• In het rapport van de Europese Commissie over de interne markt in 2023 wordt de totale omvang van de consumentenmarkt van de EU geschat op €8,6 biljoen 
• In het rapport van de Britse Office for National Statistics over de laatste consumententrends wordt de Britse consumentenmarkt geschat op £1.8 biljoen 

Maar een succesvolle expansie naar de EU en het VK is niet even simpel als het begrijpen van de dynamiek van de lokale markt en met succes weten te verkopen aan klanten. Het kan een aanzienlijke hindernis zijn dat men moet voldoen aan complexe regelgevingen. Daaronder vallen niet alleen regelgevingen die voor specifieke industrieën gelden, zoals de regelgeving rond biowetenschappen, maar ook regelgevingen die op veel verschillende industrieën betrekking hebben, en die gaan over de bescherming van consumentengegevens voor alle industrieën.  

Aangezien de privacywetgeving voortdurend in ontwikkeling is, is het belangrijk dat u uw kennis over de laatste richtlijnen up-to-date houdt en dat u er altijd aan denkt dat het bijhouden van de bescherming van data niet een taak is van één moment, maar voortdurend uw aandacht vraagt. 

We kijken hier naar de belangrijkste factoren waar SaaS-bedrijven aan moeten denken om te garanderen dat ze de gegevensbeschermingswetten van de EU en het VK naleven. Er zijn bepaalde verschillen tussen de AVG in de EU enerzijds en de AVG/GDPR in het VK anderzijds maar in deze tekst zullen we hier steeds ‘AVG’ als verzamelterm hanteren. 

Omgaan met persoonsgegevens van ingezetenen van EU en VK: uw verantwoordelijkheden

De fundamentele taak van de AVG is het beschermen van de privacy en de gegevens van privépersonen. 

Wat dit betekent voor SaaS-platformen: Als u de persoonsgegevens van inwoners van de EU of het VK verwerkt, moet u de 7 principes van de AVG naleven. 

Het inrichten van een wettelijk kader 

Voordat welke persoonsgegevens dan ook verzameld kunnen worden, moet uw grondslag daarvoor in orde zijn – de wettelijke grond die u hebt om iemands persoonsgegevens te verwerken.  

Onder de AVG zijn er 6 grondslagen te onderscheiden. 

De meest geschikte grondslag is afhankelijk van de specifieke bedoeling waarmee de gegevens verzameld worden. Dat verschilt per sector en type gegevensverwerking. 

Bijvoorbeeld: Een geautomatiseerd payroll-bedrijf met SaaS-platform gebruikt legitieme belangen om persoonsgegevens te verwerken zoals gegevens over de bank van de werknemer en fiscale nummers. De meest geschikte grondslag is het legitieme belang, aangezien het bedrijf zorgdraagt voor de tijdige uitbetaling van salarissen.  

U moet vanaf het begin de juiste keuze maken over uw grondslag, aangezien het lastig is om later in het proces over te gaan naar een andere. 

De belangrijkste benodigde documenten 

Om aan te tonen dat u zich houdt aan de AVG moet u bepaalde contracten, overeenkomsten en documenten kunnen tonen. 

Contracten en overeenkomsten geven helderheid en zekerheid voor zowel bedrijf als klant doordat ze de juiste richtlijnen en voorwaarden geven voor het verwerken van persoonsgegevens.  

Hier zijn enkele van de documenten waarvoor u dient te zorgen, en enkele van de contracten die u wellicht nodig hebt: 

Richtlijnen inzake privacy en verordeningen 

Verplichte clausules voor gegevensverwerking 

Overeenkomsten voor het uitwisselen van gegevens  

Overeenkomsten voor het doorgeven van data (TA) 

Rapporten van verwerkingsactiviteiten (RoPA) 

Deze lijst is niet uitputtend, en er zijn nog andere belangrijke documenten die u op orde dient te hebben, waaronder een beleid in het geval van een datalek en gegevensretentiebeleid. Een Functionaris Gegevensbescherming kan u advies geven over de inhoud van dergelijke documenten, al naar gelang de specifieke situatie van uw bedrijf. 

Vergeet de DPIA niet

Een Data Protection Impact Assessment (DPIA) is een belangrijk hulpmiddel om aan te tonen dat u de AVG naleeft. Het assessment wordt gebruikt om de risico’s omtrent gegevensbescherming van een project of activiteiten van gegevensverwerking te analyseren, vast te stellen en te mitigeren. 

DPIA’s zijn verplicht voor elke dataverwerkingsactiviteit met een hoog risico, zoals wanneer het gaat om gegevens van een speciale categorie. 

Bijvoorbeeld: Een SaaS-platform biedt een systeem voor gezondheidszorgmanagement dat medische dossiers en genetische gegevens verwerkt. Dit soort gegevens wordt beschouwd als gevoelig en hoog risico. In het geval van een datalek, kan de impact daarvan op individuen aanzienlijk hoger zijn dan bij een ander type datalek vanwege de gevoelige aard van de informatie. Daarom is een DPIA in dit geval verplicht.  

Maar zelfs als een DPIA niet expliciet vereist wordt door de AVG, is het een nuttig proces. DPIA’s kunnen u helpen om uw risico’s met betrekking tot de gegevensbescherming te identificeren en te beperken, door gelijk vanaf het begin de best practice gegevensbeschermingsprocessen in uw bedrijf te implementeren. 

Lees meer over Privacy by Design 

Eisen voor internationale gegevensoverdracht  

De AVG legt strenge beperkingen op aan het overdragen van persoonsgegevens aan partijen buiten de EER (Europese Economische Ruimte) en het VK. Als u persoonlijke gegevens uit deze gebieden exporteert naar andere landen ( bekend als ‘derde landen’) dan moet u ervoor zorgen dat er bepaalde verplichte veiligheidsmaatregelen zijn genomen. 

Aan een aantal landen is een predicaat toegekend van ”adequate maatregelen”, waarmee bedoeld wordt dat hun wetten omtrent gegevensbescherming in essentie gelijkwaardig zijn aan die van de EU en/of het VK en dat er geen aanvullende voorzorgen of toestemmingen nodig zijn. 

De meest recente adequaatheidsbesluiten van de Europese Commissie 

VK, adequaatheidsbesluiten van de Information Commissioner’s Office 

Heeft u een Transfer Impact Assessment (TIA) of een Transfer Risk Assessment (TRA) nodig? En wat is het verschil? 

Een TIA en een TRA zijn soortgelijke assessments voor de risico’s bij gegevensoverdracht. Een TIA wordt gebruikt voor overdracht van persoonsgegevens in de EU, en de TRA is de equivalent ervan voor het VK.  

EU Transfer Impact Assessment (TIA) – Voor overdracht van persoonsgegevens vanuit de EER naar bepaalde derde landen met gebruik van Standaardcontractbepalingen (SCC) en bindende bedrijfsvoorschriften (BCR).  

Organisaties die persoonsgegevens vanuit het VK naar derde landen overdragen, kunnen ook kiezen voor een TIA, en voor overdacht tussen het VK en de EU kan dit de beste keuze zijn. U moet echter controleren of de persoonsgegevens die u verzendt binnen het kader vallen van de EU AVG of de VK AVG en dan het assessment kiezen dat het meest geschikt is.  

UK Transfer Risk Assessment (TRA) – Voor ‘beperkte overdracht’ van persoonsgegevens vanuit het VK naar bepaalde landen buiten het VK met gebruik van SCC’s met VK Addendum, VK BCR’s en de International Data Transfer Agreement (IDTA). 

Wanneer is er geen TIA of TRA nodig? 

Als een land is aangemerkt als adequaat, is een TIA of TRA niet vereist.  

Artikel 49 van de AVG voorziet in enkele uitzonderingen, vrijstellingen genoemd, die toestaan dat persoonsgegevens zonder TIA of TRA naar derde landen worden overgedragen. Deze vrijstellingen gelden voor specifieke situaties en zijn niet bedoeld voor regulier gebruik of als standaardmethode voor overdracht. 

Hier enkele voorbeelden van de meest voorkomende vrijstellingen: 

• Expliciete toestemming- de betrokkene heeft expliciet toestemming gegeven voor de voorgestelde overdracht 
• Contract – de overdracht is vereist voor het nakomen van een contract dat tevoren is overeengekomen tussen een organisatie en een betrokkene 

Bijkomende overwegingen voor SaaS–platforms in de EU- en VK-markten 

Afhankelijk van uw specifieke bedrijfsactiviteiten, moet u waarschijnlijk ook de regels van de EU en het VK naleven aangaande elektronische marketingcommunicatie en online tracking. 

De EU-richtlijn voor ePrivacy is meer dan twintig jaar geleden, in 2002, ingevoerd. De richtlijn wordt vaak aangeduid als de “cookiewet” (het was immers het eerste stukje wetgeving dat het gebruik van cookies en online trackers moest reguleren) en bevat ook regels voor marketing via telefoongesprekken, e-mails, sms en fax en gidsen. Ieder bedrijf dat iets doet met deze marketingmethoden, of het digitaal tracken van EU-klanten, moet de Richtlijn voor ePrivacy naleven. 

VOORBEELD: Een FinTech bedrijf in China biedt een online platform voor peer-to-peer geld lenen. Omdat het wil uitbreiden naar EU-markten, voert het bedrijf verschillende advertentiecampagnes en volgt het digitaal gedrag van potentiële klanten. Om dit te doen moet het bedrijf zich houden aan de EU AVG en de Richtlijn voor Privacy. Dat betekent dat het de 7 principes van de AVG moet naleven, de vertrouwelijkheid van de communicatie voor de EU-gebruikers moet waarborgen, en de regels voor tracken en monitoren moet naleven. Elke niet-essentiële cookie op de website moet een ‘opt-in’-keuze zijn.  

Let op: Op het moment dat wij dit schrijven zijn het Europees Parlement en de Raad van Europa de onderhandelingen aan het afronden over de voorgestelde ePrivacy-verordening die de ePrivacy Richtlijn moet gaan vervangen. De nieuwe regeling voorziet in een bredere bevoegdheid met strengere regels voor bedrijven, in het bijzonder voor bedrijven die online actief zijn.  

De Regelgeving voor Privacy en Elektronische Communicatie van het VK (Privacy and Electronic Communications Regulations, PECR) geeft ingezetenen van het VK specifieke rechten op het punt van privacy met betrekking tot marketing via telefoongesprekken, e-mails, teksten en faxen, cookies en soortgelijke technologieën en veiligheid bij elektronische communicatie.  

Functionaris Gegevensbescherming (Data Protection Officers, DPO’s) 

De beste manier om naleving van de EU en VK gegevensbeschermingswetten te bereiken en te behouden, is het aanstellen van een Functionaris Gegevensbescherming (DPO). 

Deze functionarissen hebben een diepgaande kennis van en ervaring met betrekking tot de verschillende vereisten voor uw bedrijf ten behoeve van naleving van de AVG en de wetten voor elektronische communicatie. 

Voor sommige bedrijven is de benoeming van een Functionaris Gegevensbescherming niet alleen aan te raden, maar ook een verplichte eis. Artikel 37 van de AVG stelt dat een functionaris vereist is als:  

• De gegevensverwerking wordt uitgevoerd door een openbare instantie of orgaan 
• Het regelmatig en systematisch op grote schaal monitoren van betrokkenen tot de kernactiviteiten van het bedrijf behoort 
• Het op grote schaal verwerken van een speciale categorie (persoons)gegevens dat betrekking heeft op strafrechtelijke veroordelingen en overtredingen/misdaden tot de kernactiviteiten van het bedrijf behoort 

Veel bedrijven kiezen er echter voor om een Functionaris Gegevensbescherming aan te stellen ook als dat niet wettelijk verplicht is. 

Het opbouwen van een goede gegevensbeschermingscultuur binnen het bedrijf is de beste manier om proactief het vertrouwen van uw klanten en belanghebbenden te behouden. Dit is ook goed voor uw reputatie. 

Diensten om uit te besteden aan een Functionaris Gegevensbescherming (DPO) 

Vertegenwoordiger voor de AVG van de EU en het VK

Alle bedrijven die vallen onder de AVG en die niet fysiek aanwezig zijn binnen de EU of het VK moeten een AVG-vertegenwoordiger benoemen. Als u naar beide markten wilt uitbreiden heeft u zowel een EU AVG-vertegenwoordiger nodig als een voor de VK AVG. 

Een AVG-vertegenwoordiger treedt op als contactpersoon voor de betrokkenen en de toezichthoudende autoriteiten.  

De AVG-vertegenwoordiger is ook de contactpersoon voor betrokkenen die hun rechten onder de AVG willen uitoefenen. Daaronder valt het recht om de eigen persoonsgegevens in te zien, het recht om onzorgvuldige gegevens te corrigeren, het recht om gegevens te laten verwijderen, het recht om de gegevensverwerking te beperken, het recht die gegevens over te dragen en het recht om bezwaar te maken tegen verwerking.   

Zie voor aanvullende informatie: 

AVG-vertegenwoordiger: heeft u er een nodig? 

AVG-vertegenwoordiger diensten 

Samenvatting 

Alle bedrijven die marketing willen inzetten voor individuen in het VK en de EU moeten de EU AVG, de VK AGV, de Richtlijn ePrivacy en de PECR naleven.  

Het behouden van een sterke reputatie voor gegevensbescherming zorgt voor vertrouwen bij klanten en belanghebbenden, wat essentieel is voor commercieel succes. 

De beste manier om die naleving te bereiken en behouden is het aanwijzen van een Functionaris Gegevensbescherming. 

Deze functionaris beschikt over de expertise en kennis om u door het doolhof van regels en eisen te leiden. Ze kunnen u helpen bij het opstellen van de benodigde contracten en overeenkomsten, zorgdragen voor internationale gegevensoverdrachten en u op de hoogte houden van veranderingen binnen uw wetsgebied. 

Als uw bedrijf geen kantoor heeft in de EU of het VK, moet u ook een EU of VK AVG-vertegenwoordiger aanwijzen, of beiden. 

Als u hulp nodig heeft bij het naleven van de AVG, of als u erover denkt de gegevensbescherming uit te besteden, kan The DPO Centre u helpen. We hebben gewerkt met meer dan 850 organisaties wereldwijd en beschikken over een van de grootste teams van deskundige functionarissen. 

Neem contact met ons op door het formulier hieronder in te vullen. 

The post AVG-advies voor SaaS-bedrijven die de EU- en VK-markt betreden appeared first on DPO Centre.

De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat organisaties die buiten de EU gevestigd zijn en geen vestiging in de regio hebben, een vertegenwoordiger moeten aanwijzen als ze persoonsgegevens van inwoners van de EU verwerken. 

Dit is een vereiste voor zowel verwerkingsverantwoordelijken als verwerkers.  

Een verwerkingsverantwoordelijke wordt gedefinieerd als een persoon of organisatie die de middelen en het doel van de verwerking van persoonsgegevens bepaalt. Een verwerker is een persoon of organisatie die uitsluitend in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. 

In deze blog helpen we u begrijpen of uw organisatie een AVG-vertegenwoordiger nodig heeft. Of u nu een verwerkingsverantwoordelijke of verwerker bent, wij beantwoorden enkele van de belangrijkste vragen die vaak worden gesteld door bedrijven uit allerlei sectoren en van alle groottes. 

Vraag 1: Wat is een AVG-vertegenwoordiger?

Een AVG-vertegenwoordiger is een persoon of organisatie die is aangesteld om een verwerkingsverantwoordelijke of verwerker te vertegenwoordigen die persoonsgegevens van inwoners van de EU verwerkt en buiten dat grondgebied is gevestigd. 

Vertegenwoordigers fungeren als contactpunt voor in de EU gevestigde personen die hun rechten als betrokkene willen uitoefenen en voor regelgevende instanties die vragen hebben over de gegevensverwerkingsactiviteiten. 

Voorbeeld: Als een persoon die in de EU woont, wil weten welke persoonlijke gegevens een bedrijf in de VS over hem of haar heeft opgeslagen (een recht dat bekend staat als een Data Subject Access Request of DSAR), kan hij of zij contact opnemen met de AVG-vertegenwoordiger van het bedrijf voor de EU. 

De vertegenwoordiger zal dit verzoek in behandeling nemen en ervoor zorgen dat de persoon de informatie ontvangt waar hij of zij recht op heeft volgens de wetgeving inzake gegevensbescherming. 

Vraag 2: Worden ons type verwerking en onze hoeveelheid gegevens als incidenteel beschouwd? Zo ja, hebben we dan een AVG-vertegenwoordiger nodig? 

Het verschilt per individuele situatie en is bijvoorbeeld afhankelijk van de vraag of het type verwerking en de hoeveelheid gegevens als ‘incidenteel’ worden beschouwd en of een organisatie goederen of diensten aanbiedt aan inwoners van de EU. 

Over het algemeen hoeft u geen AVG-vertegenwoordiger aan te stellen als de gegevensverwerking incidenteel is, weinig risico inhoudt voor de rechten op het gebied van gegevensbescherming van individuen en niet gepaard gaat met grootschalig gebruik van gegevens van bijzondere categorieën of strafbare feiten. 

Voorbeeld 1: Een bedrijf voor medische hulpmiddelen in de VS verkoopt goederen aan klanten in de VS. Het bedrijf heeft momenteel geen marketingactiviteiten binnen de EU-markten. Ze hebben echter één EU-klant binnengehaald. De verwerking van persoonsgegevens voor deze ene klant zal als incidenteel worden beschouwd, omdat het eenmalig is en niet op regelmatige basis zal plaatsvinden, of slechts op beperkte schaal. In deze situatie heeft het bedrijf geen AVG-vertegenwoordiger voor de EU nodig.
 

Het is belangrijk op te merken dat zelfs incidentele verwerking van persoonlijke gegevens uit de EU nog steeds moet voldoen aan de AVG. Dit houdt in dat er een wettelijke basis moet zijn voor de verwerking van persoonlijke gegevens en dat er passende maatregelen worden genomen voor de beveiliging van de gegevens. 

Vraag 3: Hebben we nog een AVG-vertegenwoordiger nodig als we onze gegevens pseudonimiseren? 

Pseudonimisering is een nuttige beveiligingstechniek om het identificeren van personen te bemoeilijken.  

Gepseudonimiseerde gegevens, soms ook wel gecodeerde gegevens genoemd, zijn persoonsgegevens die gewijzigd zijn om te voorkomen dat iemand eenvoudig geïdentificeerd kan worden zonder bijkomende informatie. Namen kunnen bijvoorbeeld vervangen zijn door een alias, adressen door regio’s, geboortedata door leeftijdscategorieën, enz. Deze wijzigingen dienen echter niet allemaal uitgevoerd te zijn om gegevens als gepseudonimiseerd te kunnen beschouwen. Dit zal van de specifieke database afhangen. Alle gegevens die betrekking kunnen hebben op een bepaalde persoon moeten, indien noodzakelijk, gewijzigd worden.  

Bijvoorbeeld: Een life-sciences organisatie in de VS is sponsor van een klinische studie in de EU. De gegevens van de deelnemers aan het onderzoek worden om veiligheidsredenen gepseudonimiseerd. Omdat er persoonsgegevens van EU-inwoners verwerkt worden, moet de sponsor de AVG naleven. Binnen de AVG verandert pseudonimisering niets aan de status van persoonsgegevens, omdat deze ‘onrechtstreeks identificeerbaar’ blijven.  

Aangezien het onderzoek specifiek ontworpen is voor gegevens van deelnemers uit de EU en de gegevens verwerkt zullen worden buiten de EU, moet de organisatie een EU AVG-Vertegenwoordiger aanstellen, tenzij ze beschikt over een geschikte vestiging in de EU. Zelfs als de organisatie beschikt over een Functionaris Gegevensbescherming (FG), heeft ze nog steeds een AVG-Vertegenwoordiger nodig, aangezien de rollen verschillende functies omvatten (zoals hierna uitgelegd in vraag 7).
 

Vraag 4: Onze organisatie verwerkt persoonsgegevens uit zowel de EU als het VK. Hebben we zowel een AVG-Vertegenwoordiger nodig voor zowel de EU als het VK?  

Als uw organisatie persoonsgegevens uit zowel de EU als het VK verwerkt en geen filiaal, kantoor of andere vestiging heeft in een regio binnen de EU, EER of het VK, dan kan het zijn dat u zowel een EU als een VK AVG-Vertegenwoordiger moet aanstellen.  

Bijvoorbeeld: Een lead-generatiebedrijf in Singapore richt zich met een aantal digitale marketingcampagnes op inwoners van de EU én van het VK. Ze verzamelen, gebruiken en verwerken verschillende soorten persoonsgegevens, met inbegrip van namen, e-mails, telefoonnummers en adressen.  

Omdat het bedrijf noch in de EU, noch in het VK over een geschikte vestiging beschikt die voldoet aan de AVG, moet het zowel een EU als een VK AVG-Vertegenwoordiger aanstellen als aanspreekpunt.  

Het is belangrijk om op te merken dat het VK zich volledig heeft afgescheiden van de EU en dus beschouwd wordt als een ander rechtsgebied voor gegevensverwerking.  

Organisaties uit het VK zonder kantoor of filiaal in de EU dat de persoonsgegevens van inwoners van de EU verwerkt, zullen een EU AVG-Vertegenwoordiger moeten aanstellen. 

Evenzo moeten organisaties uit de EU die geen kantoor of filiaal in het VK hebben en persoonsgegevens van inwoners van het VK verwerken een VK AVG-Vertegenwoordiger aanstellen.  

Vraag 5: Ons bedrijf is een klein familiebedrijf. Hoe komen we erachter of we een AVG-Vertegenwoordiger nodig hebben?  

De belangrijkste factor om te bepalen of een AVG-Vertegenwoordiger vereist is, is of het bedrijf persoonsgegevens verwerkt van inwoners van de EU of het VK en of het buiten deze gebieden gevestigd is. 

Andere factoren omvatten het type van verwerking, het volume van de gegevens en of dit beschouwd wordt als grootschalig. De grootte van het bedrijf is niet het belangrijkste, maar het volume en het type gegevensverwerking zijn dat wel.  

Er is geen specifiek gegevensvolume dat de noodzaak van een AVG-vertegenwoordiger bepaalt. Het gaat eerder om het volume ten opzichte van de normale verwerkingshoeveelheid. Dit kan variëren, afhankelijk van de industriesector.  

Bijvoorbeeld: Een klein technologiebedrijf in China verkoopt verschillende apps aan hun belangrijkste klantenbestand in het VK. Ze willen de Europese markt betreden en hebben verschillende online marketingcampagnes om meer klanten aan te trekken. Het bedrijf verwerkt namen, adressen en betalingsgegevens. Omdat dit een trainingsapp is, verzamelt de app ook gezondheidsinformatie en slaat deze op.  

Het bedrijf heeft geen kantoor of filiaal in de EU of het VK, maar ze hebben op dit ogenblik een VK AVG-Vertegenwoordiger. Ze zullen nu ook een EU AVG-Vertegenwoordiger moeten aanstellen als aanspreekpunt voor EU-autoriteiten en klanten.  

Overwegingen met betrekkingen tot bijzondere gegevenscategorieën: 

Bijzondere gegevenscategorieën verwijzen naar een bepaald type persoonsgegevens dat als gevoeliger beschouwd wordt en een hoger beveiligingsniveau vereist.  

Het is belangrijk om op te merken dat het, wanneer het gaat om het verwerken van gegevens uit bijzondere gegevenscategorieën, zoals medische dossiers of informatie over klinische studies, vaak noodzakelijk is om een AVG-Vertegenwoordiger aan te stellen. Dit komt gewoonlijk omdat bij de verwerking grote hoeveelheden gevoelige informatie betrokken zijn.  

Volgens Artikel 27 (2)(a) van de AVG, is het bedrijf echter niet verplicht om een AVG-vertegenwoordiger aan te stellen als een niet-EU/VK bedrijf niet vaak persoonsgegevens van EU/VK-inwoners verwerkt, deze verwerking geen grote volumes gevoelige gegevens omvat en het weinig waarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van personen. Deze bepaling is belangrijk voor kleinere of minder gegevensintensieve niet-EU/VK organisaties, omdat dit hun lasten met betrekking tot de naleving van de AVG beperkt.  

Vraag 6: Wij huren een extern bedrijf in om sommige van onze activiteiten voor gegevensverwerking die betrekking hebben op EU-inwoners af te handelen. Moeten we allebei een EU AVG-Vertegenwoordiger aanstellen?  

Verwerkingsverantwoordelijken en verwerkers moeten een AVG-Vertegenwoordiger aanstellen als ze buiten deze regio’s gelokaliseerd zijn en persoonsgegevens van inwoners van de EU of het VK verwerken.  

Als zowel de verwerkingsverantwoordelijke als de verwerker zich buiten de EU of het VK bevinden, moeten ze allebei een passende AVG-Vertegenwoordiger aanstellen.  

Bijvoorbeeld: Een technologiebedrijf in de VS verzorgt de gegevensanalyse van een ander technologiebedrijf in de VS, dat marketingdiensten verkoopt aan een verzekeringsbedrijf in Nederland.  

Beide technologiebedrijven verwerken gegevens van inwoners van de EU. Daarom moeten beide bedrijven, volgens de AVG, een EU AVG-Vertegenwoordiger aanstellen. Aangezien het verzekeringsbedrijf in de EU gevestigd is, hoeven zij er geen aan te stellen.  

Het is belangrijk om op te merken dat een mechanisme zoals standaardcontractbepalingen (SCB’s) vereist is voor internationale gegevensoverdrachten tussen verwerkingsverantwoordelijken en verwerkers, naast de noodzakelijke overdrachtsrisico-evaluatie (ORE) of overdrachtsimpact-evaluatie (OIE).  

Vraag 7: Hoe werkt een AVG-Vertegenwoordiger met een Functionaris Gegevensbescherming (FG)? 

Een AVG-Vertegenwoordiger en een FG hebben verschillende rollen. 

FG’s werken intern binnen organisaties om informatie te geven, te adviseren en de nalevering van de AVG te bewaken.  

AVG-Vertegenwoordigers werken uit naam van bedrijven die niet in de EU of het VK gevestigd zijn en faciliteren indien nodig de externe communicatie. Ze zijn het officiële aanspreekpunt voor gegevenssubjecten en toezichthoudende autoriteiten en dienen in de taal van de vraag te communiceren.  

De twee rollen kunnen samenwerken om ervoor te zorgen dat de gegevensbeschermingspraktijken doeltreffend zijn en overeenstemmen met de wettelijke vereisten.  

Bijvoorbeeld: Een verzekeringsbedrijf uit het VK verkoopt producten aan klanten in het VK en de EU. Het bedrijf beschikt over een FG en een EU AVG-Vertegenwoordiger. De FG is verantwoordelijk voor het opvolgen en beheren van de conformiteit met de VK en EU-AVG, geeft advies over de verplichtingen voor gegevensbescherming en doet dienst als aanspreekpunt voor datasubjecten uit het VK en voor het Information Commissioner’s Office (ICO) in het VK. 

De EU AVG-Vertegenwoordiger is het lokale aanspreekpunt voor datasubjecten uit de EU en elk van de toezichthoudende autoriteiten van de EU. Zij behandelen alle vragen of klachten van klanten uit de EU en van de autoriteiten voor gegevensbescherming uit de EU, geven deze door aan de FG en overleggen met hem indien nodig.  

De FG adviseert het bedrijf over hoe vragen uit de EU behandeld moeten worden zodat deze conform zijn met de AVG in de EU. 

De twee rollen zijn verschillend en gescheiden, hoewel ze wanneer nodig samenwerken om ervoor te zorgen dat het bedrijf de wetgeving naleeft bij het verwerken van persoonsgegevens uit de EU en dat er geen belangenvermenging ontstaat.  

In dit voorbeeld heeft het bedrijf zowel een FG als een AVG-Vertegenwoordiger. Voor bedrijven die geen FG hebben, zou de AVG-Vertegenwoordiger alle vragen of klachten van klanten en gegevensbeschermingsautoriteiten rechtstreeks aan het bedrijf doorgeven.  

Samenvatting 

Een AVG-Vertegenwoordiger doet dienst als een aanspreekpunt voor gegevenssubjecten gegevensbeschermingsautoriteiten. Er zijn twee types: een EU AVG-Vertegenwoordiger en een VK AVG-Vertegenwoordiger.  

De vereiste voor een EU- of VK AVG-Vertegenwoordiger is hetzelfde voor zowel gegevensbeheerders als gegevensverwerkers die persoonsgegevens van inwoners van respectievelijk de EU of het VK behandelen en is niet afhankelijk van de omvang van de organisatie, maar meer van het volume van te verwerken gegevens.  

Samengevat is een AVG-Vertegenwoordiger vereist indien:  

• Een organisatie buiten de EU/VK gevestigd is en niet over een lokaal kantoor beschikt 
• De persoonsgegevens van inwoners uit de EU of het VK worden verzameld, opgeslagen of verwerkt 
• De gegevensverwerking niet incidenteel is en deel uitmaakt van de werking van het bedrijf 
• De gegevensverwerking verbonden is aan de levering van goederen of diensten, ongeacht of er een betaling uitgevoerd werd 
• De gegevensverwerking betrekking heeft op het monitoren van het gedrag van EU/VK-inwoners 
• Een organisatie gegevens van een bijzondere categorie verwerkt, zelfs indien dit af en toe is 

Als de onderneming buiten de EU gevestigd is en u gegevens van EU-inwoners verwerkt, hebt u een EU AVG-Vertegenwoordiger nodig, tenzij u beschikt over een lokale vestiging. Hetzelfde geldt als uw bedrijf buiten het VK gevestigd is en u gegevens verwerkt van inwoners uit het VK. U heeft dan een VK AVG-Vertegenwoordiger nodig. 

DPO Centre kan helpen met zowel EU als VK-Vertegenwoordiging

• Dekking in alle 27 EU-lidstaten en het VK 
• Toegang tot een van de grootste teams van ervaren professionals op het gebied van gegevensbescherming 
• Gespecialiseerde advieslijn, het bieden van hulp, aanbevolen acties en passende antwoorden 
• Zeer kosteneffectieve oplossing 

Wij hebben wereldwijd met meer dan 850 klanten samengewerkt in alle industriesectoren; we ondersteunen hen bij de naleving van de gegevensbescherming en om gemoedsrust te brengen. 

Aarzel niet om contact op te nemen door het onderstaande formulier in te vullen als u graag wil bespreken hoe we uw bedrijf kunnen helpen.  

Volg DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post AVG-vertegenwoordiger: hebt u er een nodig? appeared first on DPO Centre.

Het implementeren van een robuust ‘dataretentiebeleid’ is cruciaal en de AVG-principes van opslagbeperking, minimalisatie en nauwkeurigheid spelen hierbij een essentiële rol. 

Opslagbeperking: Ervoor zorgen dat persoonsgegevens niet langer dan nodig worden bewaard 

Minimalisatie: Alleen de minimaal benodigde gegevens verzamelen 

Nauwkeurigheid: Zorgen voor nauwkeurige, actuele en betrouwbare informatie 

Met andere woorden, de verwerking van persoonsgegevens moet toereikend, ter zake dienend en beperkt zijn tot hetgeen noodzakelijk is in verband met de specifieke doeleinden van de verwerking. U mag alleen persoonsgegevens verwerken die nodig zijn voor de activiteiten van uw organisatie. 

De AVG specificeert niet hoe lang ‘niet langer dan nodig’ is, dus hoe bepaalt u de bewaartermijnen voor verschillende soorten persoonsgegevens? 

Noodzaak is een belangrijke factor om te bepalen hoe lang persoonsgegevens bewaard mogen worden en wordt gerelateerd aan het doel van de verwerking. Met andere woorden, de reden waarom u persoonsgegevens gebruikt en bewaart, bepaalt hoe lang u ze mag bewaren. 

Bewaartermijnen hangen af van verschillende elementen, zoals de sector, het type gegevensverwerking en andere regelgevende vereisten die van toepassing zijn. In sommige omstandigheden is er echter een wettelijke bewaartermijn. Zo wordt de financiële administratie over het algemeen 7 jaar bewaard in overeenstemming met de meeste fiscaal-en civielrechtelijke bewaartermijnen. 

Onder de AVG is de belangrijkste vereiste voor het bewaren van gegevens dat de gekozen duur gerechtvaardigd moet zijn en dat deze beslissing moet worden gedocumenteerd. 

De documenten die u moet overleggen: 

• Een dataretentiebeleid – Dit geeft een algemeen overzicht van de datamanagementpraktijken en is een breed document dat beschrijft hoe de organisatie haar gegevens beheert, hoe lang ze bepaalde soorten gegevens bewaart en wat de rollen en verantwoordelijkheden van het personeel zijn. 
• Een dataretentieregeling – Dit is een meer gedetailleerd document waarin de exacte bewaartermijnen voor verschillende gegevenscategorieën worden gespecificeerd, evenals de actie die moet worden ondernomen aan het einde van de bewaartermijn. 

Verwerkingsverantwoordelijken, verwerkers en subverwerkers: rollen voor het bewaren van gegevens

Een verwerkingsverantwoordelijke is in de eerste plaats verantwoordelijk voor het bepalen van de bewaartermijn voor gegevens en beslist over het doel en de middelen voor de verwerking van persoonsgegevens. 

Gegevensverwerkers en subverwerkers zijn verantwoordelijk voor de verwerking van persoonsgegevens uit naam van de verwerkingsverantwoordelijke. Zij dienen de instructies van de verantwoordelijke op te volgen, met inbegrip van het naleven van de termijn voor het bewaren van gegevens, die vastgelegd dient te worden in de verwerkersovereenkomst. Hierin moet ook worden vermeld wat er met de persoonsgegevens zal gebeuren wanneer het contract beëindigd wordt. 

Als u de verwerkingsverantwoordelijke bent, moet u ervoor zorgen dat u beschikt over een uitgebreid beleid en plan voor het bewaren van gegevens en moet u dit meedelen aan alle gegevensverwerkers en subverwerkers die u aangesteld hebt, zoals cloudopslagbedrijven of marketingbureaus. Als verwerkingsverantwoordelijke draagt u de primaire verantwoordelijkheid voor het naleven van de wetgeving inzake de gegevensbescherming. 

Met welke uitdagingen op het vlak van gegevensbescherming worden organisaties geconfronteerd? 

1. De bewustwording van betrokkenen – Sinds de implementatie van de AVG, worden betrokkenen zich steeds meer bewust van hun rechten en wordt daarom de kans groter dat ze een beroep hierop doen richting uw bedrijf of organisatie. Het gaat om de rechten zoals o.a. het recht van inzage, recht van correctie, recht van verwijdering etc. Dit kan een beslag leggen op de structuur voor gegevensopslag van een organisatie, omdat die zodanig uitgerust dient te zijn dat een beroep op een recht van betrokkenen efficiënt behandeld en beantwoord kan worden binnen de wettelijk verplicht termijn. 
2. Gegevensvolume – Het kan moeilijk zijn om de enorme hoeveelheden gegevens te beheren die dagelijks ingezameld worden via verschillende kanalen, zoals e-mail, sociale media, websites en webwinkels. Om nog maar te zwijgen over papieren archiefstukken, die een grote organisatorische uitdaging kunnen vormen voor bedrijven.
3. Te lange bewaring – Zonder specifieke regels over termijnen, kunnen organisaties gegevens vaak te lang bewaren. Dat kan de operationele kosten voor de opslag, back-up en voor het terugvinden ervan verhogen. Er is ook een groter risico op reputatieschade als er zich een cyberaanval of inbreuk zou voordoen. Dit kan potentieel leiden tot corrigerende maatregelen door de toezichthouder.
4. Het wijzigende wettelijk kader – Tussen februari 2021 en mei 2023 zijn er 17 bijkomende landen die wetten inzake gegevensbescherming aangenomen hebben, wat het totaal wereldwijd op 162 brengt. Ten minste 20 andere landen hebben op dit ogenblik wetsvoorstellen ingediend, waaronder Nigeria en Pakistan. Hoewel deze allemaal beïnvloed worden door de AVG, verschilt de internationale wetgeving sterk en is deskundige kennis noodzakelijk om de naleving ervan te garanderen. Bovendien zijn er ook updates van bestaande wetten. Internationale organisaties kunnen het er lastig mee hebben om deze wijzigingen bij te houden, vooral bij het verwerken en opslaan van persoonsgegeven over verschillende rechtsgebieden heen. 

Voorstel voor oplossingen voor deze uitdagingen:

1. Gegevensvolume – Om steeds grotere volumes van persoonsgegevens te verwerken, moeten gegevensbeperkende maatregelen toegepast worden en mag enkel het strikt noodzakelijke verzameld worden. Een praktische tip is om een gegevensaudit uit te voeren. Dit houdt in dat u nagaat welke soorten persoonsgegevens verzameld worden door uw organisatie en dat geïdentificeerd wordt wat noodzakelijk is. Een webshop verzamelt bijvoorbeeld namen, adressen en betalingsgegevens voor de afhandeling van bestellingen. De winkel verzamelt echter ook geboortedata en de burgerlijke staat. Dit kan, afhankelijk van het soort verkochte producten, als buitensporig beschouwd worden en een inbreuk vormen op het beginsel van gegevensbeperking van de AVG. 
   Oplossing – Een gegevensaudit uitvoeren en gegevensbeperkende maatregelen implementeren
2. Te lange bewaring – Om te voorkomen dat informatie te lang bewaard wordt, is het belangrijk om een duidelijk plan te hebben voor gegevensopslag. Er kan gebruik gemaakt worden van geautomatiseerde tools om het plan te beheren en geanonimiseerde gegevens die niet meer noodzakelijk zijn te verwijderen. Werknemers moeten zich ook bewust zijn van het beleid en de plannen voor het bewaren van gegevens, zodat ze begrijpen wat ze met de gegevens moeten doen.
   Oplossing – Een duidelijk plan voor gegevensopslag implementeren
3. Het wijzigende wettelijk kader – Op de hoogte blijven van de laatste wetgeving inzake gegevensbescherming door advies te vragen aan een ervaren Functionaris Gegevensbescherming (FG). Een toegewijde FG zal uw beleid en plannen voor het bewaren van gegevens regelmatig herzien en bijwerken en ervoor zorgen dat deze voldoen aan de laatste regelgeving. 
   Oplossing – Een toegewijde FG inhuren 

Best practices voor gegevensopslag

Een doeltreffend beheer van persoonsgegevens kan helpen om risico’s te beperken en om de wetgeving inzake gegevensbescherming te blijven naleven.  

Hier zijn enkele handige tips voor uw strategie voor gegevensopslag: 

• Voer een gegevensaudit uit 
• Verzamel en verwerk enkel de gegevens die noodzakelijk zijn voor uw doeleinden 
• Implementeer een beleid voor gegevensopslag en een plan voor elk type verzamelde gegevens 
• Als gegevens langer of korter bewaard worden dan het bewaarplan, dient de reden hiervoor te worden gedocumenteerd 
• Evalueer de verwerkingsactiviteiten op regelmatige basis en voeg indien van toepassing nieuwe toe aan het plan 
• Leid het personeel op met betrekking tot de vereisten voor het beleid en plan, zorg voor bewustzijn van de operationele vereisten voordat gegevens verwijderd worden, met het besef dat het te snel verwijderen van gegevens ook als een inbreuk beschouwd kan worden.  
• Wanneer het aan te raden is om oudere gegevens te archiveren, kan dit in elektronisch formaat gedaan worden en in een afzonderlijke elektronische folder opgeslagen worden, die correct gelabeld is als een folder die archiefmateriaal bevat.  
• Papieren archiefstukken moeten geïndexeerd worden en zodra de termijn bereikt is, moeten ze veilig vernietigd worden, door middel van een dienstverlener voor vertrouwelijk afval of een papierversnipperaar.  

Zie ook het sjabloon voor het Bewaarbeleid in onze gratis downloadbare AVG Toolkit

Samenvatting

Voor bedrijven zijn er verschillende uitdagingen verbonden aan het bewaren van gegevens en het naleven van de AVG. De sleutel is om de doelstelling van de organisatie om persoonsgegevens te verzamelen te kennen en deze doelstelling af te stemmen op de principes voor gegevensbeperking, opslagbeperking en nauwkeurigheid.  

Documentatie is essentieel voor het naleven van de AVG en een uitgebreid beleid en plan voor gegevensopslag zijn vereist. Het is echter belangrijk om te onthouden dat een doeltreffend gegevensbeheer niet enkel betrekking heeft op deze naleving. 

Individuen zijn eerder geneigd om in zee te gaan met organisaties waarvan ze erop kunnen vertrouwen dat deze op verantwoorde wijze omgaan met hun persoonsgegevens. Investeren in robuust gegevensbeheer en tegelijkertijd over een goed gedefinieerd plan voor gegevensopslag beschikken is een win-winsituatie, zowel met betrekking tot de naleving, als voor de klanttevredenheid.  

Het DPO Centre heeft een van de grootste teams van FG’s en werkt met meer dan 850 organisaties over alle industriesectoren heen. 

Neem contact met ons op door het onderstaande formulier in te vullen als u hulp nodig hebt bij het naleven van de AVG-wetgeving of als u overweegt om uw gegevensbescherming uit te besteden.  

Volg het DPO Centre op LinkedIn voor meer nieuws en inzichten in gegevensbescherming 

The post Gegevensbewaring onder de AVG appeared first on DPO Centre.

Voor klinische proeven is het van cruciaal belang dat gezondheids- en medische gegevens als persoonsgegevens worden geclassificeerd, waardoor zij moeten voldoen aan de vereisten van de AVG. Bovendien worden gezondheids- en medische gegevens onder de AVG beschouwd als gegevens van een speciale categorie, wat betekent dat er extra beschermingslagen vereist zijn voor de verwerking. Ook als u de bij proeven gebruikte persoonsgegevens pseudonimiseert zodat personen niet onmiddellijk identificeerbaar zijn, is de AVG nog steeds van toepassing als het mogelijk is om deelnemers aan proeven opnieuw te identificeren aan de hand van aanvullende gegevens waarover u beschikt.

Hoewel het een EU-regelgeving is, zijn veel organisaties buiten de EU toch gebonden aan de regels van de AVG. De AVG is namelijk telkens van toepassing wanneer de persoonsgegevens van in de EU gevestigde personen worden verwerkt, ongeacht de plaats waar de organisatie is gevestigd. Dit wordt het “extra territoriale toepassingsgebied” genoemd.  Daarom moeten klinische proeven die worden uitgevoerd door niet-Europese organisaties voldoen aan de AVG als één van uw proefdeelnemers zich in de EU bevindt, zelfs als u geen vestiging in de EU hebt en zelfs als u gebruikmaakt van een in Europa gevestigde Contract Research Organisation (CRO).

Artikel 27 Vertegenwoordiging 

Als u geen vestiging in de EU hebt, moet u, als onderdeel van de naleving van de AVG, een EU-vertegenwoordiger aanwijzen. Daarnaast is er, vanwege Brexit, sinds 1 januari 2021 een aparte vereiste voor organisaties die de persoonsgegevens van inwoners van het VK verwerken, maar geen vestiging in het VK hebben, om een Vertegenwoordiger in het VK aan te stellen. Deze eisen voor Vertegenwoordiging vormen de focus van deze blogpost, waarin we u willen helpen bepalen of uw organisatie een Vertegenwoordiger nodig heeft en, zo ja, hoe deze u kan helpen.

EU-vertegenwoordiging is vastgelegd in Artikel 27 van de AVG. Organisaties die onder Artikel 27 vallen, moeten een EU-vertegenwoordiger aanwijzen die in de EU als contactpunt fungeert voor de betrokkenen en de toezichthoudende autoriteiten. Uw vertegenwoordiger kan een persoon of een organisatie zijn, maar moet gevestigd zijn in een van de EU-lidstaten waar de deelnemers aan uw proef – de zogeheten betrokkenen – verblijven. EU-vertegenwoordigers hebben een aantal verantwoordelijkheden:  

• Samenwerken met toezichthoudende autoriteiten
• De communicatie tussen uw organisatie en de betrokkenen vergemakkelijken
• Om een verwerkingsregister voor uw organisatie bij te houden, in overeenstemming met AVG Artikel 30

Naast deze kernverantwoordelijkheden moeten zij ook met u samenwerken aan een aantal andere taken, waaronder:

• Hun gegevens duidelijk vermelden op uw privacyverklaring
• Uw gegevensstromen begrijpen
• Vragen van betrokkenen en toezichthoudende autoriteiten vertalen en beantwoorden
• Het registreren en rapporteren van gegevensinbreuken met betrekking tot uw EU/UK-gegevensbetrokkenen
• Adviseren over kwesties inzake gegevensbescherming die van invloed zijn op uw organisatie

Als u alleen de persoonsgegevens verwerkt van betrokkenen die in één EU-lidstaat wonen, moet uw EU-vertegenwoordiger in die lidstaat gevestigd zijn. Indien u echter persoonsgegevens verwerkt van personen die in meerdere lidstaten wonen, kunt u ervoor kiezen uw EU-vertegenwoordiger in één van die landen te vestigen. Het is raadzaam het land te kiezen waar de meeste gegevens verzameld en verwerkt worden. Dit is simpelweg omdat de kans het grootst is dat u daar vragen of klachten ontvangt, zodat een EU-vertegenwoordiger die gemakkelijk bereikbaar is en dezelfde taal spreekt als deze betrokkenen, waarschijnlijk ook heel nuttig zal blijken.

VK Vertegenwoordiging 

Vanaf 1 januari 2021 behoort het Verenigd Koninkrijk niet langer tot de EU. Aangezien het VK de AVG echter in nationaal recht heeft omgezet, is de “UK GDPR” nu van kracht volgens het Britse recht. De GDPR van het VK bevat een soortgelijke vereiste als artikel 27 van de GDPR, wat betekent dat buiten het VK gevestigde organisaties die de persoonsgegevens van inwoners van het VK verwerken, een vertegenwoordiger voor het VK moeten aanwijzen die dezelfde rol vervult en dezelfde taken uitvoert, zoals hierboven vermeld. Dit komt bovenop de EU-vertegenwoordiger die volgens de AVG vereist is bij de verwerking van de gegevens van EU-inwoners.

Dus als u zowel in het VK als in één van de 27 EU-lidstaten proefdeelnemers hebt, maar u bent in geen van beide landen gevestigd, hebt u daarvoor een vertegenwoordiging in beide soorten landen nodig.

Volgende stappen 

Op grond van bovenstaande informatie moeten bedrijven die klinische proeven uitvoeren de volgende stappen nemen voor zowel het VK als de EU afzonderlijk:

Stap 1: Bepaal of de EU GDPR/UK GDPR op uw organisatie van toepassing is 

• • Verwerkt u de persoonsgegevens van personen die in de EU of het VK wonen?

Stap 2: Zo ja, dan is de AVG/UK GDPR van toepassing en dient u zich af te vragen of u over geschikte vestigingen in de EU of het VK beschikt? 

• • Zo ja, (en de vestiging is bereid de verantwoordelijkheid en mogelijke aansprakelijkheid voor de vertegenwoordiging op zich te nemen) dan hoeft u geen aparte vertegenwoordiger aan te wijzen
  • Zo nee, dan zult u waarschijnlijk een vertegenwoordiger moeten aanwijzen

Stap 3 (alleen EU): Verwerkt u de persoonsgegevens van personen uit slechts één of uit meerdere EU-lidstaten? 

• • Zo ja, dan moet u een EU-vertegenwoordiger in die staat aanwijzen
  • Indien meerdere, ga dan na waar u de meeste persoonsgegevens verzamelt en verwerkt, en benoem een EU-vertegenwoordiger in die staat

Ten slotte is het belangrijk te vermelden dat de verplichting om een EU-vertegenwoordiger te benoemen en de verplichting om een vertegenwoordiger in het VK te benoemen, ongeacht of het VK een positief besluit heeft genomen over de adequaatheid, nu van kracht zijn. Als u er nog geen hebt benoemd, moet u dat dus dringend doen. Gelukkig is de benoeming van een vertegenwoordiger een eenvoudig proces dat u binnen enkele dagen kunt uitvoeren.

The post AVG-vertegenwoordiging voor sponsors van Europese klinische proeven appeared first on DPO Centre.

Functionarissen voor gegevensbescherming krijgen een meer strategische rol op zich, die verder gaat dan het zorgen voor naleving van wet- en regelgeving. De AVG vereist dat veel organisaties een FG aanstellen. In het begin ging het vooral om het begrijpen van de wetgeving op het gebied van gegevensbescherming. Nu ligt de focus vooral op hoe we de organisatie verder kunnen bijsturen.

Luister naar het volledige interview met de Information Security Group.

Link naar podcast:

https://www.inforisktoday.in/interviews/changing-role-dpos-i-4455

The post De veranderende rol van de functionaris voor gegevensbescherming appeared first on DPO Centre.