Algemene Verordening Persoonsgegevens

De afgelopen tijd hebben we van verschillende klanten vragen gehad: Hoe voldoet MX-Relay aan de eisen van de Algemene Verordening Persoonsgegevens (AVG, ook wel GDPR genoemd) en moeten we overeenkomsten met jullie maken?

Veel ondernemers en organisaties maken zich op voor de komst van de AVG, de Europese regelgeving die onze Nederlands Wet Bescherming Persoonsgegevens vanaf 25 mei vervangt. Daarin staan veel nieuwe regels over hoe je ‘gevoelige’ persoonsgegevens moet beschermen en dat consumenten ‘het recht om vergeten te worden ’ krijgen.

Als ondernemer moet je er ook voor zorgen dat de partijen die met jouw gegevens werken, de zaken op orde hebben. Als er veel gevoelige gegevens verwerkt worden, moet je op papier zetten wie verantwoordelijk is en hoe je ervoor zorgt dat die gegevens niet zomaar op straat komen te liggen.

Het was dus heel logisch dat klanten aan ons vragen hoe het er bij MX-Relay voor staat en of er zulke overeenkomsten getekend moeten worden. Om maar met de eerste vraag te beginnen: MX-Relay heeft de zaken op orde.

Geen gevoelige informatie

Alle inhoud (dus headers en body) van berichten die via onze servers lopen en als veilig aangemerkt worden, verdwijnen binnen 9 dagen na aankomst bij de klant van onze servers. Dit om de mail in de historie te kunnen vinden en het spamfilter te kunnen corrigeren. Berichten die als spam/virus/etc. aangemerkt worden, slaan we ook 9 dagen op. Dat is nodig om later (in het zeldzame geval dat de mail toch verkeerd geclassificeerd is) deze alsnog te kunnen bezorgen. Maar die gegevens worden automatisch binnen twee weken weer volledig verwijderd.

Verder slaan we natuurlijk bepaalde statistische data op over de e-mails die we zien langs komen. Deze informatie wordt bijvoorbeeld gebruikt om verbanden te leggen tussen woordcombinaties en afzenders van spam. Sowieso wordt content van e-mail nooit gekoppeld aan individuele e-mail adressen of IP adressen. Uw persoonlijke gegevens kunnen dus nooit op straat komen te liggen, omdat ze er simpelweg niet zijn. We voldoen daarmee aan ‘privacy-by-design’ en ‘security-by-design’ principes. Overigens werken wij al jaren zo, aangezien we vinden dat dit eigenlijk vanzelfsprekend zou moeten zijn.

Overeenkomst?

Hoewel er naar ons gevoel niet echt een noodzaak is, blijkt dat er bij onze klanten soms toch interesse is om een zogenaamde ‘verwerkersovereenkomst’ te sluiten. Uiteraard staan we hier voor open en mocht dit het geval zijn, neem dan gerust contact met ons op, zodat we er samen voor kunnen zorgen dat alles goed geregeld is.

Zie ook: Verwerkersovereenkomst Algemene Verordening Gegevensbescherming