Sinds mei 2018 is de Europese privacywetgeving van kracht, de General Data Protection Regulation (afgekort GDPR, in het Nederlands AVG, Algemene Verordening Gegevensbescherming genoemd). In dit artikel geven we in het kort weer welke maatregelen Daisycon hiervoor heeft genomen.
Bij Daisycon zijn we ervan overtuigd dat het gedrag van personen het allerbelangrijkste onderdeel van databeveiliging is. Dit is ook een van de uitgangspunten van de AVG. Personeel van Daisycon is goed op de hoogte wat wel en niet is toegestaan op het gebied van data. Het beleid omtrent de verwerking van data, in het specifiek persoonsgegevens, is bij het personeel bekend en begrepen. Daarnaast is er een veiligheids- en escalatieprotocol. Het databeleid wordt regelmatig opnieuw bij personeel onder de aandacht gebracht, en is opgenomen in de algemene arbeidsvoorwaarden van Daisycon. Op senior managementniveau is er een data-officer aangesteld die verantwoordelijk is voor bovengenoemd beleid.
Om alle verwerking van persoonsgegevens conform de AVG te laten verlopen heeft Daisycon standaard verwerkersovereenkomsten opgesteld waar in de uitwisseling van data geregeld is tussen bij de dienstverlening betrokken partijen; Daisycon, Adverteerder en Publisher. Waar dat van toepassing is sluiten we aparte/aanvullende verwerkersovereenkomsten met onze klanten en toeleveranciers.
Rechten van betrokkene
Daisycon heeft protocollen waarin het recht op inzage en het vergeetrecht zijn geregeld. Deze kunt u hier nalezen:
Via ons privacybeleid maken wij voor de betrokkenen o.a. inzichtelijk welke data wij opslaan. Het privacybeleid is hier na te lezen.
Databeveiliging en persoonsgegevens
Bij Daisycon hebben wij geanalyseerd en gedocumenteerd welke data binnen de organisatie aanwezig is. Dit is vastgelegd in een register van verwerkingsactiviteiten. Een zeer belangrijke stap in onze databeveiliging is dat wij zo min mogelijk gevoelige data opslaan. Dit wordt privacy by design genoemd. Wij slaan voor onze dienst Affiliate Marketing geen directe persoonsgegevens op, maar sommige gegevens kunnen wel in combinatie met andere gegevens naar een persoon te herleiden zijn. Daarom kunnen deze gegevens worden gezien als persoonsgegevens. Het betreft de volgende gegevens: IP-adressen, cookie ID’s en transactie ID's.
IP-adressen worden voordat zij worden opgeslagen direct via een onomkeerbare MD5-hash versleuteld en/of ge-truncated (afgehakt). Hierdoor ontstaat een unieke parameter die wij kunnen gebruiken om de uniciteit van transacties te achterhalen, zonder dat dit na verwerking te herleiden is naar een individu.
Cookies en matching-data worden enkel voor het toewijzen van transacties aan publishers gebruikt en niet gebruikt om behavioural profielen aan te leggen.
Het gepseudonimiseerde transactie ID van de Adverteerder is door de adverteerder te herleiden naar een persoon en daardoor een persoonsgegeven. Dit transactie ID is enkel beschikbaar voor de adverteerder en wordt gekoppeld aan een anoniem Daisycon transactie ID, alleen dit Daisycon transactie ID wordt voor afstemming doeleinden met de publisher gedeeld.
Wij raden adverteerders sterk af om persoonsgegevens te versturen met het transactie ID. Dit wordt altijd gecontroleerd bij de aanvang van een campagne of wanneer de conversiepixel gewijzigd wordt.
Daisycon heeft geen geavanceerd rechtensysteem, zodat alleen geautoriseerd personeel toegang heeft tot bepaalde transactiegegevens.
Technische beveiliging
Naast dat Daisycon zo min mogelijk data opslaat, streeft Daisycon naar de beste beveiliging van haar systemen. Hiervoor werkt Daisycon samen met professionele databeveiligingsbedrijven en gebruikt Daisycon geavanceerde detectiesoftware. Naast de reguliere controles door haar eigen technische afdeling laat Daisycon met regelmaat zogeheten penetratietests uitvoeren. Ook heeft Daisycon standaard controleprocessen voor de livegang van nieuwe software. Hierdoor wordt geborgd dat tussen de penetratietests door alleen veilige software in gebruik wordt genomen.
De servers van Daisycon worden binnen Nederland op gescheiden locaties beheerd door externe hostingproviders. Deze zijn ISO 9001 en ISO 27001 gecertificeerd.
Wat moet u als adverteerder doen?
Wij vertrouwen erop dat dit artikel u voldoende inzicht geeft in de maatregelen die Daisycon heeft genomen om aan de AVG te voldoen. Zoals wij hierboven al aangeven valt het gebruik van de matching-technologie en de data-uitwisseling met Daisycon en de Publishers onder de standaard verwerkersoveenkomst die wij hebben opgesteld.
De standaard verwerkersovereenkomst is hier na te lezen.
Informeer uw bezoekers over uw afname van de dienstverlening van Daisycon, u kunt de volgende standaardtekst gebruiken.
Meer informatie
Daisycon heeft een uitgebreide FAQ voor haar adverteerders opgesteld. Deze is hier te bekijken. Alle openbare informatie over data bij Daisycon is verzameld in het eerdergenoemde databeleid.
U kunt uw vragen ook richten aan legal@daisycon.com.