Privacyverklaring R. Harmsen

16–. Zie ook de vorige Privacyverklaring uit 2013.

1 Begrippen

1.1 ‘Ik’, ‘mij’, ‘mijn’

De Verwerkingsverantwoordelijke van persoonsgegevens.

1.2 ‘Verwerkingsverantwoordelijke’

De Verwerkingsverantwoordelijke ben ik, Ruud Harmsen, als webmaster van de Website, en ondernemer van de eenmanszaak R. Harmsen. Ter bescherming van mijn privacy vermeld ik mijn contactgegevens niet rechtstreeks hier, maar verwijs ik naar de e-mailomschrijving (ook hier), de whois-gegevens van de domeinen van de Website, en het handelsregister van de Kamer van Koophandel. Mijn inschrijfnummer is 30126921.

1.3 ‘Website’

De Website is bereikbaar via de internetdomeinen rudhar.com, rhar.info en rhar.net.

1.4 ‘Handvest’

Het Handvest van de grondrechten van de Europese Unie (2000/C 364/01).

1.5 ‘AVG’

De AVG (Algemene Verordening Gegevensbescherming) is de
VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD
van 27 april 2016
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

Zie ook de rectificatie, vanaf pagina 232 betreffende het Nederlands.

1.6 ‘Uitvoeringswet’

De Uitvoeringswet is de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming, houdende “Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119)”.

1.7 ‘AP’

De AP is de Autoriteit Persoonsgegevens, ofwel de Toezichthoudende autoriteit in de zin van Hoofdstuk VI, vanaf Artikel 51 van de AVG.

1.8 ‘VPS’

De VPS is mijn Virtual Private Server, gerealiseerd door Tilaa.nl, met daarop o.a. webserver Apache, mailserver Sendmail, Procmail, spamdrempel milter-greylist (official site) en spamfilter SpamAssassin.


2 Inleiding

Met deze privacyverklaring beoog ik te voldoen aan:

Artikel 13/14 van de AVG

Waar het persoonsgegeven vooral bestaat uit een IP-adres, is het niet mogelijk de betrokkene rechtstreeks te benaderen voor het verstrekken van de in die artikelen bedoelde informatie. Het identificeren van de eventuele natuurlijke persoon die de eventueel identificeerbare unieke computer gekoppeld aan het IP-adres, heeft bediend, vereist immers opsporingsbevoegdheden die ik niet heb en niet wil hebben.

Gelukkig bepaalt Artikel 11 van de AVG dat ik “niet verplicht [ben] om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.

Het voelt vreemd iemand die ongeoorloofd toegang tot mijn VPS probeert te krijgen, te moeten inlichten over het gebruik van zijn/haar IP-adres om die toegang nog beter te verhinderen.

Gezien het bovenstaande bied ik de mogelijkheid voor betrokkenen om de informatie als bedoeld in Artikel 13/14 van de AVG hier op mijn Website aan te treffen.

Waar de persoonsgegevens als IP-adres, naam en e-mailadres via e-mail binnenkomen bij de Verwerkingsverantwoordelijke, is het onpraktisch, en zou het waarschijnlijk door de betrokkene ook als storend worden ervaren, de informatie volgens Artikel 13/14 telkens in een antwoord-e-mail te verstrekken. Volgens Artikel 13 lid 4 en Artikel 14 lid 5a hoeft dat ook niet.

Artikel 30 van de AVG

Dit artikel betreft het register. Weliswaar is het niet verplicht het register te publiceren, het volstaat het op verzoek te tonen aan de AP. Maar omdat de inhoud in aanzienlijke mate overlapt met de vereisten onder Artikel 13/14, vind ik het handiger deze privacy­verklaring tevens als register te laten dienen.


3 Verwerking persoonsgegevens

3.0 Verwerkingscategorieën

Hieronder worden de volgende verwerkingscategorieën besproken:

  1. Websitelogboek
  2. Inbraakbeveiliging ssh
  3. Spambestrijding milter-greylist
  4. Spambestrijding Spamassassin
  5. Discussies, Usenet
  6. Discussies, e-mail, Facebook en Twitter
  7. Afstemming opdrachten
  8. Persoonsgegevens in te vertalen teksten

3.1 Websitelogboek

3.1.1 Welke persoonsgegevens over wie

IP-adres van de websitebezoeker, bezochte pagina van de website. Soms vorige bezochte pagina, soms de gebruikte zoekwoorden indien het bezoek via een zoekmachine kwam. Zie voor voorbeelden de oudere privacyverklaring.

3.1.2 Verwerking

De gegevens worden door webserver Apache opgeslagen in een logboekbestand. Enkele malen per dag worden bezoeken van bekende robots (zoals GoogleBot, en vele andere) hieruit verwijderd, en blijven alleen de recentste 3000 regels bewaard.

De bezoekgegevens die Apache vastlegt, worden automatisch gebruikt om actuele statistieken te tonen: recent bezochte pagina’s en een overzicht van populaire pagina’s. Er is ook een toevalslijst van onpopulaire pagina’s, dit zijn willekeurig gekozen pagina’s uit de sitemap, gecorrigeerd voor recente bezoeken.

Geen van deze statistieken toont persoonsgegevens: geen IP-nummers of zoekwoorden.

Incidenteel vraag ik uit nieuwsgierigheid gegevens van een IP-adres op, met hulpmiddelen als ‘whois’ en ‘nslookup’. Daaruit blijkt niet wie de bezoeker was, maar er valt soms iets uit af te leiden over het land waar het bezoek vandaan kwam en de voorkeurstaal. Dat in combinatie met eventuele zoekwoorden kan me helpen prioriteiten te stellen bij toekomstige schrijfactiviteit: het is leuker dingen te schrijven waarvoor misschien ook een publiek is.

3.1.3 Rechtsgrond

De behartiging van de gerechtvaardigde belangen van de Verwerkingsverantwoordelijke (Artikel 6, lid 1, punt f van de AVG): het kunnen beheren van de Website, het optimaliseren van het bereik van webpagina’s, de vrijheid van meningsuiting en van informatie.

3.1.4 Opslagperiode

Het gevolg van het verwijderen van robotbezoeken uit het logboek, en van oudere logboekregels, is dat de bezoekregistraties slechts ongeveer 3 tot 4 dagen bewaard worden.

3.1.5 Doorgifte

Er worden geen persoonsgegevens doorgegeven, niet binnen Nederland en ook niet aan derde landen of internationale organisaties.

3.1.6 Beveiliging

Alleen ik heb toegang tot de VPS waarop Apache draait en waarop het websitelogboek wordt opgeslagen. Er wordt geen versleuteling toegepast.


3.2 Inbraakbeveiliging ssh

3.2.1 Welke persoonsgegevens over wie

Op mijn VPS detecteer ik, met behulp van een logboek bijgehouden door het besturings­systeem FreeBSD, pogingen om met een verzonnen of gegenereerde combinatie van gebruikersnaam en wachtwoord ongeoorloofd binnen te dringen in het systeem. IP-adressen van zulke pogingen worden vastgelegd.

3.2.2 Verwerking

Er vindt geautomatiseerde besluitvorming plaats, op basis waarvan aan bepaalde IP-adressen middels een firewall de verdere toegang ontzegd wordt. Artikel 13, lid 2, punt f van de AVG stelt dat ik aan de betrokkenen, dus aan de mogelijke personen achter de betreffende IP-adressen, “nuttige informatie over de onderliggende logica” zou moeten verstrekken. Ter wille van de beveiliging van de verwerking, als bedoeld in Artikel 32 van de AVG, en ook vanuit mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG) om een veilige VPS te hebben, treed ik over die logica echter niet verder in detail.

3.2.3 Rechtsgrond

De beveiliging van de verwerking, als bedoeld in Artikel 32 van de AVG. Mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG) om mijn VPS te kunnen beveiligen, overwegingen (47) en (49) van de AVG.

3.2.4 Opslagperiode

De gegevens worden bewaard zo lang als nodig is voor de beveiliging. Dit kan betekenen: onbeperkt.

3.2.5 Doorgifte

Er worden geen persoonsgegevens doorgegeven, niet binnen Nederland en ook niet aan derde landen of internationale organisaties.

3.2.6 Beveiliging

Alleen ik heb toegang tot de VPS waarop de gegevens voor de ssh-beveiliging worden opgeslagen. Er wordt geen versleuteling toegepast.


3.3 Spambestrijding milter-greylist

3.3.1 Welke persoonsgegevens over wie

Milter-greylist is een systeem om ongewenste e-mails (‘spamberichten’) af te weren. Daartoe wordt een e-mailverzender in eerste instantie standaard de deur gewezen. Probeert de verzender het na enige tijd nog eens (zoals reguliere mailsoftware doet, maar veel spambots niet), dan wordt het bericht alsnog doorgelaten. Die verzender komt vervolgens enige tijd op een lijst van acceptabele verzenders.

Milter-greylist verzamelt hiertoe persoonsgegevens zoals IP-adres, e-mailadres van de bestemmeling en e-mailadres van de afzender. De “nuttige informatie over de onderliggende logica” in de zin van Artikel 13, lid 2, punt f van de AVG is te vinden in de documentatie van milter-greylist.

3.3.2 Verwerking

Zie vorige paragraaf, 3.3.1.

3.3.3 Rechtsgrond

Mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG) om gevrijwaard te blijven van spam.

3.3.4 Opslagperiode

De instelling autowhite staat op 45 dagen. Zoveel tijd na het doorlaten van een e-mailbericht worden de gegevens van de verzender automatisch gewist, tenzij inmiddels weer zo’n bericht is doorgelaten.

3.3.5 Doorgifte

Er worden geen persoonsgegevens doorgegeven, niet binnen Nederland en ook niet aan derde landen of internationale organisaties.

3.3.6 Beveiliging

Alleen ik heb toegang tot de VPS waarop de gegevens voor de spamafweer milter-greylist worden opgeslagen. Er wordt geen versleuteling toegepast.


3.4 Spambestrijding SpamAssassin

3.4.1 Welke persoonsgegevens over wie

SpamAssassin voert diverse heuristische en statistische tests uit op e-mailheaders en berichttekst, waaronder tekstanalyse, en maakt gebruik van Bayesiaanse filtering, DNS-blokkeerlijsten, en databanken voor collaboratief filteren.

3.4.2 Verwerking

Op basis van bovengenoemde technieken kent SpamAssassin aan elk ontvangen e-mailbericht een score toe, die de kans aangeeft dat het een spambericht betreft. Op basis daarvan worden sommige berichten al op mijn VPS terzijde gesteld, en andere pas nadat ze via POP3 naar mijn laptop gehaald zijn.

3.4.3 Rechtsgrond

Mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG) om gevrijwaard te blijven van spam.

3.4.4 Opslagperiode

Zo lang als nodig is voor de goede werking van de SpamAssassin-software.

3.4.5 Doorgifte

Bij mijn weten worden door SpamAssassin geen persoonsgegevens doorgegeven.

3.4.6 Beveiliging

Alleen ik heb toegang tot de VPS waarop de gegevens voor SpamAssassin worden opgeslagen. Er wordt geen versleuteling toegepast.


3.5 Discussies, Usenet

3.5.1 Welke persoonsgegevens over wie

Sinds jaar en dag neem ik deel aan discussiegroepen, o.a. op Usenet. Hier enkele voorbeelden, van bijna 29 jaar geleden: 10 juli 1989, 15 augustus 1989, 16 augustus 1989, 22 augustus 1989, 18 december 1989, 15 januari 1990 en 22 januari 1990. En een paar recente: 12 mei 2018, 18 mei 2018.

Persoonsgegevens die in zulke berichten kunnen voorkomen zijn: IP-adressen (vroeger niet, nu vaak wel, afhankelijk van technische realisatie), namen (al dan niet echt, het kunnen ook pseudoniemen zijn) en e-mailadressen (al dan niet echt, vaak niet, i.v.m. spambestrijding) van deelnemers.

3.5.2 Verwerking

Van een selectie van berichten, als die me interesseren en voor latere naslag nuttig lijken, bewaar ik kopieën. Ook reageer ik vaak op berichten, waarbij de eventueel aanwezige persoonsgegevens zoals namen en e-mailadressen als auteursaanduiding bij tekstcitaten kunnen staan.

De discussies zijn grotendeels persoonlijk en opiniërend van aard. Soms ook bevatten ze vaktechnische inhoud, bijvoorbeeld op het gebied van informatie- en communicatie­technologie, taal en vertalen.

3.5.3 Rechtsgrond

Mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG), namelijk mijn grondrecht: de “Vrijheid van meningsuiting en van informatie” volgens Artikel 11 van het Handvest.

3.5.4 Opslagperiode

Onbeperkt.

3.5.5 Doorgifte

Bij het deelnemen aan discussies, en het als aanknopingspunt citeren van tekst­gedeelten uit vorige berichten, worden als auteursaanduiding de eventueel aanwezige persoonsgegevens zoals namen en e-mailadressen weer teruggestuurd naar de news server waar ze vandaan kwamen.

3.5.6 Beveiliging

De geselecteerde berichten bewaar ik mijn laptop en in back-ups. Er wordt geen versleuteling toegepast, aangezien de betreffende discussies op vele plaatsen op het internet ook worden bewaard, en daar openbaar toegankelijk zijn.


3.6 Discussies, e-mail, Facebook en Twitter

3.6.1 Welke persoonsgegevens over wie

Sinds jaar en dag neem ik deel aan discussiegroepen, op basis van mailinglijsten, en recenter vooral van groepen op Facebook, en via Twitter. Het betreft o.a. de software LISTSERV, bijvoorbeeld voor Lantra-L (nu hier), een internationaal forum voor vertalers; en recenter INTERLNG over de taal Interlingua.

Ook spelen een rol Yahoo! Groups, Google Groups, en als gezegd Facebook en Twitter.

Persoonsgegevens die in zulke berichten kunnen voorkomen zijn: IP-adressen, namen en e-mailadressen van deelnemers.

3.6.2 Verwerking

Van een selectie van berichten, als die me interesseren en voor latere naslag nuttig lijken, bewaar ik kopieën. Ook reageer ik vaak op berichten, waarbij persoonsgegevens zoals namen en e-mailadressen als auteursaanduiding bij tekstcitaten kunnen staan.

De discussies zijn ten dele persoonlijk en opiniërend van aard. Vaak ook bevatten ze vaktechnische inhoud, bijvoorbeeld op het gebied van informatie- en communicatie­technologie, taal en vertalen. Vooral bij de berichten die ik selecteer om ze te bewaren, is dat meestal het geval.

In het geval dat de discussies zich afspelen op Facebook of Twitter, betreft het eventuele bewaren van berichten de als e-mails te ontvangen meldingen (notifications), indien ingeschakeld.

3.6.3 Rechtsgronden

  1. Mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG), namelijk mijn grondrecht: de “Vrijheid van meningsuiting en van informatie” volgens Artikel 11 van het Handvest.

  2. Bij de vaktechnische inhoud, zoals discussies over terminologie, vertaal­werkwijzen en beste praktijken voor de bedrijfsvoering: mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG), namelijk dat ik later deze discussies kan naslaan en er nuttig gebruik van kan maken.

    Voor het beoordelen van de relatieve waarde van het in een discussie aangevoerde materiaal, en het trekken van conclusies daaruit, is het nodig de gehele context van de discussie te bezien, inclusief de identiteit van de bijdragers. Ik meen daarom dat bij het bewaren voor latere raadpleging, ook de persoons­gegevens moeten blijven staan.

    Pseudonimisering is mijn situatie niet doenlijk: iets wijzigen van de opslag van de e-mails zou de toegankelijkheid ervan met e-mailprogramma Eudora verstoren.

    Artikel 4 punt 5 van de AVG definieert ‘pseudonimisering’ als “het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld”. Dit apart bewaren, en deze technische, en vooral de organisatorische maatregelen zijn in een eenpersoonsbedrijf, met alle opslag op een enkele laptop, niet zinvol uitvoerbaar.

  3. Het archief van discussieberichten, sommige ruim 20 jaar oud, vormt een ondersteuning voor mijn persoonlijke herinneringen aan mijn leven, te vergelijken met persoonlijke dagboekaantekeningen. Mijn geheugen is nog scherp, maar kan slijten. Aanknopingspunten helpen dan. Herinneringen kunnen een inspiratie vormen voor journalistieke en/of literaire uitingen.

    Op grond daarvan voer ik als rechtsgrond voor het verwerken, in het bijzonder voor het bewaren van e-mails, ook aan mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG), namelijk mijn grondrecht: de “Vrijheid van meningsuiting en van informatie” volgens Artikel 11 van het Handvest, en de “Uitzonderingen inzake journalistieke doeleinden of academische, artistieke of literaire uitdrukkingsvormen” in Artikel 43 van de Uitvoeringswet.

3.6.4 Opslagperiode

Onbeperkt, op grond van het betoogde onder 3.6.3.

3.6.5 Doorgifte

Bij het deelnemen aan discussies, en het als aanknopingspunt citeren van tekst­gedeelten uit vorige berichten, worden als auteursaanduiding de persoons­gegevens zoals namen en e-mailadressen weer teruggestuurd naar de bron van waaruit ze tot mij kwamen.

3.6.6 Beveiliging

Mijn e-mailarchief bevindt zich op mijn laptop, in een zogenoemde datacontainer die is versleuteld met BestCrypt Container Encryption van het Finse bedrijf Jetico.

Van de containers maak ik regelmatig back-ups op externe opslagmedia. De versleuteling blijft daarbij behouden.


3.7 Afstemming opdrachten

3.7.1 Welke persoonsgegevens over wie

Ik werk als zelfstandig vertaler. In het verleden deed ik ook IT-werk. Opdrachten worden afgestemd per e-mail. Persoonsgegevens die in de e-mailberichten voorkomen zijn: IP-adres, naam en e-mailadres van de contactpersoon bij de klant.

3.7.2 Verwerking

Ik lees, beantwoord en bewaar deze e-mails.

3.7.3 Rechtsgronden

  1. De verwerking is noodzakelijk voor te nemen maatregelen vóór de sluiting van de overeenkomst, en voor de uitvoering van de overeenkomst. Artikel 6, lid 1, punt b van de AVG.

  2. De verwerking (inclusief opslag) is noodzakelijk om te voldoen aan de fiscale bewaarplicht. Artikel 6, lid 1, punt c van de AVG. Volgens de pagina Hoe lang moet u uw administratie bewaren? is die termijn 7 jaar.

  3. Het archief van de klantcontacten vormt een ondersteuning voor mijn persoonlijke herinneringen aan mijn carrière, en daarmee mijn leven, te vergelijken met persoonlijke dagboekaantekeningen. Mijn geheugen is nog scherp, maar kan slijten. Aanknopingspunten helpen dan. Herinneringen kunnen een inspiratie vormen voor journalistieke en/of literaire uitingen.

    Op grond daarvan voer ik als rechtsgrond voor het verwerken, in het bijzonder voor het bewaren van e-mails, ook aan mijn gerechtvaardigd belang (Artikel 6, lid 1, punt f van de AVG), namelijk mijn grondrecht: de “Vrijheid van meningsuiting en van informatie” volgens Artikel 11 van het Handvest, en de “Uitzonderingen inzake journalistieke doeleinden of academische, artistieke of literaire uitdrukkingsvormen” in Artikel 43 van de Uitvoeringswet.

3.7.4 Opslagperiode

Zeven jaar, op grond van 3.7.3 punt b hierboven.

Daarna: onbeperkt, op grond van 3.7.3 punt c hierboven.

3.7.5 Doorgifte

Bij het beantwoorden van de berichten wordt als auteursaanduiding van ter bevestiging geciteerde tekstgedeelten naam en e-mailadres vermeld. Deze persoonsgegevens gaan terug naar het e-mailadres waar ze vandaan kwamen.

3.7.6 Beveiliging

Mijn e-mailarchief bevindt zich op mijn laptop, in een zogenoemde datacontainer die is versleuteld met BestCrypt Container Encryption van het Finse bedrijf Jetico.

Van de containers maak ik regelmatig back-ups op externe opslagmedia. De versleuteling blijft daarbij behouden.


3.8 Persoonsgegevens in te vertalen teksten

3.8.1 Welke persoonsgegevens over wie

De teksten die ik in opdracht van anderen vertaal, zijn veelal technisch van aard. In de teksten zelf komen bijna nooit persoonsgegevens voor. Als dat toch het geval is, schenk ik daar bijzondere aandacht aan.

3.8.2 Verwerking

De persoonsgegevens verschijnen op passende plaatsen in de vertaalde tekst, op basis van waar ze in het origineel stonden. Originelen en vertalingen worden opgeslagen. Bij opslag in vertaalgeheugens anonimiseer ik die tekstsegmenten zo snel mogelijk.

3.8.3 Rechtsgronden

  1. De verwerking is noodzakelijk voor de uitvoering van de overeenkomst. Artikel 6, lid 1, punt b van de AVG.

  2. De verwerking (inclusief opslag) is noodzakelijk om te voldoen aan de fiscale bewaarplicht. Artikel 6, lid 1, punt c van de AVG. Volgens de pagina Hoe lang moet u uw administratie bewaren? is die termijn 7 jaar.

3.8.4 Opslagperiode

Zo lang als nodig is, gezien bovenstaande punten 3.8.3 a en b.

3.8.5 Doorgifte

De vertaling van de brontekst, met daarin de persoonsgegevens, wordt doorgegeven aan de opdrachtgever, die ook de brontekst aanleverde.

3.8.6 Beveiliging

Bestanden betreffende vertaalwerk bevinden zich op mijn laptop, in een zogenoemde datacontainer die is versleuteld met BestCrypt Container Encryption van het Finse bedrijf Jetico.

Van de containers maak ik regelmatig back-ups op externe opslagmedia. De versleuteling blijft daarbij behouden.