Daisycon en de General Data Protection Regulation (GDPR) / AVG

In mei 2018 wordt nieuwe Europese privacywetgeving van kracht, de General Data Protection Regulation (afgekort GDPR, in het Nederlands AVG, Algemene Verordening Gegevensbescherming, genoemd). In dit artikel geven we in het kort weer welke maatregelen Daisycon hiervoor heeft genomen.

Bij Daisycon zijn we er van overtuigd dat het gedrag van personen het allerbelangrijkste onderdeel van databeveiliging is. Dit is ook een van de uitgangspunten van de GDPR / AVG. Personeel van Daisycon is goed op de hoogte wat wel en niet is toegestaan op het gebied van data. Er zijn regels en er is apart beleid omtrent inkomende data. Daarnaast is er een veiligheids- en escalatieprotocol. Het databeleid wordt regelmatig opnieuw bij personeel onder de aandacht gebracht, en is opgenomen in de algemene arbeidsvoorwaarden van Daisycon. Op senior managementniveau is er een dataofficer aangesteld die verantwoordelijk is voor bovengenoemd beleid.  Waar dat van toepassing is sluiten we aparte bewerkersovereenkomsten met onze klanten en toeleveranciers. 

Rechten van betrokkene

Daisycon heeft protocollen waarin het recht op inzage en het vergeetrecht zijn geregeld. Deze kunt u hier nalezen:

https://faq-advertiser.daisycon.com/hc/nl/articles/115004006769-Ik-wens-als-consument-gebruik-te-maken-van-Het-vergeetrecht-bij-Daisycon

https://faq-advertiser.daisycon.com/hc/nl/articles/115004006609-Ik-wens-als-consument-gebruik-maken-van-het-recht-op-inzage-bij-Daisycon

 

Via ons privacybeleid maken wij voor betrokkene o.a. inzichtelijk welke data wij opslaan. Het privacybeleid is hier na te lezen: https://www.daisycon.com/nl/privacy/

Databeveiliging

Bij Daisycon hebben wij geanalyseerd en gedocumenteerd welke data binnen de organisatie aanwezig is. Dit is vastgelegd in een register van verwerkingsactiviteiten. Een zeer belangrijke stap in onze databeveiliging is dat wij zo min mogelijk gevoelige data opslaan. Dit wordt privacy by design genoemd. Zo slaan wij voor onze dienst Affiliate Marketing zelf géén persoonsgegevens op. Gegevens zijn ook gecombineerd nooit te herleiden naar een persoon. IP-adressen worden voordat zij worden opgeslagen ge-truncated (afgehakt) en direct via een onomkeerbare MD5-hash versleuteld. Hierdoor ontstaat een unieke parameter die wij kunnen gebruiken om de uniciteit van transacties te achterhalen, zonder dat dit ter herleiden is naar een individu. Adverteerders raden wij sterk af om persoonsgegevens mee te sturen bij de transactie. Hier wordt bij de start van een campagne of bij de wijziging van een conversiepixel altijd op gecontroleerd.

Daisycon heeft een geavanceerd rechtensysteem, waardoor alleen geautoriseerd personeel bij bepaalde transactiedata kan komen.

Voor onze dienst Lead Generation worden de campagnes bij de adverteerder gehost en worden persoonsgegevens niet door Daisycon opgeslagen. Bij een aantal leadcampagnes wordt de leadcampagne door Daisycon voor haar klanten gehost. Voor de opslag van deze persoonsgegevens wordt een bewerkersovereenkomst afgesloten. Deze data wordt na uitlevering aan de klant, rekening houdend met wettelijke voorschriften, zo kort mogelijk bewaard.

Technische beveiliging

Naast dat Daisycon zo min mogelijk data opslaat, streeft Daisycon naar de beste beveiliging van haar systemen. Hiervoor werkt Daisycon samen met professionele databeveiligingsbedrijven en gebruikt Daisycon geavanceerde detectiesoftware. Naast de reguliere controles door haar eigen technische afdeling laat Daisycon met regelmaat zogeheten penetratietests uitvoeren. Ook heeft Daisycon standaard controleprocessen voor de livegang van nieuwe software. Hierdoor wordt geborgd dat tussen de penetratietests door alleen veilige software in gebruik wordt genomen.

De servers van Daisycon worden binnen Nederland op gescheiden locaties beheerd door externe hostingproviders. Deze zijn ISO 9001 en ISO 27001 gecertificeerd.

Wat moet u als adverteerder doen?

Wij vertrouwen erop dat dit artikel u voldoende inzicht geeft in de maatregelen die Daisycon heeft genomen om aan de GDPR / AVG te voldoen. Zoals wij hierboven al aangeven sluiten wij waar nodig bewerkingsovereenkomsten met onze adverteerders. Voor onze dienst Affiliate Marketing slaan wij geen persoonsgegevens op. Een bewerkersovereenkomst is daarom niet verplicht. Om voor alle data-uitwisseling compliant te zijn is in onze contracten met adverteerders standaard een bewerkersovereenkomst opgenomen. De standaard bewerkersovereenkomst is hier na te lezen: https://www.daisycon.com/nl/bewerkersovereenkomst/. Ook voor leadcampagnes die door Daisycon worden gehost sluiten wij standaard een bewerkersovereenkomst.

ePrivacy Verordering

Naast de GDPR / AVG was het de bedoeling dat in mei 2018 ook de ePrivacy Verordering van kracht zou worden. Begin december 2017 is bekend gemaakt dat de ePrivacy Verordering waarschijnlijk niet voor 2019 zal worden ingevoerd. De ePrivacy Verordering regelt onder andere de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. De ePrivacy Verordering moet nog langs het Europees Parlement en de Raad van Ministers. Omdat nog veel onduidelijkheid bestaat over deze verordering kunnen wij hier nog geen duidelijk standpunt over innemen. Zodra hier meer over bekend wordt zullen wij hier over communiceren.

Meer informatie

Daisycon heeft een uitgebreide FAQ voor haar adverteerders opgesteld. Deze is hier te bekijken. Alle openbare informatie over data bij Daisycon is verzameld in het eerdergenoemde databeleid: https://www.daisycon.com/nl/privacy/

U kunt uw vragen ook richten aan onze dataofficer, Rick de Vlieger, via [email protected]