AVG: Solar Monkey is er klaar voor. Jij ook?

Het zal niemand ontgaan zijn. De Algemene Verordening Gegevensbescherming, ofwel AVG, gaat over een paar weken van kracht. Dat houdt in dat organisaties veel beter, bewuster en veiliger met persoonsgegevens om dienen te gaan. Hoewel het even wat werk is om alles perfect vast te leggen zien we dit bij Solar Monkey als een goede stap naar beter databeheer. In dit artikel leggen we uit hoe we omgaan met de nieuwe regelgeving en wat de impact is voor onze partners en klanten.

De 6 grondslagen van de AVG

De AVG is gebaseerd op 6 grondslagen. Je hebt alleen het recht om persoonsgegevens te verwerken als je je kunt beroepen op 1 van deze 6 grondslagen. Deze grondslagen zijn:

AVG algemeen belang

Toestemming van de betrokken persoon. De gegevens mogen vervolgens alleen worden gebruikt voor het doeleinde waarvoor de toestemming is verleend. Gegevens mogen dus nooit worden gedeeld of verkocht .

avg overeenkomst

De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Daarbij is het van belang dat alleen persoonsgegevens gebruikt mogen worden die ook nodig zijn voor het leveren van de dienst. Er mogen dus geen extra gegevens worden verzameld die niet nodig zijn.

avg wettelijke verplichting

De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting

AVG vitale belangen

De gegevensverwerking is noodzakelijk ter bescherming van vitale belangen

AVG algemeen belang

De gegevensverwerking is noodzakelijk voor de vervulling van een taak van  algemeen belang of uitoefening van openbaar gezag

AVG gerechtvaardigd belang

De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

Bij Solar Monkey hebben we met name te maken met de eerste twee grondslagen.

  • Overeenkomst in het geval van software gebruik (grondslag 2)
    Bij het aanbieden van de software hebben we een overeenkomst met de klant in wiens naam we de gegevens verwerken. Daarbij geldt dat Solar Monkey als verwerker optreedt, waarbij de gebruiker de verwerkingsverantwoordelijke is. Daarvoor hebben we een verwerkersovereenkomst opgesteld waarin staat beschreven hoe we met de data omgaan. Deze wordt met alle gebruikers overeengekomen.
  • Overeenkomst voor monitoring diensten (grondslag 2)
    Voor een groot aantal zonnesysteem bezitters leveren we in naam van de installateur diensten voor het monitoren van zonnesystemen. Deze dienst wordt afgenomen door de eindconsument en zal altijd worden geleverd, onafhankelijk van het voortbestaan van de installateur. Daarom gaan we zelf een overeenkomst aan met de eindconsument tijdens het activatieproces van de monitoring dienst. In het kader van die overeenkomst is het nodig de gegevens te verwerken. Dat betekent dat wij in dat geval zelf verwerkingsverantwoordelijke worden voor de persoonsgegevens en bijbehorende opbrengstdata van de zonnesystemen.

Zorgvuldigheid met gegevens

Wanneer je het recht hebt om persoonsgegevens te verwerken dien je daar uiteraard zorgvuldig mee om te gaan. De belangrijkste principe daarin zijn ‘privacy by design’ en ‘privacy by default.

Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Maar ook dat er niet meer gegevens worden verzameld dan noodzakelijk voor het doel van de verwerking. En dat de gegevens niet langer worden bewaard dan nodig.

Privacy by default houdt in dat alle technische en organisatorische maatregelen moeten worden genomen om standaard alléén persoonsgegevens te verwerken die noodzakelijk zijn voor het specifieke doel. Toestemming om de gegevens ook voor andere doeleinden te gebruiken moet specifiek en bewust door de betrokkene worden gegeven. Dit mag dus niet meer worden weggewerkt in standaard algemene voorwaarden.

Voor Solar Monkey betekent het dat we een paar zaken iets anders in gaan richten:

  • Persoonsgegevens die niet meer worden gebruikt zullen worden verwijderd. We geven gebruikers van de software de mogelijkheid om oude projecten die niet zijn geïnstalleerd te verwijderen. We onderzoeken nog hoe we onze klanten hier de beste handvatten voor aan kunnen reiken. Dit kan bijvoorbeeld door een functionaliteit waarbij projecten ouder dan een jaar automatisch worden verwijderd, tenzij is aangegeven dat het project is geïnstalleerd. In dat laatste geval wil je het ontwerp uiteraard in kunnen blijven zien.
  • Voor onze nieuwsbrieven gaan we voor externen werken met een double opt-in. Onze klanten zullen wel standaard nieuwsbrieven en updates over Solar Monkey en onze diensten ontvangen, ongeveer eens per maand. We vinden het immers belangrijk dat onze klanten op de hoogte zijn van de nieuwste ontwikkelingen. Zij hebben uiteraard de mogelijkheid hiervoor uit te schrijven.

Daarnaast hebben betrokkenen (eind consumenten) altijd het recht om informatie over hen in te zien en wijzigingen dan wel verwijdering van hun gegevens aan te vragen. Omdat Solar Monkey als software leverancier slechts verwerker is en geen verantwoordelijke, zullen deze verzoeken altijd worden doorgestuurd en overgelaten aan de klant als verwerkingsverantwoordelijke. Bij informatie betreffende monitoring waarbij Solar Monkey zelf verwerkingsverantwoordelijke is nemen we uiteraard uiteraard zelf die verantwoordelijkheid.

Technische en organisatorische maatregelen

Tot slot dienen de juiste technische en organisatorische maatregelen genomen te zijn om juist met de gegevens om te gaan. Hierbij zijn drie hoofdzaken van belang:

  • We hebben een register van verwerkingen waarin we bijhouden welke persoonsgegevens worden opgeslagen en verwerkt.
  • Er is een beleid omtrent gegevensbescherming opgesteld voor onze werknemers waarin de volgende zaken zijn vastgelegd:
    • Ten eerste is er met al ons personeel en alle partners een geheimhoudingsverklaring overeengekomen.
    • Er staat voorgeschreven hoe er met wachtwoorden omgegaan dient te worden. Deze worden in een beveiligde omgeving encrypted opgeslagen. Wachtwoorden mogen niet worden hergebruikt, iedere login dient dus een eigen wachtwoord te hebben. Het delen van wachtwoorden gebeurt nooit via de email maar via een beveiligde verbinding. We gebruiken momenteel de tool Lastpass om dit in goede banen te leiden. Wachtwoorden die wij aanmaken voor externen delen we via een unieke link die eenmalig geldig is.
    • Het inzien en opslaan van persoonsgegevens gebeurt alleen op de specifiek daarvoor bestemde locaties en doeleinden. Persoonsgegevens zullen bijvoorbeeld niet worden gekopieerd op een USB-stick.
    • Personeelsleden en partners krijgen waar mogelijk alleen toegang tot persoonsgegevens op een ‘need to know’ basis. Onze gedeelde schijf is in secties opgedeeld, zodat bepaalde persoonsgegevens kunnen worden afgeschermd.
  • Er zijn gepaste maatregelen genomen voor digitale beveiliging. We hebben alle pagina’s geüpdate met HTTPS voor het beveiligen van de gegevensstromen. Gevoelige gegevens zoals IBAN worden encrypted opgeslagen en alleen voor de duur dat nodig is

Verwerkersovereenkomst

We hebben met al onze software abonnements-klanten reeds een verwerkersovereenkomst gecommuniceerd. Alle prepaid- en nieuwe klanten zullen via een popup in de software akkoord moeten gaan met de verwerkersovereenkomst. Hierin geven we ook aan met welke subverwerkers we samenwerken, zoals hosting providers waar onze data fysiek aanwezig is.

 Wat kun jij doen als gebruiker?

Als software provider is Solar Monkey de verwerker, maar als gebruiker ben je uiteindelijk verantwoordelijk dat de data goed wordt beheerd in de software. Zorg daarom dat je voorzichtig omgaat met wie je toegang geeft tot Solar Monkey en dat je veilige wachtwoorden gebruikt. We geven je al een klein voorzetje door alleen wachtwoorden van minimaal 12 tekens toe te staan (ja vervelend he als je nog oude wachtwoorden gebruikt? 😉 ). We raden je dan ook van harte aan om een goede wachtwoord manager zoals Lastpass te gebruiken. Ook ben je straks zelf verantwoordelijk voor het verwijderen van verouderde gegevens, al zullen wij je daar een paar handige handvatten voor geven.

Bekijk de website van het AP voor de AVG in een notendop. Daar kun je lezen over de belangrijkste veranderingen en de voorwaarden waar je aan moet voldoen, ook buiten het gebruik van onze software om. Wat betreft Solar Monkey heb je van ons al een verwerkersovereenkomst ontvangen, of die zul je deze maand nog ontvangen. We zien graag een ondertekend exemplaar retour.

Heb je nog vragen of opmerkingen? Neem daarvoor contact op met Tino de Bruijn. Hij is als CTO de slimste man van Solar Monkey, het brein achter de software en tegenwoordig ook verantwoordelijk voor de processen omtrent de AVG.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *