GDPR en de impact op Fora

[MarcB]

25 Mei 2018 moeten alle Nederlandse organisaties voldoen aan de General Data Protection Regulation (GDPR). De GDPR is een Europese algemene verordening gegevensbescherming. Deze privacy verordening gaat over de ‘bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’.

Aangezien bij phpBB sprake is van data opslag van email adressen maar ook van IP adressen heb ik zo'n donkerbruin vermoeden dat dit dus ook degenen treft die een forum in beheer hebben. Echter, ik ben absoluut niet thuis in de GDPR en hoop dat hier iemand hier meer over kan vertellen

[geutjesj]

Ik kan je daarbij wel deels helpen. Wat is je vraag precies?

[MarcB]

Bedankt geutjesj! Ik zit met de volgende punten:

Om betalend lid te worden van ons forum / club vragen wij om een aanmeldformulier in te vullen met o.a. naam, adres, geboortedatum, email, telefoonnummer en telefoonnummer bij calamiteiten. Deze gegevens worden niet gedeeld met andere leden of derden.

• Mag je deze gegevens vragen?
• Moet je kenbaar maken wat je met deze gegevens doet?

Jaarlijks sturen we een massamailing vanuit phpBB naar alle forumgebruikers om de jaarlijkse contributie te voldoen. Leden kunnen de emailadressen niet van elkaar zien.

• Moet je vooraf toestemming vragen dat je dit na 25 mei nog steeds blijft doen?

Iedereen die gebruikt maakt van het forum staat in phpBB geregistreerd met een Nick Name en email adres. Daarnaast houdt de phpBB software bij vanaf welk IP adres wordt ingelogd.

• Ook al is het zeer voor de hand liggend, moet je dit kenbaar maken aan de forumgebruikers?
• Stel dat het forum wordt gehacked en deze gegevens naar buiten komen, moet je daar melding van maken bij de autoriteiten?
• Mocht je niet op de laatste phpBB versie draaien ben je dan verwijtbaar mocht bovenstaande gebeuren?

In zijn algemeenheid, dien je maatregelen te nemen als forumbeheerder om te voldoen aan de GDPR?

[geutjesj]

Hoi Marc,

Het is deels toegestaan om bepaalde gegevens van een persoon vast te leggen. Zolang jij daar een kerntaak aan kan koppelen en je het noodzakelijk is om je kerntaak uit te voeren. Alleen heb je niet altijd alle gegevens nodig van een persoon. Het kan zijn dat je bepaalde persoonsgebonden informatie niet nodig hebt voor de uitvoering van de kerntaak. Dat is ook afhankelijk van de aard van de organisatie bijvoorbeeld.

Dergelijke gegevens dienen in elk geval dusdanig opgeslagen te worden dat ze niet herleidbaar zijn naar een natuurlijk persoon. Dus gebruik altijd een SSL verbinding als de gebruikers online een formulier in dienen te vullen. Je bent in elk geval altijd verplicht aan te geven wat je met de gegevens gaat doen, hoe lang je de gegevens nodig hebt en hoe jij ze verwerkt. Je mag de gegevens nooit zonder toestemming aan andere partijen verstrekken zonder toestemming en ook hier dien je dan aan te geven waarom je de gegevens aan een andere partij doorstuurt. Daarnaast dien je op je website / forum een duidelijk en helder privacybeleid te formuleren.

Het versturen van een massamail mag. Maar alleen als de gebruiker(s) er toestemming voor hebben gegeven. Dus als ze nu geen toestemming hebben gegeven dan mag je ze niet zomaar een e-mail sturen. Dus vooraf toestemming vragen.

Je laatste drie punten zijn lastiger. Je moet het in elk geval kenbaar maken (in je privacybeleid) en ook waarom je de IP adressen laat registeren. Dit kan zijn om een ban voor spammers om misbruik te voorkomen. De AVG zal bij een datalek altijd checken of er spraken is van verzuim. Dus had je dit kunnen voorkomen. Als je oude software gebruikt die niet aan de veiligheidsnormen voldoet dan heb je verwijtbaar gedrag en zal de AVG mogelijk met sancties komen. Je moet datgene doen wat mogelijk is. Dat is ruim maar bij een logische

[MarcB]

Hoi geutjesj,

Bedankt voor de update! Het inschrijfformulier heb ik inmiddels verwijderd en naar een sterk vereenvoudigde vorm aangepast. Wat de massamailing aangaat vraag ik elk jaar of men wil aangeven deze nog te willen ontvangen of dat het account verwijderd moet worden. Dus dat lijkt ook in orde te zijn. Wat ik zo kan concluderen is dat e.e.a. op orde is

[geutjesj]

Kijk ook eens op de website: https://veiliginternetten.nl/privacyverklaring/ daar kun je eenvoudig een professionele privacy verklaring laten opstellen met een generator.

[MarcB]

Bedankt voor de tip!

[Froddelaar]

Er is een nieuwe extensie voor deze nieuwe privacy wet. [RC]
https://www.phpbb.com/community/viewtop ... #p14967421

En hier is mijn vertaling:
https://github.com/Solidjeuh/Privacy-policy

[Positivo]

Een vraagje: moet ik alle bestanden bij je Github downloaden en over de bestaande bestanden zetten, of alles gewoon in de /nl map plaatsen?

Bedankt alleszins voor het geleverde werk!

[nl1sms]

Wanneer ben je verplicht om een privacy verklaring op je site te hebben? Toch alleen als je ondernemer bent ?

[El torro]

Mijn inziens ben je het verplicht als je (prive) gegevens opslaat en een forum slaat prive gegevens op.

Zie bv. https://www.hosting2go.nl/blog/privacy- ... -voorbeeld

[Froddelaar]

Een vraagje: moet ik alle bestanden bij je Github downloaden en over de bestaande bestanden zetten, of alles gewoon in de /nl map plaatsen?

Bedankt alleszins voor het geleverde werk!

gewoon de NL folder vervangen met de NL folder van mijn github.
of plaatsen waar de EN folder staan, als je nog geen NL hebt.

[Positivo]

ok, bedankt!

[nl1sms]

Maar waarom zou je die privacy verklaring via een extensie willen doen ? Je kan toch ook de standaard text bij registratie van phpbb aanpassen?

[El torro]

Volgens GDPR moeten alle leden deze accepteren, als je alleen de bestaande tekst aanpast voldoet je dus niet aan die regel.

[nl1sms]

Volgens GDPR moeten alle leden deze accepteren, als je alleen de bestaande tekst aanpast voldoet je dus niet aan die regel.

Hoe zie je dit in de praktijk voor je dan? Bestaande leden emailen met de vraag of ze akkoord gaan met de privacy verklaring, zo ja wat dan? Zo nee wat dan ??? Vraag me af hoe phpbb.nl en andere grote fora dit gaan doen....

[Positivo]

Misschien is dit wel eens goede lectuur (is in heel Europa toch hetzelfde):

https://www.gegevensbeschermingsautorit ... ing-burger

[El torro]

Volgens GDPR moeten alle leden deze accepteren, als je alleen de bestaande tekst aanpast voldoet je dus niet aan die regel.

Hoe zie je dit in de praktijk voor je dan? Bestaande leden emailen met de vraag of ze akkoord gaan met de privacy verklaring, zo ja wat dan? Zo nee wat dan ??? Vraag me af hoe phpbb.nl en andere grote fora dit gaan doen....

Ik geef alleen antwoord op je vraag waarom de extensie nodig is.
Die voldoet grotendeels aan eisen van GDPR, of je er wel of niet aan meedoet is jouw keuze.

[El torro]

Ik heb nu een officiële klacht aan mijn been omdat ik weiger om berichten van een gebruiker te verwijderen.
Ben benieuw hoe dat af gaat lopen.

[Jim]

Ik heb nu een officiële klacht aan mijn been omdat ik weiger om berichten van een gebruiker te verwijderen.
Ben benieuw hoe dat af gaat lopen.

Wat is de situatie hier? Staat er gevoelige of persoonlijke informatie in de berichten die deze gebruiker heeft verzocht te verwijderen?

En via wie is de klacht gekomen? Mensen dreigen natuurlijk regelmatig, maar ik had nog niet eerder gehoord namelijk dat instanties echt achter hobbyisten aangingen (er even vanuit gaand dat jouw forum niet onderdeel is van een professioneel bedrijf).