Volgens de GDPR moeten handelaren echter een reden hebben voor de verwerking van gegevens. Als de gebruikte cookies de verwerking van persoonsgegevens van klanten en/of bezoekers van een Lightspeed klant inhouden, moet u ervoor zorgen dat u een geldige reden hebt om dit te doen. De uitdrukkelijke toestemming van de klant/bezoeker van een Lightspeed klant die verkregen kan worden door het gebruik van cookies actief te accepteren, kan als een geldige reden worden gezien.