Een klant stuurt je een e-mail met de vraag waar zijn gegevens worden opgeslagen. Je gebruikt KPN-hosting voor je website en het KPN-mailpakket voor je zakelijke communicatie, maar als je je privacyverklaring erbij pakt, staat KPN er nergens in. Dat is precies het probleem: de AVG verplicht je om transparant te zijn over welke partijen namens jou persoonsgegevens verwerken, en een hostingprovider of e-maildienst valt daar vrijwel altijd onder. In dit artikel zie je stap voor stap wat je moet regelen als je KPN-diensten gebruikt voor je website of e-mail.

Wanneer maakt KPN-gebruik jou verantwoordelijk onder de AVG?

Zodra bezoekers of klanten via jouw website of e-mail persoonsgegevens achterlaten, en die gegevens landen op servers die KPN beheert, ben jij de verwerkingsverantwoordelijke. Dat geldt al bij een eenvoudig contactformulier dat berichten opslaat op KPN-hosting, maar ook bij een webshop waarbij bestelgegevens via KPN-mailservers worden verstuurd. KPN treedt dan op als jouw verwerker: het bedrijf verwerkt gegevens in jouw opdracht, zonder er zelf iets mee te doen voor eigen doeleinden.

De AVG maakt jou dus verantwoordelijk voor wat er met die gegevens gebeurt, ook als KPN technisch de servers beheert. Je kunt die verantwoordelijkheid niet afschuiven. Wat je wél kunt doen, is de afspraken goed vastleggen en je privacyverklaring kpn-specifiek invullen.

Stap 1: Breng in kaart welke KPN-diensten persoonsgegevens raken

Maak eerst een lijst van alle KPN-diensten die je gebruikt. Denk aan webhosting (zoals KPN Webhosting of KPN VPS), zakelijke e-mail via KPN, KPN EEN (de gecombineerde telefoon- en internetdienst voor bedrijven), of een CDN-dienst die KPN levert. Kijk ook naar eventuele back-updiensten of cloudomgevingen die KPN aanbiedt.

Noteer per dienst welke gegevens er doorheen lopen. Bij webhosting zijn dat bijvoorbeeld IP-adressen in logbestanden, ingevulde formulierdata en sessiecookies. Bij zakelijke e-mail zijn dat namen, e-mailadressen, inhoud van berichten en eventueel bijlagen. Pas als je dit overzicht hebt, weet je precies waar je in je documentatie en privacyverklaring rekening mee moet houden.

Stap 2: Controleer of KPN als verwerker of als zelfstandig verwerkingsverantwoordelijke optreedt

Dit onderscheid is cruciaal. Als KPN hosting levert en jij bepaalt welke gegevens worden opgeslagen en waarvoor, dan is KPN jouw verwerker. Maar als je gebruikmaakt van een KPN-dienst waarbij KPN zelfstandig bepaalt wat er met gegevens gebeurt, bijvoorbeeld een analyse- of marketingdienst, dan is KPN een zelfstandig verwerkingsverantwoordelijke. In dat geval hoef jij géén verwerkersovereenkomst te sluiten, maar moet je in je privacyverklaring wel vermelden dat je gegevens deelt met KPN als zelfstandige partij.

Controleer dit door de gebruiksvoorwaarden en het privacybeleid van de specifieke KPN-dienst te lezen. Bij standaard hosting en e-mail is KPN vrijwel altijd verwerker. Twijfel je? Neem contact op met KPN zakelijk om de rol schriftelijk bevestigd te krijgen.

Stap 3: Sluit een verwerkersovereenkomst af met KPN

Als KPN verwerker is, ben je wettelijk verplicht een verwerkersovereenkomst te hebben. KPN biedt voor zijn zakelijke diensten standaard verwerkersovereenkomsten aan, meestal als bijlage bij de serviceovereenkomst of via de klantenomgeving. Download en bewaar deze overeenkomst aantoonbaar.

Controleer de standaardovereenkomst op een aantal punten. Staan de categorieën gegevens correct omschreven? Zijn de beveiligingsmaatregelen specifiek genoeg? Is er een procedure voor datalekken opgenomen, inclusief de termijn waarbinnen KPN jou informeert? Als iets ontbreekt of te vaag is, leg dan aanvullende afspraken schriftelijk vast, via e-mail of als addendum. Bewaar alles bij je AVG-documentatie.

Stap 4: Documenteer gegevens en doeleinden in je verwerkingsregister

Je verwerkingsregister is je interne administratie van alle verwerkingen. Voor de KPN-gerelateerde verwerkingen noteer je: welke gegevens worden verwerkt (zoals naam, e-mailadres, IP-adres), op welke rechtsgrondslag (bijvoorbeeld gerechtvaardigd belang voor logbestanden, uitvoering van overeenkomst voor klantmails), voor welk doel (websitebeheer, communicatie met klanten), en wie de verwerker is (KPN, met contactgegevens en verwijzing naar de verwerkersovereenkomst).

Een concreet voorbeeld: een ZZP-er die een portfolio-website heeft op KPN-hosting met een contactformulier, noteert in het register dat namen en e-mailadressen worden opgeslagen op KPN-servers, met als doel het beantwoorden van contactverzoeken, op basis van gerechtvaardigd belang.

Stap 5: Formuleer de KPN-vermelding in je privacyverklaring

In je privacyverklaring moet je concreet vermelden dat je KPN inschakelt als verwerker, welke gegevens dat betreft en voor welk doel. Hieronder staan twee voorbeeldteksten die je kunt aanpassen aan je situatie.

Voor webhosting:
“Onze website wordt gehost via KPN (KPN B.V., gevestigd in Den Haag). KPN slaat de bestanden van onze website op en verwerkt daarvoor technische gegevens zoals IP-adressen van bezoekers. Met KPN hebben wij een verwerkersovereenkomst gesloten. KPN gebruikt deze gegevens uitsluitend in onze opdracht en niet voor eigen doeleinden.”

Voor zakelijke e-mail:
“Voor onze e-mailcommunicatie maken wij gebruik van de zakelijke e-maildienst van KPN. E-mailberichten die u ons stuurt, waaronder uw naam en e-mailadres, worden opgeslagen op servers van KPN. Met KPN is een verwerkersovereenkomst gesloten. KPN verwerkt deze gegevens uitsluitend ten behoeve van de e-maildienstverlening aan ons.”

Pas de naam van de specifieke KPN-dienst aan als dat nodig is, en voeg altijd een verwijzing toe naar de privacypagina van KPN zelf, zodat bezoekers daar meer informatie kunnen vinden.

Stap 6: Informeer bezoekers over doorgifte buiten de EER

KPN is een Nederlands bedrijf en verwerkt gegevens doorgaans binnen de Europese Economische Ruimte. Maar KPN kan subverwerkers inschakelen die buiten Europa opereren, bijvoorbeeld voor bepaalde cloudinfrastructuur of beveiligingsdiensten. Controleer in de verwerkersovereenkomst of het privacybeleid van KPN of er subverwerkers buiten de EER worden gebruikt.

Als dat het geval is, moet je in je privacyverklaring vermelden dat gegevens buiten de EER kunnen worden doorgegeven, en op welke grondslag dat is gebaseerd (zoals standaard contractbepalingen van de Europese Commissie). Vraag KPN om een actuele lijst van subverwerkers als die niet publiek beschikbaar is.

Stap 7: Stel bewaartermijnen vast voor logbestanden, e-maildata en back-ups

KPN bewaart technische logbestanden vaak automatisch voor een bepaalde periode, bijvoorbeeld 30 tot 90 dagen, afhankelijk van de dienst. E-maildata en back-ups blijven soms langer bewaard. Je bent als verwerkingsverantwoordelijke verplicht bewaartermijnen vast te stellen die passen bij jouw doel.

Een praktische richtlijn: bewaar logbestanden niet langer dan nodig voor beveiliging en foutopsporing, doorgaans 30 tot 60 dagen. Zakelijke e-mail bewaar je zo lang als nodig is voor de zakelijke relatie of wettelijke verplichting, zoals de fiscale bewaarplicht van 7 jaar voor factuurgegevens. Leg deze termijnen vast in je verwerkingsregister en zorg dat ze overeenkomen met wat KPN feitelijk doet. Staat er een verschil? Vraag KPN om de instellingen aan te passen of leg in je eigen privacyverklaring uit waarom de bewaartermijn zo is.

Stap 8: Leg de meldprocedure voor datalekken via KPN-infrastructuur vast

Als er een datalek plaatsvindt op KPN-servers die jouw gegevens bevatten, moet KPN jou daarover zo snel mogelijk informeren. In de verwerkersovereenkomst staat (of zou moeten staan) binnen welke termijn KPN dat doet. Jij hebt daarna zelf maximaal 72 uur om een ernstig lek te melden bij de Autoriteit Persoonsgegevens.

Schrijf intern een korte procedure op: wie in jouw bedrijf ontvangt de melding van KPN, wie beoordeelt of het lek meldingsplichtig is, en wie doet de melding bij de AP. Voor een eenmanszaak ben jij dat zelf. Leg de contactgegevens van KPN zakelijk support vast, zodat je bij een incident niet eerst hoeft te zoeken wie je moet bellen. Vermeld in je privacyverklaring dat je beveiligingsincidenten serieus neemt en een interne procedure hebt voor datalekken.

Veelgemaakte omissies bij KPN-specifieke vermeldingen

Uit controles van de Autoriteit Persoonsgegevens en audits van privacyverklaringen komen steeds dezelfde tekortkomingen naar voren. Ten eerste: KPN wordt wel genoemd als hostingpartij, maar er staat geen beschrijving van welke gegevens dat betreft. Ten tweede: de verwerkersovereenkomst is gesloten maar niet terug te vinden in het verwerkingsregister. Ten derde: bewaartermijnen ontbreken volledig, of er staat alleen “zo lang als nodig” zonder verdere specificatie. Ten vierde: de privacyverklaring vermeldt niets over mogelijke doorgifte buiten de EER, terwijl KPN wel subverwerkers buiten Europa kan inschakelen.

Doorloop na het schrijven van je privacyverklaring kpn-gerelateerde passages altijd nog eens op deze vier punten voordat je publiceert.

Periodieke onderhoudsplanning: wanneer herzie je de KPN-passages?

Privacyverklaringen zijn geen document dat je eenmalig opstelt en daarna vergeet. Plan minimaal één keer per jaar een revisie, bijvoorbeeld elk jaar in het najaar. Controleer daarbij of KPN zijn verwerkersovereenkomst heeft bijgewerkt, of er nieuwe subverwerkers zijn toegevoegd, en of jij nieuwe KPN-diensten bent gaan gebruiken. Controleer ook of de genoemde bewaartermijnen nog kloppen met hoe je feitelijk werkt.

Zet een herinnering in je agenda. Elke keer dat je een nieuw KPN-product aanschaft, is dat ook een direct aanleiding om je privacyverklaring te updaten. Kleine aanpassingen hoef je niet breed te communiceren, maar zorg dat de versiedatum bovenaan je privacyverklaring altijd actueel is.

Gebruik je KPN-hosting of het KPN-mailpakket, dan heb je als ondernemer een aantal concrete dingen te regelen: inventariseer welke diensten persoonsgegevens raken, sluit een verwerkersovereenkomst af met KPN, leg dat vast in je verwerkingsregister en pas je privacyverklaring aan. Meer is het niet, maar weglaten is geen optie. Met de gratis privacyverklaring generator op deze site formuleer je de KPN-passages snel en correct.