Daisycon en de General Data Protection Regulation (GDPR) / AVG

In mei 2018 wordt nieuwe Europese privacywetgeving van kracht, de General Data Protection Regulation (afgekort GDPR, in het Nederlands AVG, Algemene Verordening Gegevensbescherming, genoemd). In dit artikel geven we in het kort weer welke maatregelen Daisycon hiervoor heeft genomen.

Bij Daisycon zijn we er van overtuigd dat het gedrag van personen het allerbelangrijkste onderdeel van databeveiliging is. Dit is ook een van de uitgangspunten van de GDPR / AVG. Personeel van Daisycon is goed op de hoogte wat wel en niet is toegestaan op het gebied van data. Er zijn regels en er is apart beleid omtrent inkomende data. Daarnaast is er een veiligheids- en escalatieprotocol. Het databeleid wordt regelmatig opnieuw bij personeel onder de aandacht gebracht, en is opgenomen in de algemene arbeidsvoorwaarden van Daisycon. Op senior managementniveau is er een dataofficer aangesteld die verantwoordelijk is voor bovengenoemd beleid.  

Om alle data-uitwisseling conform de GDPR / AVG voorwaarden te laten verlopen heeft Daisycon standaard verwerkersovereenkomsten opgesteld waar in de uitwisseling van data geregeld is tussen bij de dienstverlening betrokken partijen; Daisycon, Adverteerder en Publisher. Waar dat van toepassing is sluiten we aparte/aanvullende  verwerkersovereenkomsten met onze klanten en toeleveranciers.

Rechten van betrokkene

Daisycon heeft protocollen waarin het recht op inzage en het vergeetrecht zijn geregeld. Deze kunt u hier nalezen:

https://faq-advertiser.daisycon.com/hc/nl/articles/115004006769-Ik-wens-als-consument-gebruik-te-maken-van-Het-vergeetrecht-bij-Daisycon

https://faq-advertiser.daisycon.com/hc/nl/articles/115004006609-Ik-wens-als-consument-gebruik-maken-van-het-recht-op-inzage-bij-Daisycon

 

Via ons privacybeleid maken wij voor betrokkene o.a. inzichtelijk welke data wij opslaan. Het privacybeleid is hier na te lezen: https://www.daisycon.com/nl/privacy/

Databeveiliging en persoonsgegevens

Bij Daisycon hebben wij geanalyseerd en gedocumenteerd welke data binnen de organisatie aanwezig is. Dit is vastgelegd in een register van verwerkingsactiviteiten. Een zeer belangrijke stap in onze databeveiliging is dat wij zo min mogelijk gevoelige data opslaan. Dit wordt privacy by design genoemd. Wij slaan voor onze dienst Affiliate Marketing geen directe persoonsgegevens op, maar sommige gegevens kunnen wel in combinatie met andere gegevens naar een persoon te herleiden zijn. Daarom kunnen deze gegevens worden gezien als persoonsgegevens. Het betreft de volgende gegevens: IP-adressen, cookie ID’s en transactie ID's.

IP-adressen worden voordat zij worden opgeslagen direct via een onomkeerbare MD5-hash versleuteld en/of ge-truncated (afgehakt). Hierdoor ontstaat een unieke parameter die wij kunnen gebruiken om de uniciteit van transacties te achterhalen, zonder dat dit na verwerking te herleiden is naar een individu.

Cookies en matching-data worden enkel voor het toewijzen van transacties aan Publishers gebruikt en niet gebruikt om behavioural profielen aan te leggen.

Het gepseudonimiseerde Transactie ID van de Adverteerder is door de Adverteerder te herleiden naar een persoon en daardoor een persoonsgegeven. Dit Transactie ID is enkel beschikbaar voor de Adverteerder en wordt gekoppeld aan een anoniem Daisycon transactie ID, alleen dit Daisycon transactie ID wordt voor afstemming doeleinden met de publisher gedeeld. 

Voor onze dienst Lead Generation waarbij de landingspagina bij de adverteerder wordt gehost, worden de aanvraaggegevens niet door Daisycon opgeslagen. Bij een leadcampagnes waarbij  de landingspagina door Daisycon voor haar klanten wordt gehost worden, de aanvraaggegevens wel door Daisycon opgeslagen. Deze data wordt na uitlevering aan de klant, rekening houdend met wettelijke voorschriften, zo kort mogelijk bewaard.

Voor de opslag en verwerking van persoonsgegevens heeft Daisycon standaard verwerkersoveeenkomsten. Daisycon heeft een geavanceerd rechtensysteem, waardoor alleen geautoriseerd personeel bij bepaalde transactiedata kan komen.

Technische beveiliging

Naast dat Daisycon zo min mogelijk data opslaat, streeft Daisycon naar de beste beveiliging van haar systemen. Hiervoor werkt Daisycon samen met professionele databeveiligingsbedrijven en gebruikt Daisycon geavanceerde detectiesoftware. Naast de reguliere controles door haar eigen technische afdeling laat Daisycon met regelmaat zogeheten penetratietests uitvoeren. Ook heeft Daisycon standaard controleprocessen voor de livegang van nieuwe software. Hierdoor wordt geborgd dat tussen de penetratietests door alleen veilige software in gebruik wordt genomen.

De servers van Daisycon worden binnen Nederland op gescheiden locaties beheerd door externe hostingproviders. Deze zijn ISO 9001 en ISO 27001 gecertificeerd.

Wat moet u als adverteerder doen?

Wij vertrouwen erop dat dit artikel u voldoende inzicht geeft in de maatregelen die Daisycon heeft genomen om aan de GDPR / AVG te voldoen. Zoals wij hierboven al aangeven valt het gebruik van de matching-technologie en de data-uitwisseling met Daisycon en de Publishers onder de standaard verwerkersoveenkomst die wij hebben opgesteld. De standaard verwerkersovereenkomst is hier na te lezen: https://www.daisycon.com/nl/verwerkersovereenkomst-adverteerders/

Informeer uw bezoekers over uw afname van de dienstverlening van Daisycon, u kunt de volgende standaardtekst gebruiken.

ePrivacy Verordering

Naast de GDPR / AVG was het de bedoeling dat in mei 2018 ook de ePrivacy Verordering van kracht zou worden. Begin december 2017 is bekend gemaakt dat de ePrivacy Verordering waarschijnlijk niet voor 2019 zal worden ingevoerd. De ePrivacy Verordering regelt onder andere de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. De ePrivacy Verordering moet nog langs het Europees Parlement en de Raad van Ministers. Omdat nog veel onduidelijkheid bestaat over deze verordering kunnen wij hier nog geen duidelijk standpunt over innemen. Zodra hier meer over bekend wordt zullen wij hier over communiceren.

Meer informatie

Daisycon heeft een uitgebreide FAQ voor haar adverteerders opgesteld. Deze is hier te bekijken. Alle openbare informatie over data bij Daisycon is verzameld in het eerdergenoemde databeleid: https://www.daisycon.com/nl/privacy/

U kunt uw vragen ook richten aan onze dataofficer, Rick de Vlieger, via r.devlieger@daisycon.com