Internetbureau en AVG
Een internetbureau ontwikkelt veelal namens opdrachtgevers. Denk aan realisatie van websites of webapplicaties namens de opdrachtgevers. Tegelijkertijd is een internetbureau ook verantwoordelijke wegens eigen verwerkingsactiviteiten, op minstens twee manieren.
Internetbureau als verantwoordelijke
Een voor de hand liggende gegevensverwerking c.q. verwerkingsactiviteit, is de eigen klantenbestand. Ook eventuele e-mailadressen zijn persoonsgegevens, aanvullend factuuradressen kunnen ook persoonsgegevens betreffen:
- e-mailadressen kunnen persoonsgegevens betreffen, omdat een voornaam in een e-mailadres voldoende kan zijn om te herleiden tot een persoon. Ook een functienaam in een e-mailadres of e-mailconversatie valt daardoor onder een persoonsgegeven. Een naam of functie binnen een bedrijf, kan immers voldoende zijn om de bijbehorende persoon aan te wijzen.
Zelfs wanneer een e-mailadres een algemeen e-mailadres betreft, kan dit in het geval van eenmanszaken of freelancers, herleidbaar zijn tot een persoon; - In het geval van factuuradressen, kan het zijn dat het een woonadres betreft van een individu, wederom in het geval van een eenmanszaak of freelancer, maar ook in het geval van MKB-ers. Wanneer er door een internetbureau dus enkel business to business wordt bedreven, is de AVG wetgeving nog van toepassing;
Bewaarplicht internetbureau
Voor de financiële administratie (facturering) kent de wet een bewaarplicht. Deze bewaarplicht betreft al snel 7 jaar. Deze bewaarplicht geldt voor digitale facturering in het algemeen en dus niet specifiek voor internetbureau's.
Verantwoordelijke voor andere verwerkingsactiviteiten
Een internetbureau zal in de regel een eigen online visitekaart hebben. Deze kan bezoeker-gegevens trekken, denk aan bezoekgedrag als ook meer gerelateerd aan persoonsgegeven: IP-adres. Alhoewel dit geanonimiseerd kan worden, kan er onbewust door eventuele third-party trackers, alsnog (andere) persoonsgegevens worden verzameld. Dit heeft als gevolg dat er conform AVG documentatieplicht, een verwerkingsregister opgesteld moet worden. Dit geldt ook voor een eventuele geëxploiteerde webshop of indien een internetbureau ook direct als hosting-bureau fungeert.
Ik heb een website AVG documentatieplicht
Verwerkers en subverwerkers
De hoofdwerkzaamheden van een internetbureau zal het ontwikkelen en online houden van websites en webapplicaties zijn. Doordat daarmee toegang kan worden verkregen tot de servers, waar bovendien persoonsgegevens aanwezig kunnen zijn, maakt dit een internetbureau tot verwerker. Deze verwerksactiviteiten dienen in een verwerkingsregister vastgelege dte worden. Hierbij kunnen meerdere verwerkingen in één verwerkingsregister worden bijgehouden.
Aanvullenddient er een verwerkersovereenkomst te worden aangegaan met de opdrachtgevers c.q. verantwoordelijken namens wie een systeem wordt onderhouden waarin persoonsgegevens wordt verwerkt.
AVG Cloud Register B.V. biedt middels AVG pakketten een ondersteunende rol in de AVG documentatieplicht, voor het werkbaar en tijdbesparend in kaart brengen van aanwezige gegevens en maatregelen. Ook biedt het een actieve rol, doordat het website cookies scant en zowel privacy policy als ook cookie policy opstelt, met maar één handeling.