De nieuwe privacywetgeving AVG / GDPR

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG of de Engelse afkorting GDPR) van kracht. Deze verordening is opgesteld om de bescherming van persoonsgegevens binnen de Europese Unie te waarborgen. Wat kan je van Openprovider verwachten waar het om de AVG gaat?

Verwerkersovereenkomst

Openprovider werkt op dit moment samen met ICTrecht aan een Verwerkersovereenkomst en een Subverwerkersovereenkomst. In deze documenten zetten wij duidelijk uiteen welke persoonsgegevens wij voor welk doel verzamelen en wat onze en jouw verantwoordelijkheden zijn met betrekking tot persoonsgegevens. Deze overeenkomsten zullen naast de Algemene Voorwaarden gaan gelden. We verwachten dat je in de tweede helft van april de Verwerkersovereenkomst van vinden in je control panel.

We zullen ook onze Algemene Voorwaarden aanpassen met een verwijzing naar deze overeenkomsten. Je wordt hiervan 30 dagen van tevoren op de hoogte gesteld, in lijn met §14.2 van de Algemene Voorwaarden van Openprovider.

Verzamelen van persoonsgegevens

Op korte termijn zullen wij door de AVG niets wijzigen in het verzamelen van persoonsgegevens. Openprovider verzamelt twee soorten gegevens:

• Gegevens die we zelf gebruike. Dit zijn de gegevens die we van jou, onze klant, verzamelen zijn vereist voor de uitvoering van onze overeenkomst. Denk ierbij bijvoorbeeld aan het aanmaken van je account, het opstellen van facturen, het versturen van nieuwsbrieven, … Natuurlijk kan je je op elk moment uitschrijven voor onze nieuwsbrief, maar houd er wel rekening mee dat dit ons primaire communicatiemedium is, waarin we je op de hoogte stellen van wijzigingen in onze producten, diensten, voorwaarden en prijzen.
• Gegevens die worden gebruikt voor het aanschaffen van producten en diensten. Dit zijn de gegevens die we van jouw klanten (de domeincontacten en de contactpersonen voor andere producten en diensten) zullen blijven verzamelen. Nagenoeg alle providers vereisen nog steeds volledige contactgegevens om de integriteit en stabiliteit van de dienst te kunnen garanderen. Het grote verschil na de inwerkingtreding van de AVG is dat deze gegevens niet meer te pas en te onpas worden gepubliceerd.

Wij zijn wel aan het bekijken hoe we de verzameling en opslag van persoonsgegevens kunnen optimaliseren. Zo zullen we gegevens die niet meer worden gebruikt verwijderen uit onze systemen en zullen we specifieke gegevens die alleen voor bepaalde extensies worden gebruikt verwijderen zodra er geen domeinen met die extensie meer gekoppeld zijn aan het contact. Ongebruikte contacten zullen we (uiteraard met een melding) verwijderen.

In alle gevallen zorgen we ervoor dat onze systemen (control panel en API) backwards compatible zijn. Wijzigingen aan jouw kant zullen niet nodig zijn.

AVG en de whois

Op het gebied van AVG en de domeinregistratiezal je de grootste veranderingen gaan zien in de whois. De meeste Europese registries tonen nu al een beperkt aantal gegevens in hun whois vanwege de al geldende privacyregels. Deze gegevens zullen nog verder beperkt worden. In veel gevallen zal je zelfs helemaal geen persoonsgegevens meer zien.

Voor generieke extensies (gTLD’s) werkt de registrarcommunity samen met ICANN en de Europese autoriteiten om tot een oplossing te komen die recht doet aan zowel de AVG als de ICANN-regels. Eind maart heeft ICANN een voorlopig model gepubliceerd, waarin het registries en registrars toestaat om alle persoonlijke gegevens uit de whois te verwijderen, met een paar uitzondering. De gegevens die zichtbaar zullen blijven zijn de bedrijfsnaam, het land en de provincie (om de jurisdictie te kunnen bepalen) en een vervanging voor het e-mailadres. Die vervanging zal ofwel een geanonimiseerd adres worden, ofwel een verwijzing naar een webformulier. Voor specifieke doeleinden kunnen bepaalde partijen nog steeds de volledige whoisgegevens opvrage. Dit zal verlopen via een nog vorm te geven accreditatieproces. Denk hierbij aan opsporingsdiensten of merkrechtadvocaten.

AVG en domeinverhuizingen

Op het gebied van verhuizingen wordt nog steeds druk overlegd tussen ICANN en de registrarcommunity. Op dit moment schrijft ICANN voor dat de nieuwe registrar, voordat die een verhuizing start, een e-mail moet sturen aan de domeinhouder en/of het administratief contact. Dit is de zogenoemde “Form of Authorization” ofwel FOA. Als de whois beperkt wordt is het niet meer vanzelfsprekend dat dit mogelijk is. De oplossingsrichting die de registrars voorstellen is om de FOA niet langer verplicht te stellen. Als ICANN hiermee instemt, zullen de autorisatiecode en het feit dat het domein geen transferlock meer heeft voldoende zijn om een verhuizing te kunnen starten. Het proces zou dan gelijkgetrokken worden met dat van veel ccTLD’s. Zoals gezegd is dit een lopende discussie. Zodra er meer informatie beschikbaar is informeren we je daarover.

Zoals je ziet is de AVG een doorlopend dossier. Wij zullen updates hierover publiceren in onze Knowledge Base.