Voordat er contracten voor uitbestedingen worden afgesloten, moeten banken een grondige due diligence van de gegevensbescherming uitvoeren voor derde partijen, zoals dienstverleners op het gebied van betalingen, verzekeringen en kredieten. Banken moeten de gevoelige klantgegevens goed beschermen en tegelijkertijd controleren of hun partners ook dezelfde hoge standaarden naleven. Non-compliance kan resulteren in hoge boetes en reputatieschade. Een rigoureuze due diligence is dus van essentieel belang. 

In deze blogpost worden de belangrijkste gebieden geschetst die banken tijdens het due diligenceproces kritisch bekijken. Daarnaast bespreken we veelvoorkomende valkuilen en stappen die dienstverleners kunnen nemen om zich voor te bereiden op een succesvolle samenwerking in deze streng gereguleerde sector.  

Voor de doeleinden van deze blogpost verwijst de Algemene Verordening Gegevensbescherming (AVG, of GDPR) naar zowel de Europese AVG als de GDPR/AVG van het VK. Hoewel de wetgeving in grote lijnen hetzelfde is, zijn er een aantal belangrijke verschillen en we raden u aan om een functionaris gegevensbescherming te raadplegen om er zeker van te zijn dat u de wetten juist naleeft

Waarom gegevensbescherming voor banken van belang is​

Regelgevende kaders​

Banken opereren binnen strenge regelgevende kaders. Er zijn sectorspecifieke wetten waaraan hun activiteiten moeten voldoen, waaronder regels voor financieel gedrag die de eerlijke behandeling van klanten vereisen. Ook zijn banken onderworpen aan wetgeving inzake de gegevensbescherming, zoals de AVG, die de veiligheid en vertrouwelijkheid van klantgegevens waarborgt. 

De standaarden van de FCA (Financial Conduct Authority) overlappen met gegevensbeschermingswetten aangezien dienstverleners verplicht zijn te zorgen voor een robuuste governance, operationele weerbaarheid en beveiligde praktijken voor gegevensverwerking. Banken beoordelen de naleving van de dienstverlener van zowel de regels van de FCA als de AVG om te garanderen dat de klantgegevens goed beveiligd zijn, de risico’s zo klein mogelijk worden gehouden en het vertrouwen behouden blijft door een krachtige respons bij een incident en de beheerkaders van de derde partijen. 

Non-compliance kan leiden tot hoge boetes en verstoringen van de activiteiten. Het is voor banken dus van cruciaal belang om ervoor te zorgen dat hun partners de hoge standaarden voor gegevensbescherming naleven. 

Vertrouwen van klanten​

In de financiële dienstverleningssector speelt het vertrouwen van klanten een cruciale rol. Een datalek kan resulteren in aanzienlijke reputatieschade. Klanten verwachten immers dat hun persoonsgegevens en financiële gegevens door banken en hun partners zo zorgvuldig mogelijk verwerkt worden. 

Een effectieve samenwerking tussen banken en externe dienstverleners vraagt om een beveiligde en naadloze flow van gegevens. Dienstverleners moeten kunnen aantonen dat zij tijdens elke fase de gegevens effectief kunnen verwerken en beveiligen, van het verzamelen tot het vernietigen. 

De belangrijkste gebieden waar banken bij de due diligence van de gegevensbescherming aandacht aan besteden

Om te voldoen aan de strenge standaarden van financiële instellingen moeten dienstverleners erop voorbereid zijn om de volgende essentiële gebieden aan te pakken: 

Gegevenskwaliteitsbeheer

Banken controleren op een robuust beheer van de gegevens, inclusief duidelijk beleid voor het verwerken van de gegevens. Dienstverleners moeten ervoor zorgen dat hun beleid duidelijk is over het volgende: 

• De methoden voor het verzamelen, bewaren en delen van gegevens binnen de organisatie 
• Procedures voor gegevensclassificatie, toegangscontroles en levenscyclusbeheer 

Compliancekaders

Banken willen doorgaans bewijs zien dat hun partners de relevante gegevensbeschermingswetgeving zoals de AVG naleven. Dit bewijs kan bestaan uit het bekijken van de gedocumenteerde compliancemaatregelen, zoals de Data Protection Impact Assessments (DPIA’s), de Record of Processing Activity (RoPA) en auditgegevens. 

Beveiligingsmaatregelen

Het is voor banken van vitaal belang om ervoor te zorgen dat hun partners beschikken over sterke beveiligingsmaatregelen om zich te beschermen tegen datalekken. De meest geschikte technische beschermingsmaatregelen zijn versleuteling, beveiligde toegangscontroles en beveiligingsaudits. 

Respons bij een incident en beheer van een lek

Banken verwachten dat dienstverleners over goed gedocumenteerde incidentresponsplannen beschikken waardoor in het geval van een datalek snel actie genomen kan worden. Dienstverleners moeten duidelijk gedefinieerde beleidsmaatregelen en protocollen opstellen met gedocumenteerd bewijs van het afhandelen van incidenten en oplossingen, samen met een bewijs dat de protocollen regelmatig getoetst worden. 

Beheer van een derde partij

Als de dienstverleners gebruik maken van subverwerkers of andere derde partijen, zullen banken waarschijnlijk ook beoordelen hoe deze relaties beheerd worden. Het is belangrijk om een due diligence uit te voeren van alle leveranciers en externe partijen in de toeleveringsketen en om robuuste contracten te hebben met alle subverwerkers inclusief clausules met betrekking tot gegevensbescherming. 

Checklist gegevensbescherming voor dienstverleners

• Documenteer en communiceer duidelijk hoe de klantgegevens verzameld, verwerkt en gedeeld worden 

• Behoud een actuele inventaris van de gegevens en classificeer ze op basis van gevoeligheid 

• Zorg voor de relevante certificeringen, zoals ISO 27001, om uw toewijding aan informatiebeveiliging aan te tonen 

• Zorg voor regelmatige trainingen voor het personeel met betrekking tot de best practices van gegevensbescherming en cyberbeveiliging. 

• Ontwikkel en test een robuust plan voor incidentrespons, inclusief meldprocedures in het geval van een lek 

• Implementeer een uitgebreid risicobeheerprogramma voor derde partijen 

• Bereid u voor op audits door gedetailleerde gegevens bij te houden aangaande de gegevensverwerkingsactiviteiten en de beveiligingsmaatregelen 

In de tabel hieronder hebben we verdere richtlijnen uiteengezet: 

Veelvoorkomende rode vlaggen waar banken op letten

Banken zijn goed in staat om de zwakke plekken in het gegevensbeschermingskader van de dienstverlener aan te wijzen. Veelvoorkomende rode vlaggen zijn: 

• Verouderd of ontbrekend gegevensbeschermingsbeleid 

• Lacunes in de gegevensinventaris of overzichten 

• Zwakke technische beveiligingsmaatregelen (bijv. geen versleuteling) 

• Geschiedenis van een zwakke respons bij een lek of afwezigheid van een incidentenlog 

• Niet-naleving van de AVG Artikel 28, vereisten voor leveranciersovereenkomsten 

Samenvatting 

Robuuste gegevensbescherming is essentieel voor alle dienstverleners die werken met betalingen, verzekeringen en kredieten en die willen samenwerken met een van de grote banken. Naast compliance kan due diligence uw organisatie versterken en u helpen om een reputatie op te bouwen als een vertrouwde partner in de financiële dienstverleningssector. 

Om zich voor te bereiden op de due diligence dienen dienstverleners een interne audit uit te voeren om lacunes in hun gegevensbeschermingskader op te sporen en de veelvoorkomende rode vlaggen aan te pakken, zoals incompleet beleid of gebrekkig toezicht op een leverancier. Het raadplegen van gegevensbeschermingsexperts kan de processen verfijnen en helpen om de praktijk af te stemmen op de standaarden van de sector. 

 Als uw bedrijf baat zou kunnen hebben bij deskundig advies op het gebied van gegevensbescherming, neem dan contact met ons op voor meer informatie over hoe onze externe diensten uw bedrijf kunnen ondersteunen. 

Misschien gemist… 

• Checklist gegevensbescherming voor fusies en overnames 
• Leadgeneratie en de AVG: is uw compliance op orde? 
• Naleving van de AI Act: Wat u moet weten 

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Due diligence van de bank: checklist gegevensbescherming voor dienstverleners appeared first on DPO Centre.

Maar desondanks deze voordelen brengt LFR-technologie ook significante uitdagingen met zich mee op het gebied van gegevensbescherming en naleving, waar bedrijven mee aan de slag moeten voordat ze gebruik maken van deze technologie. 

In deze blog duiken we in de uitdagingen van LFR-implementatie en naleving van de gegevensbescherming. Met behulp van een scenario uit het nachtleven, leggen we uit hoe bedrijven deze uitdagingen het hoofd kunnen bieden en tegelijkertijd het maximale uit de voordelen van de technologie kunnen halen wat betreft veiligheid en beveiliging. 

Beveiligingsuitdagingen het hoofd bieden met LFR in een avondeconomie

Het nachtleven betekent enkele unieke uitdagingen voor het beveiligingsbeheer. Clubs, bars en andere gelegenheden hebben vaak moeite met het identificeren van personen die geband zijn of die een veiligheidsrisico inhouden. Meestal baseert men zich sterk op het menselijk geheugen, dat, zeker in lastige omstandigheden zoals in slecht verlichte, drukke omgevingen, gevoelig is voor het maken van fouten. 

Daar komt LFR-technologie mooi van pas. Door het combineren van LFR-software met bodycams (Body Worn Video of BWV), kunnen beveiligers snel en nauwkeurig potentiële bedreigingen opsporen. Maar deze technologie komt met zijn eigen unieke set privacykwesties met betrekking tot gegevensbescherming. 

De belangrijkste uitdagingen van LFR-inzet in de avondeconomie

• Suboptimale omstandigheden – een belangrijke uitdaging bij het inzetten van LFR in het nachtleven is dat de omstandigheden vaak verre van ideaal zijn. Het vastleggen van meerdere gezichten in een slecht verlichte, drukke en dynamische omgeving kan invloed hebben op de nauwkeurigheid en betrouwbaarheid van de technologie. 
• Perceptie van het publiek – onder het publiek is er een algemene terughoudendheid aangaande gezichtsherkenningstechnologie, wat kan leiden tot afkeer bij de inzet ervan en zo kan dit potentieel een effectieve implementatie van LFR-systemen belemmeren. 
• Verzamelen van te veel gegevens – traditionele CCTV-systemen die gebruik maken van LFR verzamelen vaak meer gegevens dan noodzakelijk, waardoor er zorgen ontstaan over inbreuk op de privacy, zoals bijkomende inbreuk en de principes van gegevensminimalisering. 
• Bewaren van de gegevens – het opslaan van gezichtsherkenningsgegevens voor langere periodes kan de gegevensbeschermingsregelgeving schenden en het risico op een datalek en uitdagingen bij het gebruik ervan vergroten. 

Wat is de oplossing?

Het goede nieuws is dat organisaties deze uitdagingen het hoofd kunnen bieden door een uitgebreide gegevensbeschermingsstrategie te ontwikkelen. Een strategie waarbij beveiliging en privacykwesties zorgvuldig worden afgewogen aan de hand van de volgende belangrijke praktijken: 

1. Transparantie en betrokkenheid van het publiek

Wees open en eerlijk over uw inzet van gezichtsherkenningstechnologie met iedereen die ervan op de hoogte dient te zijn. Schrijf een persbericht uit, houd een publieke consultatie en plan webinars in. Bied duidelijke informatie in de vorm van privacyverklaringen voor betrokkenen met informatie over het gebruik van de technologie, het doeleinde en de bijbehorende maatregelen. Zo bouwt u vertrouwen op en voorkomt u zorgen en bemerkingen vanuit het publiek. 

2. Gericht verzamelen van gegevens

In vergelijking met traditionele CCTV hebben BWV-camera’s een veel beperkter en nauwer inzetprofiel en daarom een smaller gezichtsveld. Dit voorkomt dat er veel te veel data worden verzameld, wat betekent dat er minder sprake is van bijkomende inbreuk en verstoring van de gegevensbeschermingsrechten van individuen die niet op een specifieke ‘watchlist’ staan. Daarnaast kunnen BWV-camera’s, wanneer zij correct worden ingezet, organisaties ook helpen om zich te houden aan het principe van gegevensminimalisering.

3. Efficiënte gegevensverwerking en -verwijdering

Het snel verwerken van de gegevens en het nagenoeg direct verwijderen van beelden die niet relevant zijn voor de vastgestelde ‘watchlist’ kan afrekenen met zorgen rondom buitensporig gegevensbehoud. Doordat alleen relevante gegevens worden bewaard, worden de risico’s omtrent gegevensbescherming ook minder. 

4. Zorgvuldig opgestelde watchlists

Het zorgvuldig beheren van een referentiedatabase van beeldmateriaal dat gebruikt wordt voor het matchen kan helpen om het bereik van de gegevensbescherming te limiteren. Ook zorgt het ervoor dat de gelimiteerde gegevens verwerkt worden en dat de nauwkeurigheid van potentiële matches groter is.

De waarde van Data Protection Impact Assessments (DPIA’s)

Voordat u gezichtsherkenningstechnologie gaat inzetten, dient u een volledig en gedetailleerd Data Protection Impact Assessment (DPIA) uit te voeren. Dit helpt bij het identificeren en verkleinen van de risico’s die gepaard gaan met het verwerken van persoonsgegevens, waaronder een speciale categorie gegevens zoals biometrische informatie. 

De belangrijkste elementen van een DPIA zijn o.a.:

• Gegevens over de aard, het bereik, de context en het doeleinde van de gegevensverzameling 

• Een assessment van de noodzaak en proportionaliteit van uw gegevensverwerking 

• Vaststellen van de risico’s en nemen van de vereiste maatregelen om ze te verkleinen 

• Gesprekken met relevante stakeholders waaronder de interne afdelingen, derde partijen zoals het bedrijf waar de LFR-technologie wordt ingezet als de privacygroepen en betrokkenen zelf 

Voor mij is de DPIA de hoeksteen van elke inzet van LFR-technologie. Als je het goed doet, reken je direct af met potentiële gegevensbeschermingskwesties waar je anders later tegenaan zou lopen. Het geheim? Verplaats jezelf in iedereen die ermee te maken krijgt – met name de individuele betrokkenen en vraag jezelf af hoe jij je zou voelen, en welke vragen je zou stellen, als jouw persoonsgegevens op deze manier verwerkt zouden worden.

Paul Collier, LFR-specialist, The DPO Centre 

Doe het fair en zorg voor compliance

Om ervoor te zorgen dat de LFR-systemen effectief en fair zijn en zich houden aan de compliancenormen, dient u organisatie ook het volgende te doen: 

• Grondig testen – test uw LRF-systemen uitgebreid, en betrek er derde partijen bij om de nauwkeurigheid en potentiële bias te beoordelen 

• Tijdig communiceren – geef het aan met borden en maak gebruik van unieke methoden zoals QR-codes die doorlinken naar de privacyverklaring en andere online en offline communicatiemethoden om mensen ervan op de hoogte te stellen waarom, wanneer, hoe en waar u gebruik maakt van gezichtsherkenningstechnologie. 

• Regelmatig evalueren – beoordeel regelmatig de prestaties, nauwkeurigheid en naleving van de gegevensbeschermingsregelgeving van uw LFR-systeem, inclusief het opnieuw erbij pakken van uw DPIA 

• Zet een toegankelijke klachtenprocedure op – bied duidelijke kanalen via welke individuen hun zorgen kunnen uiten of hun gegevensbeschermingsrechten kunnen uitoefenen. 

De toekomst van LFR-technologie en gegevensbescherming

Aangezien LFR-technologie in ontwikkeling is en nog op nieuwe manieren toegepast zal gaan worden, is het hebben van solide gegevensbeschermingsprocessen en -procedures belangrijker dan ooit. Organisaties moeten op de hoogte blijven van de nieuwe regels, of deze nu in de EU of het VK  door de AVG of GDPR aangedreven worden, of in de VS door de CCPA. 

Door de beveiligingsvereisten zorgvuldig af te wegen tegen de gegevensbeschermingsrechten, kunnen organisaties volop profiteren van de voordelen van LFR-technologie en tegelijkertijd de gegevensbeschermingswetgeving naleven. In de toekomst zal het verantwoordelijk inzetten van dergelijke technologieën – in welke sector dan ook – de sleutel zijn om het vertrouwen van het publiek te winnen en op lange termijn succesvol te zijn. 

Belangrijkste punten

1. Transparantie is van cruciaal belang – ga vroeg in het proces het gesprek aan met de betrokkenen en bied duidelijke informatie over het gebruik van LFR-technologie. 

2. Minimaliseer het verzamelen van overbodige gegevens – gerichte technologieën zoals BWV-camera’s voorkomen dat u een buitensporige hoeveelheid gegevens verzamelt. 

3. Beheer de gegevens efficiënt – zorg ervoor dat u de gegevens snel verwerkt en dat u gegevens die niet matchen snel verwijdert. 

4. Beoordeel het systeem regelmatig – door DPIA’s uit te voeren en periodiek uw LFR-systemen te evalueren. 

Lees voor een voorbeeld van LFR-inzet in de praktijk onze Reveal Media casestudy. 

Lees voor een beter begrip van een aantal van de belangrijkste kwesties omtrent LFR-technologie en BWV-camera’s dit interview met DPO-specialist Paul Collier, door het Nederlands Genootschap Functionarissen Gegevensbescherming.  

Neem contact op met ons team als u benieuwd bent hoe wij u kunnen helpen bij het inzetten van LFR-technologie en uw naleving van de gegevensbeschermingswetten kunnen ondersteunen. 

Misschien gemist… 

• Checklist gegevensbescherming voor fusies en overnames 
• Leadgeneratie en de AVG: is uw compliance op orde? 
• Naleving van de AI Act: Wat u moet weten 

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Inzet van Live Facial Recognition en naleving van de gegevensbescherming appeared first on DPO Centre.

Volgens Artikel 37 van de AVG zijn organisaties verplicht een functionaris voor gegevensbescherming aan te stellen indien:

• Zij een overheidsinstantie of -orgaan zijn
• Hun belangrijkste verwerkingsactiviteiten een regelmatige en systematische controle van de betrokkenen op grote schaal vereisen
• Zij op grote schaal bijzondere categorieën van gegevens verwerken

Organisaties die niet bij wet verplicht zijn een FG aan te stellen, doen dit echter vaak toch. Zo bouwen zij hun nalevingskader uit, bewaken zij de naleving ervan en ondersteunen zij hun verplichtingen op het gebied van gegevensbescherming.

In lid 6 van artikel 37 staat dat een organisatie een personeelslid kan aanstellen als aangewezen FG, of de functie kan uitbesteden. Dit leidt tot de vraag: uitbesteden of intern – wat is het beste?

Ons antwoord? externe FG, en wel hierom.

Pool van expertise

Hoewel er, in tegenstelling tot andere vergelijkbare beroepen, geen specifieke kwalificatie is die alle FG’s moeten bezitten, stelt de AVG dat de keuze van een organisatie voor een FG gebaseerd moet zijn op “professionele kwaliteiten en, in het bijzonder, kennis van de wetgeving op het gebied van gegevensbescherming”.

Het gegevensbeschermingsrecht is complex. Het is bijna onmogelijk dat één persoon beschikt over deskundige kennis over al deze onderwerpen, van de rechten van de betrokkenen tot internationale gegevensoverdrachten en de toepassing van passende technische en organisatorische beveiligingsmaatregelen. Bovendien zijn er belangrijke sectorspecifieke nuances (zowel afgeleid van de AVG zelf als van de vele andere sectorspecifieke regels en voorschriften die er zijn), waardoor een “gegevensbeschermingsexpert” niet altijd een expert in uw sector zal zijn. Bovendien betekent het internationale kader van bedrijfsactiviteiten en gegevensstromen dat organisaties vaak moeten voldoen aan de gegevensbeschermingsvoorschriften van meerdere rechtsgebieden en dat hun FG deze dus moet begrijpen.

Kortom: de kennis en technische expertise die nodig zijn om de uiteenlopende en vaak concurrerende vereisten van de gegevensbeschermingswetgeving van meerdere rechtsgebieden nauwkeurig toe te passen, in combinatie met sectorspecifieke expertise, is moeilijk te vinden in één FG. Door deze functie uit te besteden hoeft u er echter niet op te vertrouwen dat één persoon alles weet. Door gegevensbescherming uit te besteden aan een partij die daar helemaal in thuis is, profiteert u niet alleen van de door u aangewezen FG en zijn of haar expertise, maar ook van een pool van kennis en ervaring van andere FG’s. Zo krijgt u, ongeacht de specifieke sector of het rechtsgebied, een antwoord op al uw vragen in verband met gegevensbescherming, omdat u een beroep kunt doen op de kennis van een heel team van FG’s.  Het spreekt vanzelf dat hoe groter het team is, hoe groter de kans is dat het over de nodige kennis beschikt.

Belangenconflicten

Een van de belangrijkste vereisten van de AVG, vastgelegd in Artikel 38, is dat FG’s onafhankelijk moeten handelen. De verwerkingsverantwoordelijke mag een FG niet vertellen hoe hij zijn werk moet doen, of hem op een andere manier straffen voor de uitvoering van zijn taken, zelfs niet wanneer dit nadelig kan zijn voor de verwerkingsverantwoordelijke.

De onafhankelijkheid van de functionaris voor gegevensbescherming is zeer belangrijk omdat het naleven van uw verplichtingen op het gebied van gegevensbescherming vaak in strijd is met andere commerciële doelstellingen; de toestemming die u moet krijgen voor B2C-marketing is daarvan een uitstekend voorbeeld. Een onafhankelijke positie is dan ook essentieel om ervoor te zorgen dat de juiste controles en tegenwichten zijn ingebouwd.

Volgens Artikel 29 van de Groep gegevensbescherming (nu EDPB genoemd) mag een functionaris voor gegevensbescherming geen functie binnen de organisatie bekleden die hem/haar aanzet de doeleinden van en de middelen voor de verwerking van persoonsgegevens te bepalen. Dit houdt in dat degenen die binnen een bedrijf belangrijke beslissingen nemen – het hoger management (bijvoorbeeld de CEO, COO, hoofd marketing, hoofd IT, enz.), of andere personen die belangrijke verwerkingsactiviteiten bepalen, niet kunnen worden aangesteld als de interne FG.

Nog een belangrijk punt om te overwegen is dat de juridisch adviseur van een organisatie meestal een belangenconflict zal hebben en dus niet als FG mag worden aangesteld. Hoewel een persoon met juridische ervaring de ideale FG-kandidaat is, kan deze niet als onafhankelijk worden beschouwd als hij of zij namens u optreedt als uw juridisch adviseur en uw belangen behartigt.

Het externe FG van uw FG neemt dit probleem weg en zorgt ervoor dat u gemakkelijk aan het publiek, andere organisaties en toezichthouders kunt aantonen dat u de verplichtingen uit Artikel 38 naleeft.

Kosteneffectiviteit

Ten slotte is het uiterst kosteneffectief om uw FG uit te besteden. Door deze functie uit te besteden bespaart u zich alle extra kosten die komen kijken bij het werven en vervolgens in dienst nemen van een werknemer en hoeft u nooit de kosten te dragen van permanente opleiding, secundaire arbeidsvoorwaarden, afwezigheid, vakantie of ziekte.

Bovendien betaalt u alleen voor de tijd die u nodig hebt. Voor veel kleine- en middelgrote ondernemingen is de rol van FG vaak geen voltijdse rol; misschien is er maar een paar dagen per maand werk voor nodig, waarvoor u bijna onmogelijk iemand kunt inhuren. Door uitbesteding kunt u precies investeren in de middelen die u nodig hebt en, wat cruciaal is, als u meer nodig hebt (bijvoorbeeld omdat u te maken krijgt met een inbreuk die aanzienlijke maatregelen vereist of een complex verzoek om toegang tot persoonsgegevens ontvangt) betaalt u gewoon voor meer middelen – probleem opgelost.

Conclusie

Kortom, er zijn verschillende voordelen verbonden aan het uitbesteden van uw FG in vergelijking met het intern inhuren van personeel. Door uw FG uit te besteden, profiteert u van de kennis en gedeelde beste praktijken van een heel team van professionals op het gebied van gegevensbescherming, terwijl u ook bespaart op de tijd en het geld die verbonden zijn aan het intern inhuren van personeel.

Waarom externe FG aan The DPO Centre?

Onze externe FG dienstverlening biedt u een zeer ervaren Functionaris voor Gegevensbescherming (FG) uit ons grote team, die op locatie of op afstand werkt als een integraal lid van uw team..

U profiteert van deskundige, hands-on professionals op het gebied van gegevensbescherming die op een uiterst kosteneffectieve manier de verantwoordelijkheden van de FG op zich nemen. U krijgt daarbij ondersteuning, gedeelde beste praktijken en modeldocumentatie die is ontwikkeld op basis van de ervaring van The DPO Centre in de samenwerking met meer dan 600 organisaties.

The post Een functionaris voor gegevensbescherming aanwerven – intern vs. externe FG’ appeared first on DPO Centre.

Gegevensbeschermingswetten hebben het doel om personen meer controle te geven over hun persoonsgegevens door hen een aantal rechten te geven, waaronder het recht om te worden geïnformeerd over hoe bedrijven hun gegevens gebruiken; om toegang te krijgen tot de gegevens die over hen worden verwerkt; en in sommige gevallen om ze te laten wissen.

Wetgeving op het gebied van gegevensbescherming streeft er ook naar dat bedrijven de verwerkte persoonsgegevens adequaat beschermen. Naast de naleving van de hierboven genoemde rechten van personen, leggen de AVG dus nog meer beperkingen en verplichtingen op aan het gebruik van persoonsgegevens. Deze regels zijn opgebouwd rond zeven kernbeginselen:

• Rechtmatigheid, billijkheid en transparantie
• Beperking van het doel
• Gegevensminimalisering
• Nauwkeurigheid
• Opslagbeperking
• Integriteit en vertrouwelijkheid
• Verantwoordingsplicht

Het zevende beginsel, “verantwoordingsplicht”, raakt de kern van de gegevensbeschermingswetgeving. Dit legt de verantwoordelijkheid bij elk bedrijf om niet alleen de wetgeving na te leven, maar ook – en dat is van cruciaal belang – aan te tonen dat de wetgeving wordt nageleefd. Hoewel het aantonen van de naleving van deze beginselen waarschijnlijk veel tijd en financiële investeringen zal vergen, zullen de kosten van niet-naleving waarschijnlijk moeilijker te verteren zijn.

De kosten van niet-naleving

De AVG kent een tweeledig boetestelsel. Voor een minder ernstige inbreuk op de AVG kunt u een boete krijgen tot 10 miljoen euro of 2% van uw jaaromzet. Voor een ernstiger overtreding verdubbelt dit tot 20 miljoen euro of 4% van de jaaromzet. Boetes voor gegevensinbreuken liggen in het hogere segment, maar er kunnen extra kosten ontstaan door schadebeperking na inbreuk en door rechtszaken als de betrokkenen gerechtelijke stappen ondernemen.

Niet-naleving kan uw bedrijf ook de reputatie bezorgen dat het slecht omgaat met de persoonsgegevens van zijn klanten – een reputatie die moeilijk te doorbreken kan zijn. Omgekeerd kunnen bedrijven die de regelgeving naleven, hun reputatie versterken als een bedrijf dat zich bekommert om de persoonsgegevens van hun werknemers/klanten/klanten, en tevens eventuele handhavingsacties of boetes vermijden.

Wat betekent dit alles voor uw bedrijf?

U moet zich op zijn minst bewust zijn van het volgende:

1. Doorzichtigheid

De betrokkenen hebben het recht om te worden geïnformeerd over de verwerking van hun persoonsgegevens. Het is daarom van essentieel belang dat u beschikt over een uitgebreid privacybeleid dat gemakkelijk toegankelijk is. Wat u daarin moet opnemen, wordt voorgeschreven in de artikelen 13 en 14 de AVG.

2. In kaart brengen van gegevens

Voordat u een doeltreffende strategie voor gegevensbescherming kunt opstellen, is het essentieel dat u weet welke categorieën persoonsgegevens u verwerkt, waarom u de gegevens nodig hebt, wie er toegang toe heeft en hoe lang u ze bewaart. Aan de hand van een gegevensonderzoek kunt u nagaan hoe u in uw bedrijf persoonsgegevens verwerkt, zodat u risicogebieden kunt identificeren en vervolgens kunt beheren.

3. Gegevensinbreuken melden

Volgens de AVG moeten gegevensinbreuken die ernstig genoeg zijn om aan het Autoriteit Persoonsgegevens (AP) te worden gemeld, binnen 72 uur nadat u er kennis van hebt gekregen, worden gemeld. Dit tijdsbestek verandert niet in het weekend of op feestdagen, dus een efficiënte meldingsprocedure voor inbreuken is essentieel. Het is ook belangrijk dat alle werknemers worden opgeleid om te begrijpen wat een inbreuk is en waar ze die moeten melden.

4. Rechten van betrokkenen

Bedrijven hebben één kalendermaand de tijd om te voldoen aan geldige verzoeken om rechten vanaf het moment dat ze zijn ontvangen. Het is dus belangrijk dat u een vooraf bepaalde procedure hebt om deze efficiënt af te handelen.

5. Accountability

De AVG stelt de verantwoordelijken voor de gegevensverwerking en de verwerkers hoofdelijk aansprakelijk voor niet-naleving. Dit betekent dat als u als voor de verwerking verantwoordelijke persoonsgegevens doorgeeft aan een derde verwerker, u ervoor verantwoordelijk bent dat deze laatste de wet naleeft.

The post 5 dingen die u moet weten over gegevensbescherming appeared first on DPO Centre.

Voor klinische proeven is het van cruciaal belang dat gezondheids- en medische gegevens als persoonsgegevens worden geclassificeerd, waardoor zij moeten voldoen aan de vereisten van de AVG. Bovendien worden gezondheids- en medische gegevens onder de AVG beschouwd als gegevens van een speciale categorie, wat betekent dat er extra beschermingslagen vereist zijn voor de verwerking. Ook als u de bij proeven gebruikte persoonsgegevens pseudonimiseert zodat personen niet onmiddellijk identificeerbaar zijn, is de AVG nog steeds van toepassing als het mogelijk is om deelnemers aan proeven opnieuw te identificeren aan de hand van aanvullende gegevens waarover u beschikt.

Hoewel het een EU-regelgeving is, zijn veel organisaties buiten de EU toch gebonden aan de regels van de AVG. De AVG is namelijk telkens van toepassing wanneer de persoonsgegevens van in de EU gevestigde personen worden verwerkt, ongeacht de plaats waar de organisatie is gevestigd. Dit wordt het “extra territoriale toepassingsgebied” genoemd.  Daarom moeten klinische proeven die worden uitgevoerd door niet-Europese organisaties voldoen aan de AVG als één van uw proefdeelnemers zich in de EU bevindt, zelfs als u geen vestiging in de EU hebt en zelfs als u gebruikmaakt van een in Europa gevestigde Contract Research Organisation (CRO).

Artikel 27 Vertegenwoordiging 

Als u geen vestiging in de EU hebt, moet u, als onderdeel van de naleving van de AVG, een EU-vertegenwoordiger aanwijzen. Daarnaast is er, vanwege Brexit, sinds 1 januari 2021 een aparte vereiste voor organisaties die de persoonsgegevens van inwoners van het VK verwerken, maar geen vestiging in het VK hebben, om een Vertegenwoordiger in het VK aan te stellen. Deze eisen voor Vertegenwoordiging vormen de focus van deze blogpost, waarin we u willen helpen bepalen of uw organisatie een Vertegenwoordiger nodig heeft en, zo ja, hoe deze u kan helpen.

EU-vertegenwoordiging is vastgelegd in Artikel 27 van de AVG. Organisaties die onder Artikel 27 vallen, moeten een EU-vertegenwoordiger aanwijzen die in de EU als contactpunt fungeert voor de betrokkenen en de toezichthoudende autoriteiten. Uw vertegenwoordiger kan een persoon of een organisatie zijn, maar moet gevestigd zijn in een van de EU-lidstaten waar de deelnemers aan uw proef – de zogeheten betrokkenen – verblijven. EU-vertegenwoordigers hebben een aantal verantwoordelijkheden:  

• Samenwerken met toezichthoudende autoriteiten
• De communicatie tussen uw organisatie en de betrokkenen vergemakkelijken
• Om een verwerkingsregister voor uw organisatie bij te houden, in overeenstemming met AVG Artikel 30

Naast deze kernverantwoordelijkheden moeten zij ook met u samenwerken aan een aantal andere taken, waaronder:

• Hun gegevens duidelijk vermelden op uw privacyverklaring
• Uw gegevensstromen begrijpen
• Vragen van betrokkenen en toezichthoudende autoriteiten vertalen en beantwoorden
• Het registreren en rapporteren van gegevensinbreuken met betrekking tot uw EU/UK-gegevensbetrokkenen
• Adviseren over kwesties inzake gegevensbescherming die van invloed zijn op uw organisatie

Als u alleen de persoonsgegevens verwerkt van betrokkenen die in één EU-lidstaat wonen, moet uw EU-vertegenwoordiger in die lidstaat gevestigd zijn. Indien u echter persoonsgegevens verwerkt van personen die in meerdere lidstaten wonen, kunt u ervoor kiezen uw EU-vertegenwoordiger in één van die landen te vestigen. Het is raadzaam het land te kiezen waar de meeste gegevens verzameld en verwerkt worden. Dit is simpelweg omdat de kans het grootst is dat u daar vragen of klachten ontvangt, zodat een EU-vertegenwoordiger die gemakkelijk bereikbaar is en dezelfde taal spreekt als deze betrokkenen, waarschijnlijk ook heel nuttig zal blijken.

VK Vertegenwoordiging 

Vanaf 1 januari 2021 behoort het Verenigd Koninkrijk niet langer tot de EU. Aangezien het VK de AVG echter in nationaal recht heeft omgezet, is de “UK GDPR” nu van kracht volgens het Britse recht. De GDPR van het VK bevat een soortgelijke vereiste als artikel 27 van de GDPR, wat betekent dat buiten het VK gevestigde organisaties die de persoonsgegevens van inwoners van het VK verwerken, een vertegenwoordiger voor het VK moeten aanwijzen die dezelfde rol vervult en dezelfde taken uitvoert, zoals hierboven vermeld. Dit komt bovenop de EU-vertegenwoordiger die volgens de AVG vereist is bij de verwerking van de gegevens van EU-inwoners.

Dus als u zowel in het VK als in één van de 27 EU-lidstaten proefdeelnemers hebt, maar u bent in geen van beide landen gevestigd, hebt u daarvoor een vertegenwoordiging in beide soorten landen nodig.

Volgende stappen 

Op grond van bovenstaande informatie moeten bedrijven die klinische proeven uitvoeren de volgende stappen nemen voor zowel het VK als de EU afzonderlijk:

Stap 1: Bepaal of de EU GDPR/UK GDPR op uw organisatie van toepassing is 

• • Verwerkt u de persoonsgegevens van personen die in de EU of het VK wonen?

Stap 2: Zo ja, dan is de AVG/UK GDPR van toepassing en dient u zich af te vragen of u over geschikte vestigingen in de EU of het VK beschikt? 

• • Zo ja, (en de vestiging is bereid de verantwoordelijkheid en mogelijke aansprakelijkheid voor de vertegenwoordiging op zich te nemen) dan hoeft u geen aparte vertegenwoordiger aan te wijzen
  • Zo nee, dan zult u waarschijnlijk een vertegenwoordiger moeten aanwijzen

Stap 3 (alleen EU): Verwerkt u de persoonsgegevens van personen uit slechts één of uit meerdere EU-lidstaten? 

• • Zo ja, dan moet u een EU-vertegenwoordiger in die staat aanwijzen
  • Indien meerdere, ga dan na waar u de meeste persoonsgegevens verzamelt en verwerkt, en benoem een EU-vertegenwoordiger in die staat

Ten slotte is het belangrijk te vermelden dat de verplichting om een EU-vertegenwoordiger te benoemen en de verplichting om een vertegenwoordiger in het VK te benoemen, ongeacht of het VK een positief besluit heeft genomen over de adequaatheid, nu van kracht zijn. Als u er nog geen hebt benoemd, moet u dat dus dringend doen. Gelukkig is de benoeming van een vertegenwoordiger een eenvoudig proces dat u binnen enkele dagen kunt uitvoeren.

The post AVG-vertegenwoordiging voor sponsors van Europese klinische proeven appeared first on DPO Centre.

Functionarissen voor gegevensbescherming krijgen een meer strategische rol op zich, die verder gaat dan het zorgen voor naleving van wet- en regelgeving. De AVG vereist dat veel organisaties een FG aanstellen. In het begin ging het vooral om het begrijpen van de wetgeving op het gebied van gegevensbescherming. Nu ligt de focus vooral op hoe we de organisatie verder kunnen bijsturen.

Luister naar het volledige interview met de Information Security Group.

Link naar podcast:

https://www.inforisktoday.in/interviews/changing-role-dpos-i-4455

The post De veranderende rol van de functionaris voor gegevensbescherming appeared first on DPO Centre.

Hoe definieert AVG “persoonsgegevens”?

Artikel 4, lid 1 van de AVG  definieert persoonsgegevens als “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”)….. een natuurlijke persoon die direct of indirect kan worden geïdentificeerd”.

Belangrijke punten om op te letten:

• Om iemand te kunnen identificeren, hoeft u zijn naam niet te kennen
• Een persoon kan indirect identificeerbaar zijn, zelfs als de benodigde aanvullende informatie niet in de database van het bedrijf is opgeslagen, maar uit een andere bron moet worden verzameld. Indien deze aanvullende gegevens gemakkelijk te verkrijgen zijn, kunnen zij als persoonsgegevens worden beschouwd
• Of informatie als persoonsgegevens wordt beschouwd, hangt af van de betreffende situatie.

Wat is een identificator?

De AVG geeft enkele voorbeelden:

• Naam
• Identificatienummer
• Locatiegegevens
• Online-identificator (bv. IP-adressen)

Deze lijst is niet limitatief, dus ook andere gegevens kunnen als persoonlijk worden beschouwd, zoals functieomschrijving, geloofsovertuiging of zelfs haarkleur!

Om deze gegevens te mogen verwerken, moet een bedrijf een rechtmatige grondslag hebben volgens Artikel 6 van de AVG.

Hoe zit het met gegevens uit “bijzondere categorieën”?

Dit zijn gegevens die als gevoeliger van aard worden beschouwd (d.w.z. de gegevens waarvan u echt niet wilt dat anderen ze over u weten) en die daarom beter moeten worden beschermd, omdat ze grotere risico’s voor de rechten en vrijheden van een persoon kunnen opleveren.

Voorbeelden: ras of etnische afstamming, godsdienstige of levensbeschouwelijke overtuiging, gezondheid, genetische of biometrische gegevens enz.

Voor gegevens in bijzondere categorieën moet niet alleen een rechtmatige grondslag voor verwerking op grond van Artikel 6 bestaan, maar moet ook aan een van de voorwaarden van Artikel 9 zijn voldaan.

AVG -regels omzeilen – anonimisering van persoonsgegevens

Anonimisering van gegevens zorgt ervoor dat individuen niet direct of indirect kunnen worden geïdentificeerd, zodat ze niet langer worden geclassificeerd als persoonsgegevens en niet onder de AVG (GDPR) vallen, waardoor het delen van gegevens gemakkelijker wordt.  Het verwijderen van directe identificatoren uit een gegevensset, het verminderen van de nauwkeurigheid van variabelen en het generaliseren van bevindingen zijn slechts enkele manieren om gegevens te anonimiseren.

Samenvatting

• Het is belangrijk om de term “persoonsgegevens” te begrijpen om te bepalen of de AVG -regels van toepassing zijn op de gegevensverwerking van een bedrijf
• Persoonsgegevens zijn gegevens aan de hand waarvan een persoon direct OF indirect kan worden geïdentificeerd
• Onthoud! Er is geen definitieve lijst van wat persoonsgegevens zijn; het hangt er meer van af of een individu kan worden geïdentificeerd aan de hand van de gegevens. Als u het dus niet zeker weet, kunt u gegevens het beste als persoonsgegevens behandelen om een inbreuk te voorkomen
• Maar om zekerheid te hebben, kunt u de AVG -regels vermijden en anonimiseren

The post wat zijn ‘persoonsgegevens’ precies appeared first on DPO Centre.