Privacy - Wat niemand over je mag weten

Spamfilter AVG/GDPR

25-09-2018, 14:37 door Anoniem, 2 reacties
Op dit moment zijn wij bezig met het in kaart brengen van de verwerkingen binnen onze organisatie. Wij bieden verschillende ICT-diensten aan waaronder spamfilters.

Een spamfilter is een stuk software dat spam probeert te herkennen en te verwijderen uit een set e-mails. De spamfilter leest de e-mail, besluit of er sprake is van spam en onderneemt op basis hiervan eventueel actie.

Het pakket die hiervoor zorgt heet ''XEAMS' en geeft ons tevens de mogelijkheid om de e-mails in te zien. Zodra de e-mail(s) als ongewenst worden aangemerkt dan blijven ze 30 dagen bewaard. E-mails die goedgekeurd zijn worden 14 dagen bewaard. Waarom 14 dagen? Als er een storing plaatsvindt dan houdt XEAMS de e-mails vast en stuurt ze door zodra de storing verholpen is.

Volgens de AVG is er nu sprake van een verwerking. Wij verzamelen/vastleggen/opslaan/wissen de e-mails en het heeft betrekking tot persoonsgegevens (e-mailadres, voornaam, achternaam, telefoonnummer en ?).

Onze vraag is dan ook hoe kunnen wij dit het beste aanpakken? Tips?
Reacties (2)
25-09-2018, 16:27 door Anoniem
Dit is in de basis een verwerking in de zin van het uitvoeren van een contract met de klant. De klant moet er mee instemmen door de overeenkomst te accepteren, want het verwerken is noodzakelijk voor het uitvoeren van het contract. Dat betekent dat er een grondslag is voor verwerking.

IMAP/MAPI bijvoorbeeld slaan ook emails op waar een provider in principe in zou kunnen kijken. Voor het bekijken van emails moet je vooraf toestemming vragen.

Waar je een probleem hebt is als de emails of content daarin jouw bedrijf verlaten. Daarvoor heb je een verwerkingsovereenkomst nodig met derden. Ik zou dit zo veel mogelijk beperken, want ook al heb je een verwerkingsovereenkomst, je blijft aansprakelijk. Ook kunnen klanten eisen dat de data de EU niet verlaat, ook al staat het land waar de data staat op de lijst toegestane landen. Als de data dus in de VS wordt opgeslagen, dan kan een klant eisen dat het in een Europees land moet gebeuren.

Waar iedereen over na zou moeten denken is het gebruik van blacklists (bv DNS blacklists) van derden. Die kunnen ook gegevens lekken. Het afzender IP wordt gecontroleerd, de host name of domein in een URL, en ook checksums van strings. Een IP is bijvoorbeeld een persoonsgegeven.
02-10-2018, 14:43 door Anoniem
Door Anoniem: Dit is in de basis een verwerking in de zin van het uitvoeren van een contract met de klant. De klant moet er mee instemmen door de overeenkomst te accepteren, want het verwerken is noodzakelijk voor het uitvoeren van het contract. Dat betekent dat er een grondslag is voor verwerking.

Heel erg bedankt voor je reactie! De klanten die gebruik maken van onze spam filter dienst zijn hiermee akkoord gegaan. Akkoord gegaan in de zin van het betalen van de betreffende factuur. Is dit voldoende?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.