Zodra je een webinar organiseert, verwerk je persoonsgegevens zoals namen, e-mailadressen, soms functietitels, kijkgedrag en antwoorden op polls. Daarmee valt een webinar onder de AVG, net als elke andere vorm van gegevensverwerking. Hoe zorg je er nou voor dat jouw platform en jouw aanpak aan de AVG voldoen, en hoe je dat zodat je intern kunt verantwoorden tegenover je privacy/securityteam. Dit artikel loopt alle punten langs die belangrijk zijn zoals, welke gegevens je eigenlijk verwerkt, hoe de rolverdeling met je platform zit, en welke vragen je aan elk platform zou moeten stellen voordat je jouw deelnemersdata toevertrouwt.
Welke persoonsgegevens verwerkt een webinar nu eigenlijk?
Dit is veel meer dan de meeste mensen denken. Het begint al bij de registratie: naam,
e-mailadres en vaak ook organisatienaam en functie. Dat zijn duidelijke
persoonsgegevens, en je verzamelt ze al voordat het webinar überhaupt begonnen is.
Tijdens de uitzending komt daar nog gedragsdata bij. Veel platforms registreren
kijktijd, het moment waarop een deelenemer afhaakt, en de antwoorden die mensen
geven op polls of in een Q&A. Soms gaat het nog verder: vragen die deelnemers
intypen of chatberichten kunnen gevoelige informatie bevatten, afhankelijk van
het onderwerp.
Het onderdeel dat het vaakst wordt onderschat is de opname. Een webinaropname
bevat beeld en stem van sprekers en, afhankelijk van je opzet, soms ook van
deelnemers. Ook dat zijn persoonsgegevens, en die opname blijft vaak veel
langer bestaan dan het webinar zelf, omdat je hem on-demand beschikbaar stelt.
Wie nadenkt over de AVG en webinars, moet dus niet alleen naar het live-moment
kijken, maar naar de complete levensloop van alle data.
Verwerkingsverantwoordelijke of verwerker, wie is eigenlijk wat?
De AVG maakt onderscheid tussen de partij die bepaalt waarom en hoe gegevens
worden verwerkt, en de partij die dat namens hen uitvoert. Bij een webinar ben
jij als organiserende organisatie, de verwerkingsverantwoordelijke, want jij bepaalt
wie je uitnodigt en waarvoor je de data gebruikt. Het webinarplatform is de
Verwerker, zij verwerken die gegevens in jouw opdracht.
Deze verhouding leg je vast in een verwerkersovereenkomst tussen jouw organisatie
en het platform. Daarin staat onder meer hoe het platform met de gegevens omgaat,
welke beveiligingsmaatregelen er gelden en wat er gebeurt als de samenwerking
stopt. Het is verstandig om die overeenkomst op te kunnen vragen en vooraf door
je eigen team te laten beoordelen, dus niet als formaliteit achteraf, maar als
onderdeel van de platformkeuze.
Dan het hosting-vraagstuk. Waar staat je data nu eigenlijk?
Voor veel organisaties is dit eigenlijk het punt waarop de platformkeuze valt of staat, waar staan de gegevens nu fysiek opgeslagen? Bij platforms die buiten de Europese Unie hosten, kan deelnemersdata op servers buiten de EER terechtkomen. Deze gegevensoverdracht naar landen buiten de EER brengt extra verplichtingen en afwegingen met zich mee. Eigenlijk wil je dit vermijden, want buiten de EU gelden andere regels en heb je veel minder controle over je gegevens.
Voor publieke organisaties, financiële instellingen en veel grotere bedrijven is EU-hosting daarom een vereiste. De praktische vraag die je dus aan elk platform zou moeten stellen is, waar staat mijn data, inclusief de opnames en de back-ups. Maar ook hoort hier de vraag bij, wie heeft er toegang toe? Een platform dat daar geen helder antwoord op geeft, is een platform waar je intern lastig verantwoording over aflegt en dat je niet kunt verantwoorden naar jouw klanten.
Dit is ook waar in de EU gehoste platforms zich onderscheiden. Niet als verkoopargument, maar als toetsbaar criterium: je kunt het verifiëren, en je team kan het beoordelen.
Gedeelde versus dedicated omgeving en waarom dit uitmaakt
Een tweede vraag die zwaarder weegt naarmate je organisatie groter is: deelt het platform één omgeving met alle klanten, of krijgt jouw bedrijf een eigen, dedicated omgeving? Op gedeelde infrastructuur staat de data van veel verschillende organisaties in dezelfde systemen. Een dedicated omgeving betekent data-isolatie, dus jouw deelnemersgegevens staan in een omgeving die voor jouw organisatie is ingericht.
Vanuit een beveiligingsperspectief is dat een wezenlijk verschil, en voor je eigen security- of privacyteam is dit een check-box voor goedkeuring. Data-isolatie heeft voor de IT afdeling een duidelijke voorkeur, of is zo niet een vereiste.
Waar let je op bij een AVG-proof webinar platform?
Even als overzicht, als je de bovenstaande punten samenbrengt, ontstaat er een korte, toetsbare lijst die je langs elk platform kunt leggen:
EU-hosting
EU-hosting voor de applicatie, de streaming én de back-ups, niet alleen voor een deel van de keten.
Verwerkersovereenkomst is beschikbaar om vooraf te beoordelen door je team.
Dedicated omgeving
Dus data-isolatie in plaats van gedeelde infrastructuur.
Eigendom en export van je data.
Jouw deelnemersgegevens blijven van jouw organsiatie en kun je meenemen, er is geen vendor lock-in op eigen data.
Bewaartermijnen
Duidelijke bewaartermijnen voor registraties en voor opnames.
Data sub-verwerkers
Transparantie over sub-verwerkers, welke partijen verwerken er nog meer data namens het platform?
Een platform dat bovenstaande vragen niet helder kan beantwoorden, is een risico. Ook wordt interne verantwoording binen je organisatie lastig, zeker als IT en compliance meebeslissen over
de aanschaf.
Nog even dit
De AVG is niet iets wat het organiseren van webinars ingewikkelder maakt. Het komt slechts
neer op weten welke data hoe wordt verwerkt, wat is de rolverdeling aangaande data en hoe deze vastgelegd is voor jouw platform, en een platform kiezen dat de juiste antwoorden geeft op de vragen over hosting, isolatie en eigendom.
Wil je zien hoe OnlineWebinar omgaat met EU-hosting, data-isolatie en de verwerkersovereenkomst? Bekijk onze AVG-compliance pagina of boek een demo waarin we het samen met je IT- of compliance-team kunnen doornemen.