AVG: Solar Monkey is er klaar voor. Jij ook?

Wat is de AVG?

De Algemene Verordening Gegevensbescherming, ofwel AVG, houdt in dat organisaties veel beter, bewuster en veiliger met persoonsgegevens om moeten gaan. Dit zien wij als een goede stap naar beter databeheer. In dit artikel leggen we uit hoe we omgaan met de nieuwe regelgeving en wat de impact is voor onze partners en klanten.

De grondslagen van de AVG

De AVG is gebaseerd op 6 principes. Je hebt alleen het recht om persoonsgegevens te verwerken als je je kunt beroepen op 1 van deze 6 grondslagen. Deze grondslagen zijn:

  • Toestemming van de betrokken persoon. De gegevens mogen alleen worden gebruikt voor het doeleinde waarvoor de toestemming is verleend. Gegevens mogen dus nooit worden gedeeld of verkocht.

  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Daarbij is het van belang dat alleen persoonsgegevens gebruikt mogen worden die ook nodig zijn voor het leveren van de dienst. Er mogen dus geen extra gegevens worden verzameld die niet nodig zijn.

  • De verwerking van gegevens is noodzakelijk voor het nakomen van een wettelijke verplichting.

  • De gegevensverwerking is noodzakelijk ter bescherming van vitale belangen.

  • De verwerking van gegevens is noodzakelijk voor de vervulling van een taak van  algemeen belang of uitoefening van openbaar gezag.

  • De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

Hoe werkt dit in de praktijk?

Bij Solar Monkey hebben we met name te maken met de eerste twee grondslagen.

  • Overeenkomst in het geval van software gebruik

    Bij het aanbieden van de software hebben we een overeenkomst met de klant in wiens naam wij de gegevens verwerken (grondslag 2). Solar Monkey treedt hierbij op als verwerker, waarbij de gebruiker de verwerkingsverantwoordelijke is. Daarvoor hebben we een verwerkersovereenkomst opgesteld waarin staat beschreven hoe we met de data omgaan. Deze wordt met alle gebruikers overeengekomen.

  • Overeenkomst voor monitoring diensten

    Voor een groot aantal zonnesysteem bezitters leveren wij in naam van de installateur diensten voor het monitoren van zonnesystemen. Deze dienst wordt afgenomen door de eindconsument en zal altijd worden geleverd, onafhankelijk van het voortbestaan van de installateur. Om deze reden gaan we zelf een overeenkomst aan met de eindconsument tijdens het activatieproces van de monitoring dienst. In het kader van die overeenkomst is het nodig de gegevens te verwerken (grondslag 2). Dat betekent dat wij in dat geval zelf verwerkingsverantwoordelijke worden voor de persoonsgegevens en bijbehorende opbrengstdata van de zonnesystemen.

Zorgvuldig databeheer

Wanneer je het recht hebt om persoonsgegevens te verwerken moet je daar zorgvuldig mee om gaan. Hiervoor gelden de principes ‘privacy by design’ en ‘privacy by default‘.

Privacy by design houdt in dat: persoonsgegevens goed worden beschermd, dat er niet meer gegevens worden verzameld dan noodzakelijk voor het doel van de verwerking en dat de gegevens niet langer worden bewaard dan nodig.

Privacy by default houdt in dat: alléén persoonsgegevens die noodzakelijk zijn voor het doel mogen verwerkt worden en alle technische en organisatorische maatregelen genomen worden. Verder betekent het ook dat toestemming om de gegevens voor andere doeleinden te gebruiken bewust door de betrokkenen moet worden gegeven. Dit mag dus niet meer worden weggewerkt in standaard algemene voorwaarden.

Privacy en Solar Monkey

    • Persoonsgegevens die niet meer worden gebruikt zullen worden verwijderd. Gebruikers van de software krijgen de mogelijkheid om oude projecten die niet geïnstalleerd zijn te verwijderen. We houden hierbij wel rekening met het feit dat sommige oude projecten wel bewaard willen worden en in dat geval kan je ze uiteraard blijven zien.
    • We gaan werken met een double opt-in voor onze nieuwsbrieven. Omdat we het wel belangrijk vinden dat onze klanten op de hoogte blijven van nieuwe ontwikkelingen zullen we wel standaard nieuwsbrieven en updates blijven delen. Uiteraard is hier de mogelijkheid om je uit te schrijven.
    • Eind consumenten hebben altijd het recht om informatie over hen in te zien en wijzigingen dan wel het verwijderen van hun gegevens aan te vragen. Omdat Solar Monkey als software leverancier slechts verwerker is en geen verantwoordelijke, zullen deze verzoeken altijd worden doorgestuurd en overgelaten aan de klant als verwerkingsverantwoordelijke. In het geval van monitoring waarbij Solar Monkey zelf verwerkingsverantwoordelijke is nemen we uiteraard die verantwoordelijkheid.

Organisatorische maatregelen

  • Er is een beleid omtrent gegevensbescherming opgesteld voor onze werknemers waarin de volgende zaken zijn vastgelegd:

    • Een geheimhoudingsverklaring met al ons personeel en alle partners.
    • Er staat voorgeschreven hoe er met wachtwoorden omgegaan dient te worden. Deze worden in een beveiligde omgeving encrypted opgeslagen.
    • Het inzien en opslaan van persoonsgegevens gebeurt alleen op de specifiek daarvoor bestemde locaties en doeleinden.
    • Personeelsleden en partners krijgen waar mogelijk alleen toegang tot persoonsgegevens op een ‘need to know’ basis. Onze gedeelde schijf is in secties opgedeeld, zodat bepaalde persoonsgegevens kunnen worden afgeschermd.
    • Gepaste maatregelen zijn genomen voor digitale beveiliging.
    • Alle pagina’s zijn geüpdate met HTTPS voor het beveiligen van de gegevensstromen.
    • Gevoelige gegevens zoals IBAN worden encrypted opgeslagen en alleen voor de duur dat nodig is.

Transparantie vanuit Solar Monkey

We hebben met al onze software abonnements-klanten een verwerkersovereenkomst gecommuniceerd. Alle nieuwe en prepaid klanten moeten via een popup in de software akkoord gaan met de verwerkersovereenkomst. We geven hierin ook duidelijk aan met welke subverwerkers we samenwerken, zoals hosting providers waar onze data fysiek aanwezig is.

Wat kan jij doen als klant?

Solar Monkey is als software provider de verwerker van de data, maar je bent als gebruiker uiteindelijk verantwoordelijk dat de data goed wordt beheerd in de software. Ga daarom voorzichtig om met het toegang verlenen tot Solar Monkey en gebruik veilige wachtwoorden. We geven je al een klein voorzetje door alleen wachtwoorden van minimaal 12 tekens toe te staan. We raden je ook van harte aan om een goede wachtwoord manager zoals Lastpass te gebruiken. Hoewel je straks zelf verantwoordelijk bent voor het verwijderen van verouderde gegevens, zullen wij je daar een paar handige handvatten voor geven.

Bekijk de website van het AP voor de AVG in een notendop. Daar kun je lezen over de belangrijkste veranderingen en de voorwaarden waar je aan moet voldoen, ook buiten het gebruik van onze software om. Vanuit Solar Monkey hebben wij je al een verwerkersovereenkomst verstuurd, of die zul je deze maand nog ontvangen. We zien graag een ondertekend exemplaar retour.

Heb je nog vragen of opmerkingen? Neem dan contact op met Tino de Bruijn. Hij is als CTO de slimste man van Solar Monkey, het brein achter de software en tegenwoordig ook verantwoordelijk voor de processen omtrent de AVG.

Onderwerpen:

2021-03-16T11:29:15+01:00