Als officiële partner begeleidt en ondersteunt The DPO Centre klanten uit alle sectoren bij het certificeringsproces, waarmee organisaties kunnen aantonen dat ze zich voldoen aan de hoogste normen voor gegevensbescherming. GDPR-compliance kan hiermee een concurrentievoordeel worden 

Rob Masson, CEO van The DPO Centre, licht toe: ‘Het worden van een officiële Europrivacy-partner markeert een belangrijke stap in de voortdurende ontwikkeling en groei van ons bedrijf en de diensten die we leveren. Nu steeds meer organisaties op zoek zijn naar een formele certificering om aan te tonen dat ze voldoen aan de GDPR-richtlijnen, stelt dit partnerschap ons in staat om onze klanten nog meer waarde te bieden – door hen te ondersteunen bij de hoogste normen op het gebied van gegevensbescherming en het behalen van een officiele certificering waarmee ze zich kunnen onderscheiden. Het is een natuurlijke fit voor ons uitgebreide dienstenaanbod en positioneert The DPO Centre naast ’s werelds grootste en meest gerespecteerde organisaties op dit gebied. 

Wat is de Europrivacy-certificering?

Europrivacy is een betrouwbaar GDPR-certificeringsprogramma dat wordt erkend in meer dan 30 landen, waaronder alle EU- en EER-lidstaten. Het is van toepassing op een breed scala aan verwerkingsactiviteiten, van AI-systemen en grensoverschrijdende activiteiten tot sectorspecifieke bedrijfsfuncties.   

Europrivacy is ontworpen om in lijn te blijven met de veranderende regelgeving en vormt ook een aanvulling op standaarden zoals ISO 27001, waardoor organisaties een toekomstbestendige en gerespecteerde aanpak wordt geboden voor het naleven van gegevensbescherming. 

• Onafhankelijk en beheerd door een raad van deskundigen   

• Geschikt voor zowel verwerkingsverantwoordelijken als verwerkers bij bijna alle verwerkingsactiviteiten 

• Toepasbaar op opkomende technologieën zoals AI, IoT, blockchain   

• Inclusief online hulpmiddelen, tools en voortdurende ondersteuning 

Ontdek hoe de certificeringsdiensten van Europrivacy uw organisatie kunnen helpen vertrouwen op te bouwen, risico’s te beperken en zich te onderscheiden in een privacybewuste markt.   

Ben Seretny, Head of DPOs bij The DPO Centre, voegt hieraan toe: “Europrivacy-certificering is een krachtige volgende stap voor organisaties. Het biedt een formeel, erkend keurmerk van naleving, dat vooral waardevol is voor bedrijven met complexe of risicovolle verwerkingsactiviteiten.

Europrivacy-Symposium: Internationale doorgifte van medische gegevens

Ben Seretny zal deelnemen aan discussies op het volgende Europrivacy-symposium en spreken in een panel over de nieuwste informatie over naleving van gegevensbescherming bij de overdracht van medische gegevens.

• Sessie: Internationale doorgifte van medische gegevens
• Datum: Donderdag 15 mei 2025
• Tijd: 12:15 tot 13:00 CEST
• Panel: Voorgezeten door Leandro Pecchia (Università Camous Bio-Medico Roma), met onder andere het panel Hannah Mayer (US Department of Justice) en Ben Seretny (DPO en Head of DPO’s bij The DPO Centre).

Zie onze Evenementenpagina voor meer informatie.

______________________________________________________________________________________________________________________________

Ontdek hoe de certificeringsdiensten van Europrivacy uw organisatie kunnen helpen vertrouwen op te bouwen, risico’s te beperken en zich te onderscheiden in een privacybewuste markt. 

Europrivacy™® is een internationaal handelsmerk dat in verschillende rechtsgebieden is geregistreerd. 

The post The DPO Centre wordt een officiële partner voor Europrivacy-certificering appeared first on DPO Centre.

Beide beoordelingen zijn gericht op het evalueren van gegevensbeschermingsmaatregelen in landen buiten de Europese Economische Ruimte (EER) of het Verenigd Koninkrijk, maar verschillen in hun benadering. Het is belangrijk dat organisaties die internationale gegevensoverdracht uitvoeren, het verschil tussen TIA’s en TRA’s begrijpen, inclusief hun methodologieën, wanneer ze moeten worden uitgevoerd en hun juridische betekenis.

In deze blog geeft Katrina Leach, ervaren Data Protection Officer en Head of Data Protection Operations bij The DPO Centre, uitleg over TIA’s en TRA’s, wanneer ze nodig zijn en hoe bedrijven risico’s effectief kunnen beheren tijdens internationale gegevensoverdrachten.

Wat is een Transfer Impact Assessment?

Een Transfer Impact Assessment (TIA) wordt gebruikt voor het evalueren van de overdracht van persoonlijke gegevens naar landen buiten de Europese Economische Ruimte (EER). Het beoordeelt het wettelijke kader van het land van bestemming om ervoor te zorgen dat er voldoende gegevensbescherming is in overeenstemming met de AVG (Algemene verordening gegevensbescherming) van de EU.

Gegevensexporteurs die gebruikmaken van een artikel 46-overdrachtsmechanisme, zoals EU Standard Contractual Clauses (SCC’s) of Binding Corporate Rules (BCR’s), moeten een TIA doen wanneer ze persoonsgegevens doorgeven aan niet-EER-landen waarvoor geen besluit is genomen over een passend beschermingsniveau.

Wat is een Transfer Risk Assessment?

Een Transfer Risk Assessment (TRA) is de Britse versie van een TIA. Het zorgt ervoor dat landen buiten het Verenigd Koninkrijk een adequaat niveau van gegevensbescherming bieden in overeenstemming met de Britse wetgeving inzake gegevensbescherming. Een TRA richt zich specifiek op de risico’s voor de rechten en vrijheden van individuen als gevolg van de gegevensoverdracht.

Organisaties moeten een TRA doen wanneer ze gegevens buiten het VK overdragen met behulp van een International Data Transfer Agreement (IDTA), EU Standard Contractual Clauses (SCC’s) met UK Addendum, of Binding Corporate Rules (BCR’s).

Moet een organisatie een TIA of TRA doen als ze al gebruikmaakt van SCC’s of IDTA?

Ja! Overdrachtsmechanismen zoals Standard Contractual Clauses (SCC’s) worden gebruikt om een veilige internationale overdracht van gegevens makkelijker te maken, maar TIA’s en TRA’s beoordelen of deze mechanismen voldoende bescherming bieden voor persoonsgegevens tijdens de overdracht.

Volgens de EU Standard Contractual Clauses (SCC’s), Binding Corporate Rules (BCR’s), en de UK International Data Transfer Agreement (IDTA) en UK Addendum, moeten exporteurs en importeurs van gegevens een TIA (EU) of TRA (VK) uitvoeren. Door deze overdrachtsmechanismen in hun overeenkomsten op te nemen, verplichten organisaties zich er contractueel toe om deze beoordelingen uit te voeren.

Moeten bedrijven die gegevens overdragen naar landen buiten de EU en het VK beide beoordelingen uitvoeren?

Nee, bedrijven hoeven niet zowel een TIA als een TRA te doen. De specifieke beoordeling die nodig is, hangt af van het overdrachtsmechanisme dat wordt gebruikt.

• Bij overdracht vanuit het VK: De Information Commissioner’s Office (ICO) vereist dat organisaties een TRA doen om het risico van de overdracht te beoordelen als ze gebruik maken van de Britse IDTA of BCR’s. Als de organisatie echter gebruik maakt van SCC’s uit de EU met UK Addendum, staat de ICO het gebruik van een TIA toe. Dat maakt het voor organisaties die persoonsgegevens uit het VK internationaal overdragen makkelijker om aan de eisen te voldoen.
• Bij overdracht vanuit de EER: Organisaties moeten een TIA uitvoeren om te beoordelen of het gekozen overdrachtsmechanisme, zoals een SCC, voldoende bescherming biedt in het land van bestemming.

Het is belangrijk om te weten dat een TRA die wordt uitgevoerd onder de regelgeving van het Verenigd Koninkrijk door de EU-autoriteiten niet wordt beschouwd als een gelijkwaardige vervanging voor een TIA.

Kunnen er juridische gevolgen zijn voor organisaties als ze geen TIA of TRA uitvoeren?

Organisaties kunnen juridische gevolgen ondervinden als ze internationale gegevensoverdrachten niet goed beschermen. Hoewel het onder de AVG niet verplicht is TIA’s en TRA’s te doen, worden ze algemeen erkend als essentiële hulpmiddelen om aan te tonen dat er voldoende bescherming is bij internationale gegevensoverdrachten. Als de risico’s bij deze overdrachten niet goed worden beoordeeld en aangepakt, kan dit leiden tot niet-naleving, wat mogelijk zorgt voor boetes of handhavingsacties door toezichthouders.

Hoe vaak moeten bedrijven TIA’s en TRA’s voor lopende contracten opnieuw beoordelen?

De ICO en de European Data Protection Board (EDPB) specificeren niet hoe vaak TIA’s of TRA’s opnieuw moeten worden beoordeeld, maar beide benadrukken het belang van regelmatige beoordelingen om ervoor te zorgen dat de regelgeving rondom gegevensbescherming wordt nageleefd.

De ICO van het VK benadrukt de noodzaak om TRA’s opnieuw te beoordelen als er belangrijke veranderingen zijn, zoals updates van wetten voor gegevensbescherming, veranderingen in de aard van gegevensoverdrachten of wijzigingen in contractuele relaties.

De EDPB van de EU beveelt aan dat gegevensexporteurs, in samenwerking met importeurs, op de hoogte blijven van de ontwikkelingen in het ontvangende land, waaronder wijzigingen in het wettelijke kader of praktijken die gevolgen hebben voor de effectiviteit van overdrachtsinstrumenten en aanvullende maatregelen.

Deze regelmatige controles zorgen voor voortdurende naleving en helpen nieuwe risico’s aan te pakken die gepaard gaan met internationale gegevensoverdracht.

Wat kunnen organisaties doen om te zorgen voor effectieve TIA’s en TRA’s?

Om ervoor te zorgen dat TIA’s en TRA’s alle noodzakelijke aspecten van gegevensbescherming afdekken, moeten organisaties de methodologie van de toezichthouders aanhouden:

• De Aanbevelingen 01/2020 van de EDPB bevat een 6-stappen aanpak voor het uitvoeren van Transfer Impact Assessments
• De Transfer Risk Assessment Tool van de ICO

Slotopmerkingen over TIA’s en TRA’s

Transfer Impact Assessments (TIA’s) en Transfer Risk Assessments (TRA’s) zijn waardevolle hulpmiddelen om te evalueren of er voldoende gegevensbeschermingsmaatregelen zijn getroffen voor internationale overdrachten, en helpen organisaties om potentiële risico’s te vinden en aan te pakken.

Beide beoordelingen evalueren of het land van bestemming een niveau van gegevensbescherming biedt dat gelijkwaardig is aan het niveau dat vereist is onder de AVG. Deze beoordelingen vormen een aanvulling op overdrachtsmechanismen, zoals Standard Contractual Clauses (SCC’s) of Binding Corporate Rules (BCR’s), door eventuele risico’s voor gegevensbescherming bij internationale overdrachten te vinden en aan te pakken.

Als deze beoordelingen niet worden uitgevoerd, bestaat het risico dat persoonlijke gegevens onvoldoende worden beschermd in landen van bestemming, wat mogelijk een schending is van de AVG. Het uitvoeren van TIA’s en TRA’s is essentieel voor het vinden en aanpakken van risico’s, het zorgen voor de juiste waarborgen, en het handhaven van individuele rechten op het gebied van gegevensbescherming. Regelmatige herbeoordeling laat verantwoording zien, behoudt het vertrouwen van de klant en zorgt voor naleving van de wetten en regels rondom internationale gegevensoverdracht.

Misschien gemist… 

• Due diligence van de bank: checklist gegevensbescherming voor dienstverleners
• GDPR DPO-Vereisten: Wat kwalificeert als grootschalige verwerking?
• Live Gezichtsherkenning en naleving van gegevensbescherming

Mis de laatste updates over gegevensbescherming niet – blijf op de hoogte met onze tweewekelijkse nieuwsbrief, De DPIA

The post Omgaan met internationale gegevensoverdracht: TIA’s vs TRA’s appeared first on DPO Centre.

In deze blogpost verduidelijken we wat het ‘op grote schaal’ verwerken van gegevens betekent en geven we praktische richtlijnen voor het bepalen of u een DPO nodig hebt. Maar ook als uw organisatie niet wettelijk verplicht is om een Functionaris gegevensbescherming aan te wijzen, kan het aanstellen van een DPO wel de interne processen stroomlijnen en zorgen voor vertrouwen bij klanten en stakeholders door te laten zien dat uw organisatie zich actief inzet voor het beschermen van gegevens. 

In deze blogpost bedoelen we met de term ‘AVG’ zowel de Europese AVG (Engels: GDPR) als de GDPR van het Verenigd Koninkrijk. Hoewel deze wetten in essentie hetzelfde beogen, zijn er toch enkele belangrijke verschillen, bijvoorbeeld wat betreft gegevensoverdracht . We raden aan om een professional op het gebied van gegevensbescherming te raadplegen om correcte naleving te garanderen. 

Wanneer is een Functionaris gegevensbescherming wettelijk vereist? 

Volgens Artikel 37 van de AVG zijn organisaties verplicht om een Functionaris gegevensbescherming of DPO aan te wijzen als: 

• Ze een publiek orgaan of publieke autoriteit zijn (met uitzondering van rechtbanken die in hun juridische hoedanigheid optreden) 
• De belangrijkste verwerkingsactiviteiten bestaan uit een regelmatige en systematische monitoring op grote schaal van betrokken personen 
• Ze op grote schaal specifieke soorten gegevens verwerken 

Een organisatie kan een medewerker aanwijzen als DPO of ervoor kiezen deze taak uit te besteden aan een externe partij. Lees Hiring a Data Protection Officer – internal vs outsourced voor meer informatie.  

Een enkele DPO kan een groep bedrijven, verschillende publieke autoriteiten en verenigingen vertegenwoordigen. 

Deze criteria zorgen ervoor dat de organisaties die te maken hebben met een complexe gegevensverwerking of het verwerken van gegevens met een hoog risico, beschikken over een onafhankelijke professional die verantwoordelijk is voor de naleving van de gegevensbeschermingswetgeving.  

Wat telt als ‘op grote schaal’ verwerken? 

Hoewel in de AVG niet expliciet vermeld wordt wat beschouwd wordt als verwerking ‘op grote schaal’, bieden individuele wetgevers wel specifieke richtlijnen. 

De wetgevende instantie in het VK,, het Information Commissioner’s Office (ICO), stelt voor dat organisaties rekening houden met de volgende factoren: 

• Aantal betrokkenen: Het verwerken van de gegevens van een significant aantal individuen 
• Gegevensvolume: Het verwerken van omvangrijke hoeveelheden persoonsgegevens 
• Reikwijdte van de gegevens: Het verwerken van verschillende soorten gegevens  
• Duur en frequentie: Betrokken zijn bij voortdurende of frequente gegevensverwerkingsactiviteiten 
• Geografische reikwijdte: Actief zijn in meerdere regio’s of landen 

Het is belangrijk om te weten dat u niet aan alle bovengenoemde factoren hoeft te voldoen om gezien te worden als verwerker op grote schaal; een combinatie van een paar van deze factoren kan voldoende zijn. De specifieke omstandigheden van het verwerken van de gegevens bepaalt of het wordt gezien als ‘op grote schaal’, en het raadplegen van een professional op het gebied van de gegevensbescherming is aan te raden om ervoor te zorgen dat u de regels juist naleeft. 

Voorbeelden van verwerken op ‘grote schaal’

Hieronder staan een paar sectorspecifieke voorbeelden van verwerking op grote schaal.  

• Healthcare: Een ziekenhuis verwerkt verschillende soorten gegevens van duizenden patiënten, zoals de medische gegevens van patiënten, verzekeringsinformatie en afspraakgeschiedenis. 
• Financiële sector: Een bank verwerkt de financiële transacties en rekeninginformatie van miljoenen klanten. 
• Technologiesector: Een aanbieder van cloudopslag verwerkt en bewaart grote hoeveelheden bestanden, foto’s en gebruikersinformatie van personen uit meerdere landen. 
• Retail: Een keten kledingwinkels verwerkt de aankoopgeschiedenis, de betaalgegevens en de verzendgegevens van miljoenen klanten. 
• Education: Een universiteit verwerkt veel verschillende gegevens, waaronder de aanmeldingen van studenten en de academische gegevens, financiële gegevens en gezondheidsinformatie van duizenden studenten. 
• Liefdadigheidsinstelling: Verzamelt en verwerkt uitgebreide gegevens, zoals de bedragen die geschonken worden, contactgegevens van donateurs en gegevens van de begunstigde organisaties. 

Samenvatting

Goed begrijpen of uw organisatie doet aan verwerking op grote schaal is van cruciaal belang voor het bepalen of een Functionaris gegevensbescherming (Data Protection Officer of DPO) nodig is. Onder de AVG zijn publieke autoriteiten, organisaties die systematisch en op grote schaal individuen monitoren, of organisaties die grote hoeveelheden gevoelige gegevens verwerken verplicht om een DPO aan te stellen. Door te denken aan factoren als het aantal betrokkenen, gegevensvolume, de frequentie van het verwerken en de geografische reikwijdte, kunt u goed beoordelen wat uw verplichtingen zijn en zorgen voor een juiste naleving. 

Ook als uw organisatie niet wettelijk verplicht is om een DPO aan te stellen, kan het uw kader voor het beveiligen van uw zakelijke gegevens wel versterken. Ook geeft het blijk van een proactieve houding ten opzichte van de vereiste compliance. 

Misschien gemist… 

• Due diligence van de bank: checklist gegevensbescherming voor dienstverleners
• Inzet van Live Facial Recognition en naleving van de gegevensbescherming
• De toepassing van de AVG op oude gegevens

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post AVG-vereisten voor een Functionaris gegevensbescherming: wat telt als op grote schaal verwerken? appeared first on DPO Centre.

Voordat er contracten voor uitbestedingen worden afgesloten, moeten banken een grondige due diligence van de gegevensbescherming uitvoeren voor derde partijen, zoals dienstverleners op het gebied van betalingen, verzekeringen en kredieten. Banken moeten de gevoelige klantgegevens goed beschermen en tegelijkertijd controleren of hun partners ook dezelfde hoge standaarden naleven. Non-compliance kan resulteren in hoge boetes en reputatieschade. Een rigoureuze due diligence is dus van essentieel belang. 

In deze blogpost worden de belangrijkste gebieden geschetst die banken tijdens het due diligenceproces kritisch bekijken. Daarnaast bespreken we veelvoorkomende valkuilen en stappen die dienstverleners kunnen nemen om zich voor te bereiden op een succesvolle samenwerking in deze streng gereguleerde sector.  

Voor de doeleinden van deze blogpost verwijst de Algemene Verordening Gegevensbescherming (AVG, of GDPR) naar zowel de Europese AVG als de GDPR/AVG van het VK. Hoewel de wetgeving in grote lijnen hetzelfde is, zijn er een aantal belangrijke verschillen en we raden u aan om een functionaris gegevensbescherming te raadplegen om er zeker van te zijn dat u de wetten juist naleeft

Waarom gegevensbescherming voor banken van belang is​

Regelgevende kaders​

Banken opereren binnen strenge regelgevende kaders. Er zijn sectorspecifieke wetten waaraan hun activiteiten moeten voldoen, waaronder regels voor financieel gedrag die de eerlijke behandeling van klanten vereisen. Ook zijn banken onderworpen aan wetgeving inzake de gegevensbescherming, zoals de AVG, die de veiligheid en vertrouwelijkheid van klantgegevens waarborgt. 

De standaarden van de FCA (Financial Conduct Authority) overlappen met gegevensbeschermingswetten aangezien dienstverleners verplicht zijn te zorgen voor een robuuste governance, operationele weerbaarheid en beveiligde praktijken voor gegevensverwerking. Banken beoordelen de naleving van de dienstverlener van zowel de regels van de FCA als de AVG om te garanderen dat de klantgegevens goed beveiligd zijn, de risico’s zo klein mogelijk worden gehouden en het vertrouwen behouden blijft door een krachtige respons bij een incident en de beheerkaders van de derde partijen. 

Non-compliance kan leiden tot hoge boetes en verstoringen van de activiteiten. Het is voor banken dus van cruciaal belang om ervoor te zorgen dat hun partners de hoge standaarden voor gegevensbescherming naleven. 

Vertrouwen van klanten​

In de financiële dienstverleningssector speelt het vertrouwen van klanten een cruciale rol. Een datalek kan resulteren in aanzienlijke reputatieschade. Klanten verwachten immers dat hun persoonsgegevens en financiële gegevens door banken en hun partners zo zorgvuldig mogelijk verwerkt worden. 

Een effectieve samenwerking tussen banken en externe dienstverleners vraagt om een beveiligde en naadloze flow van gegevens. Dienstverleners moeten kunnen aantonen dat zij tijdens elke fase de gegevens effectief kunnen verwerken en beveiligen, van het verzamelen tot het vernietigen. 

De belangrijkste gebieden waar banken bij de due diligence van de gegevensbescherming aandacht aan besteden

Om te voldoen aan de strenge standaarden van financiële instellingen moeten dienstverleners erop voorbereid zijn om de volgende essentiële gebieden aan te pakken: 

Gegevenskwaliteitsbeheer

Banken controleren op een robuust beheer van de gegevens, inclusief duidelijk beleid voor het verwerken van de gegevens. Dienstverleners moeten ervoor zorgen dat hun beleid duidelijk is over het volgende: 

• De methoden voor het verzamelen, bewaren en delen van gegevens binnen de organisatie 
• Procedures voor gegevensclassificatie, toegangscontroles en levenscyclusbeheer 

Compliancekaders

Banken willen doorgaans bewijs zien dat hun partners de relevante gegevensbeschermingswetgeving zoals de AVG naleven. Dit bewijs kan bestaan uit het bekijken van de gedocumenteerde compliancemaatregelen, zoals de Data Protection Impact Assessments (DPIA’s), de Record of Processing Activity (RoPA) en auditgegevens. 

Beveiligingsmaatregelen

Het is voor banken van vitaal belang om ervoor te zorgen dat hun partners beschikken over sterke beveiligingsmaatregelen om zich te beschermen tegen datalekken. De meest geschikte technische beschermingsmaatregelen zijn versleuteling, beveiligde toegangscontroles en beveiligingsaudits. 

Respons bij een incident en beheer van een lek

Banken verwachten dat dienstverleners over goed gedocumenteerde incidentresponsplannen beschikken waardoor in het geval van een datalek snel actie genomen kan worden. Dienstverleners moeten duidelijk gedefinieerde beleidsmaatregelen en protocollen opstellen met gedocumenteerd bewijs van het afhandelen van incidenten en oplossingen, samen met een bewijs dat de protocollen regelmatig getoetst worden. 

Beheer van een derde partij

Als de dienstverleners gebruik maken van subverwerkers of andere derde partijen, zullen banken waarschijnlijk ook beoordelen hoe deze relaties beheerd worden. Het is belangrijk om een due diligence uit te voeren van alle leveranciers en externe partijen in de toeleveringsketen en om robuuste contracten te hebben met alle subverwerkers inclusief clausules met betrekking tot gegevensbescherming. 

Checklist gegevensbescherming voor dienstverleners

• Documenteer en communiceer duidelijk hoe de klantgegevens verzameld, verwerkt en gedeeld worden 

• Behoud een actuele inventaris van de gegevens en classificeer ze op basis van gevoeligheid 

• Zorg voor de relevante certificeringen, zoals ISO 27001, om uw toewijding aan informatiebeveiliging aan te tonen 

• Zorg voor regelmatige trainingen voor het personeel met betrekking tot de best practices van gegevensbescherming en cyberbeveiliging. 

• Ontwikkel en test een robuust plan voor incidentrespons, inclusief meldprocedures in het geval van een lek 

• Implementeer een uitgebreid risicobeheerprogramma voor derde partijen 

• Bereid u voor op audits door gedetailleerde gegevens bij te houden aangaande de gegevensverwerkingsactiviteiten en de beveiligingsmaatregelen 

In de tabel hieronder hebben we verdere richtlijnen uiteengezet: 

Veelvoorkomende rode vlaggen waar banken op letten

Banken zijn goed in staat om de zwakke plekken in het gegevensbeschermingskader van de dienstverlener aan te wijzen. Veelvoorkomende rode vlaggen zijn: 

• Verouderd of ontbrekend gegevensbeschermingsbeleid 

• Lacunes in de gegevensinventaris of overzichten 

• Zwakke technische beveiligingsmaatregelen (bijv. geen versleuteling) 

• Geschiedenis van een zwakke respons bij een lek of afwezigheid van een incidentenlog 

• Niet-naleving van de AVG Artikel 28, vereisten voor leveranciersovereenkomsten 

Samenvatting 

Robuuste gegevensbescherming is essentieel voor alle dienstverleners die werken met betalingen, verzekeringen en kredieten en die willen samenwerken met een van de grote banken. Naast compliance kan due diligence uw organisatie versterken en u helpen om een reputatie op te bouwen als een vertrouwde partner in de financiële dienstverleningssector. 

Om zich voor te bereiden op de due diligence dienen dienstverleners een interne audit uit te voeren om lacunes in hun gegevensbeschermingskader op te sporen en de veelvoorkomende rode vlaggen aan te pakken, zoals incompleet beleid of gebrekkig toezicht op een leverancier. Het raadplegen van gegevensbeschermingsexperts kan de processen verfijnen en helpen om de praktijk af te stemmen op de standaarden van de sector. 

 Als uw bedrijf baat zou kunnen hebben bij deskundig advies op het gebied van gegevensbescherming, neem dan contact met ons op voor meer informatie over hoe onze externe diensten uw bedrijf kunnen ondersteunen. 

Misschien gemist… 

• Checklist gegevensbescherming voor fusies en overnames 
• Leadgeneratie en de AVG: is uw compliance op orde? 
• Naleving van de AI Act: Wat u moet weten 

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Due diligence van de bank: checklist gegevensbescherming voor dienstverleners appeared first on DPO Centre.

Maar desondanks deze voordelen brengt LFR-technologie ook significante uitdagingen met zich mee op het gebied van gegevensbescherming en naleving, waar bedrijven mee aan de slag moeten voordat ze gebruik maken van deze technologie. 

In deze blog duiken we in de uitdagingen van LFR-implementatie en naleving van de gegevensbescherming. Met behulp van een scenario uit het nachtleven, leggen we uit hoe bedrijven deze uitdagingen het hoofd kunnen bieden en tegelijkertijd het maximale uit de voordelen van de technologie kunnen halen wat betreft veiligheid en beveiliging. 

Beveiligingsuitdagingen het hoofd bieden met LFR in een avondeconomie

Het nachtleven betekent enkele unieke uitdagingen voor het beveiligingsbeheer. Clubs, bars en andere gelegenheden hebben vaak moeite met het identificeren van personen die geband zijn of die een veiligheidsrisico inhouden. Meestal baseert men zich sterk op het menselijk geheugen, dat, zeker in lastige omstandigheden zoals in slecht verlichte, drukke omgevingen, gevoelig is voor het maken van fouten. 

Daar komt LFR-technologie mooi van pas. Door het combineren van LFR-software met bodycams (Body Worn Video of BWV), kunnen beveiligers snel en nauwkeurig potentiële bedreigingen opsporen. Maar deze technologie komt met zijn eigen unieke set privacykwesties met betrekking tot gegevensbescherming. 

De belangrijkste uitdagingen van LFR-inzet in de avondeconomie

• Suboptimale omstandigheden – een belangrijke uitdaging bij het inzetten van LFR in het nachtleven is dat de omstandigheden vaak verre van ideaal zijn. Het vastleggen van meerdere gezichten in een slecht verlichte, drukke en dynamische omgeving kan invloed hebben op de nauwkeurigheid en betrouwbaarheid van de technologie. 
• Perceptie van het publiek – onder het publiek is er een algemene terughoudendheid aangaande gezichtsherkenningstechnologie, wat kan leiden tot afkeer bij de inzet ervan en zo kan dit potentieel een effectieve implementatie van LFR-systemen belemmeren. 
• Verzamelen van te veel gegevens – traditionele CCTV-systemen die gebruik maken van LFR verzamelen vaak meer gegevens dan noodzakelijk, waardoor er zorgen ontstaan over inbreuk op de privacy, zoals bijkomende inbreuk en de principes van gegevensminimalisering. 
• Bewaren van de gegevens – het opslaan van gezichtsherkenningsgegevens voor langere periodes kan de gegevensbeschermingsregelgeving schenden en het risico op een datalek en uitdagingen bij het gebruik ervan vergroten. 

Wat is de oplossing?

Het goede nieuws is dat organisaties deze uitdagingen het hoofd kunnen bieden door een uitgebreide gegevensbeschermingsstrategie te ontwikkelen. Een strategie waarbij beveiliging en privacykwesties zorgvuldig worden afgewogen aan de hand van de volgende belangrijke praktijken: 

1. Transparantie en betrokkenheid van het publiek

Wees open en eerlijk over uw inzet van gezichtsherkenningstechnologie met iedereen die ervan op de hoogte dient te zijn. Schrijf een persbericht uit, houd een publieke consultatie en plan webinars in. Bied duidelijke informatie in de vorm van privacyverklaringen voor betrokkenen met informatie over het gebruik van de technologie, het doeleinde en de bijbehorende maatregelen. Zo bouwt u vertrouwen op en voorkomt u zorgen en bemerkingen vanuit het publiek. 

2. Gericht verzamelen van gegevens

In vergelijking met traditionele CCTV hebben BWV-camera’s een veel beperkter en nauwer inzetprofiel en daarom een smaller gezichtsveld. Dit voorkomt dat er veel te veel data worden verzameld, wat betekent dat er minder sprake is van bijkomende inbreuk en verstoring van de gegevensbeschermingsrechten van individuen die niet op een specifieke ‘watchlist’ staan. Daarnaast kunnen BWV-camera’s, wanneer zij correct worden ingezet, organisaties ook helpen om zich te houden aan het principe van gegevensminimalisering.

3. Efficiënte gegevensverwerking en -verwijdering

Het snel verwerken van de gegevens en het nagenoeg direct verwijderen van beelden die niet relevant zijn voor de vastgestelde ‘watchlist’ kan afrekenen met zorgen rondom buitensporig gegevensbehoud. Doordat alleen relevante gegevens worden bewaard, worden de risico’s omtrent gegevensbescherming ook minder. 

4. Zorgvuldig opgestelde watchlists

Het zorgvuldig beheren van een referentiedatabase van beeldmateriaal dat gebruikt wordt voor het matchen kan helpen om het bereik van de gegevensbescherming te limiteren. Ook zorgt het ervoor dat de gelimiteerde gegevens verwerkt worden en dat de nauwkeurigheid van potentiële matches groter is.

De waarde van Data Protection Impact Assessments (DPIA’s)

Voordat u gezichtsherkenningstechnologie gaat inzetten, dient u een volledig en gedetailleerd Data Protection Impact Assessment (DPIA) uit te voeren. Dit helpt bij het identificeren en verkleinen van de risico’s die gepaard gaan met het verwerken van persoonsgegevens, waaronder een speciale categorie gegevens zoals biometrische informatie. 

De belangrijkste elementen van een DPIA zijn o.a.:

• Gegevens over de aard, het bereik, de context en het doeleinde van de gegevensverzameling 

• Een assessment van de noodzaak en proportionaliteit van uw gegevensverwerking 

• Vaststellen van de risico’s en nemen van de vereiste maatregelen om ze te verkleinen 

• Gesprekken met relevante stakeholders waaronder de interne afdelingen, derde partijen zoals het bedrijf waar de LFR-technologie wordt ingezet als de privacygroepen en betrokkenen zelf 

Voor mij is de DPIA de hoeksteen van elke inzet van LFR-technologie. Als je het goed doet, reken je direct af met potentiële gegevensbeschermingskwesties waar je anders later tegenaan zou lopen. Het geheim? Verplaats jezelf in iedereen die ermee te maken krijgt – met name de individuele betrokkenen en vraag jezelf af hoe jij je zou voelen, en welke vragen je zou stellen, als jouw persoonsgegevens op deze manier verwerkt zouden worden.

Paul Collier, LFR-specialist, The DPO Centre 

Doe het fair en zorg voor compliance

Om ervoor te zorgen dat de LFR-systemen effectief en fair zijn en zich houden aan de compliancenormen, dient u organisatie ook het volgende te doen: 

• Grondig testen – test uw LRF-systemen uitgebreid, en betrek er derde partijen bij om de nauwkeurigheid en potentiële bias te beoordelen 

• Tijdig communiceren – geef het aan met borden en maak gebruik van unieke methoden zoals QR-codes die doorlinken naar de privacyverklaring en andere online en offline communicatiemethoden om mensen ervan op de hoogte te stellen waarom, wanneer, hoe en waar u gebruik maakt van gezichtsherkenningstechnologie. 

• Regelmatig evalueren – beoordeel regelmatig de prestaties, nauwkeurigheid en naleving van de gegevensbeschermingsregelgeving van uw LFR-systeem, inclusief het opnieuw erbij pakken van uw DPIA 

• Zet een toegankelijke klachtenprocedure op – bied duidelijke kanalen via welke individuen hun zorgen kunnen uiten of hun gegevensbeschermingsrechten kunnen uitoefenen. 

De toekomst van LFR-technologie en gegevensbescherming

Aangezien LFR-technologie in ontwikkeling is en nog op nieuwe manieren toegepast zal gaan worden, is het hebben van solide gegevensbeschermingsprocessen en -procedures belangrijker dan ooit. Organisaties moeten op de hoogte blijven van de nieuwe regels, of deze nu in de EU of het VK  door de AVG of GDPR aangedreven worden, of in de VS door de CCPA. 

Door de beveiligingsvereisten zorgvuldig af te wegen tegen de gegevensbeschermingsrechten, kunnen organisaties volop profiteren van de voordelen van LFR-technologie en tegelijkertijd de gegevensbeschermingswetgeving naleven. In de toekomst zal het verantwoordelijk inzetten van dergelijke technologieën – in welke sector dan ook – de sleutel zijn om het vertrouwen van het publiek te winnen en op lange termijn succesvol te zijn. 

Belangrijkste punten

1. Transparantie is van cruciaal belang – ga vroeg in het proces het gesprek aan met de betrokkenen en bied duidelijke informatie over het gebruik van LFR-technologie. 

2. Minimaliseer het verzamelen van overbodige gegevens – gerichte technologieën zoals BWV-camera’s voorkomen dat u een buitensporige hoeveelheid gegevens verzamelt. 

3. Beheer de gegevens efficiënt – zorg ervoor dat u de gegevens snel verwerkt en dat u gegevens die niet matchen snel verwijdert. 

4. Beoordeel het systeem regelmatig – door DPIA’s uit te voeren en periodiek uw LFR-systemen te evalueren. 

Lees voor een voorbeeld van LFR-inzet in de praktijk onze Reveal Media casestudy. 

Lees voor een beter begrip van een aantal van de belangrijkste kwesties omtrent LFR-technologie en BWV-camera’s dit interview met DPO-specialist Paul Collier, door het Nederlands Genootschap Functionarissen Gegevensbescherming.  

Neem contact op met ons team als u benieuwd bent hoe wij u kunnen helpen bij het inzetten van LFR-technologie en uw naleving van de gegevensbeschermingswetten kunnen ondersteunen. 

Misschien gemist… 

• Checklist gegevensbescherming voor fusies en overnames 
• Leadgeneratie en de AVG: is uw compliance op orde? 
• Naleving van de AI Act: Wat u moet weten 

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Inzet van Live Facial Recognition en naleving van de gegevensbescherming appeared first on DPO Centre.

In deze blogpost, Gegevensbescherming 2024: belangrijke trends en voorspellingen voor 2025, kijken we terug op de hoogtepunten van het jaar, waaronder de introductie van innovatieve wetgeving, baanbrekende besluiten door het Hof van Justitie van de Europese Unie, en de wereldwijde implementatie van sterkere privacy frameworks. We blikken ook vooruit op 2025, met de wereldwijde trends en aankomende wetgeving. 

Gegevensbescherming 2024: Belangrijke highlights uit het VK en de EU 

Dag DPDI, hallo DUA 

De Data Protection and Digital Information (DPDI) wet werd voor het eerst voorgesteld in juli 2022 en heeft als doel om het data protectionframework in het VK te hervormen. Er rezen echter een aantal zorgen, waaronder de potentiële impact ervan op de compatibiliteit tussen het VK en de EU, en wat voor effect dat zou hebben op organisaties die in beide jurisdicties actief zijn. Vanwege de ontbinding van het parlement op 30 mei 2024 werd de wet uiteindelijk officieel terzijde geschoven. 

Op 23 oktober 2024 werd de Data (Use and Access) Bill geïntroduceerd aan het Hogerhuis. De wetgeving heeft als doel om de behandeling van het VK van gegevensregulatie te moderniseren, en stelt wijzigingen voor aan de General Data Protection Regulation (GDPR) van het VK en de Data Protection Act (uit 2018), plus een herstructurering van de Information Commissioner’s Officer (ICO).  

Deze DUA-wet bouwt verder op veel van de ideeën, bepalingen en doelen uit de terzijde geschoven DPDI-wet, maar dan zonder enkele van de meest controversiële aspecten van dit eerdere voorstel. 

Lees meer over het perspectief van DPO op de DUA-wet in ons nieuwsbericht. 

EU AI Act treedt in werking

De Europese Artificial Intelligence Act (AI Act) is op 1 augustus 2024 officieel in werking getreden. Het is wereldwijd het eerste alomvattende juridische kader dat ernaar streeft de regels aangaande de ontwikkeling en het gebruik van kunstmatige intelligentiesystemen te harmoniseren. De wet hanteert een op risico’s gebaseerde benadering van de classificatie van AI-systemen, waarbij innovatie en regulatie tegen elkaar worden afgewogen om schade aan de gezondheid, veiligheid en fundamentele mensenrechten te voorkomen. 

Onder de AI Act zijn organisaties te scharen onder één van de zes aparte rollen; elke rol kent eigen verplichtingen. Voor compliance is het van cruciaal belang om de vereisten van de AI Act te begrijpen en te weten wat voor uw organisatie van toepassing is. 

Lees onze recente blogpost Naleving van de AI Act om meer te weten te komen over een aantal van de essentiële strategieën voor het naleven van de AI Act. 

Het VK tekent het eerste mondiale AI-verdrag

Op 5 september 2024 heeft Lord Chancellor Shabana Mahmood de Kaderconventie van de Europese Raad aangaande kunstmatige intelligentie getekend. Deze overeenkomst is het eerste juridisch bindende, internationale verdrag met betrekking tot AI en streeft ernaar om de beveiliging wat betreft de risico’s voor de mensenrechten, democratie en de wetgeving te versterken door een gemeenschappelijke benadering van AI-systemen te bieden. 

De deelnemende staten moeten aantonen dat zij het verdrag naleven door binnenlandse vereisten te implementeren rondom transparantie en het verminderen van de risico’s. In de King’s Speech bevestigde de overheid het plan om de regels aan te scherpen zodat deze in lijn zijn met de verplichtingen. 

EU-lidstaten zetten de NIS2-richtlijn om in wetgeving

Op 17 oktober 2024 moesten alle EU-lidstaten de Network and Information Systems Directive 2 (NIS2) omzetten in nationale wetgeving. Deze richtlijn heeft als doel om de weerbaarheid en beveiliging van de kritische infrastructuur in de EU te versterken door strengere beveiligingsvereisten in te stellen en het uitbreiden van de scope naar meer sectoren. 

Onder de NIS2 moeten organisaties die hieronder vallen hun cyberbeveiligingsmaatregelen verbeteren en procedures opstellen voor het rapporteren van incidenten. Om organisaties te ondersteunen bij het naleven van de vereisten, heeft het EU-agentschap voor cyberbeveiliging uitgebreide NIS2-handleidingen opgesteld. 

Belangrijke besluiten van het Europees Hof van Justitie

Het Hof van Justitie van de Europese Unie heeft dit jaar belangrijke besluiten genomen die implicaties hebben voor bedrijven wereldwijd. Twee noemenswaardige zaken zijn Lindenpotheke en de Koninklijke Nederlandse Lawn Tennisbond versus de Autoriteit Persoonsgegevens (KNLTB (C-621/22)). 

In de zaak Lindenpotheke oordeelde het Hof dat bedrijven de concurrentie kunnen aanklagen met betrekking tot AVG-schendingen onder bepaalde oneerlijke concurrentiewetten. Daardoor kunnen vermeende AVG-schendingen organisaties nu blootstellen aan potentiële zakelijke anti-concurrentiegeschillen, evenals aan particuliere rechtszaken  en mogelijke handhavingsmaatregelen. 

Als onderdeel van de uitspraak breidde het Hof ook de definitie van ‘gezondheidsgegevens’ uit, zodat nu ook informatie van online apotheekbestellingen hieronder valt, waaronder namen, verzendadressen en productgegevens. Dit kan invloed hebben op veel organisaties in de sectoren Life Sciences, de gezondheidszorg en consumentengoederen. Deze organisaties kunnen nu te maken krijgen met strengere AVG-regels met betrekking tot specifieke categoriegegevens.  

In de zaak KNLTB (C-621/22) bevestigde het Hof dat onder de AVG commerciële belangen gezien kunnen worden als Legitiem Belang, wanneer deze onderwerp zijn van specifieke restricties. Deze belangrijke uitspraak kan bedrijven waarschijnlijk meer flexibiliteit bieden bij het verwerken van persoonsgegevens voor commerciële doeleinden, maar de gegevensbeheerders moeten hierbij wel de strikte privacymaatregelen naleven.

Gegevensbescherming 2024: Belangrijke internationale ontwikkelingen

Colorado heeft als eerste staat een AI Act aangenomen

Colorado is de eerste Amerikaanse staat die een uitgebreide wet aangaande kunstmatige intelligentie heft aangenomen, en deed dit op 17 mei 2024 met het tekenen van de Colorado AI Act (CAIA). De CAIA heeft als doel om consumenten te beschermen door het risico op algoritmische discriminatie te verkleinen. Het vereist dat ontwikkelaars en gebruikers van hoog risico AI-modellen strenge compliance-maatregelen hanteren, zoals het implementeren van adequaat risicobeheerbeleid, het uitvoeren van impactassessments en het bieden van volledige transparantie tegenover wetgevers en het publiek. 

De CAIA treedt op 1 februari 2026 in werking en geeft zo organisaties de tijd om de noodzakelijke veranderingen in de bedrijfsvoering te begrijpen en door te voeren. 

Canadese INDU pauzeert beoordeling van de Bill C-27

Op 15 januari 2024 heeft de Europese Commissie de geschiktheid van Canada volgens de AVG verlengd, waarbij de voortdurende inspanningen om de gegevensprivacywetten te moderniseren werden opgemerkt. De Bill C-27 zal zorgen voor het bijwerken van delen van de Personal Information Protection and Electronic Documents Act (PIPEDA), en stelt nieuwe gedeeltes voor rondom strengere toestemmingsregels, meer rechten voor individuen, sterkere handhavingsmechanismes en AI-regelgeving. 

Echter, nu er in oktober 2025 een federale verkiezing aankomt, hebben bepaalde belanghebbenden hun zorgen geuit of de wet wel daarvoor aangenomen zal worden. Het Standing Committee on Industry and Technologie (INDU) heeft op 29 mei 2024 hun beoordeling van elk artikel gepauzeerd, en bevestigd dat deze pauze tot minimaal februari 2025 zal duren. 

Meer informatie over Bill C-27 

Quebecs Law 25 is in werking getreden 

De laatste bepalingen van Law 25 van Quebec zijn in 22 september 2024 in werking getreden. Deze wet versterkt de privacyrechten van individuen en heeft de vereisten voor organisaties bijgewerkt. De wet is van toepassing op alle bedrijven die de gegevens van inwoners van Quebec verzamelen, verwerken, gebruiken of openbaren, ongeacht de grootte, de omzet of de locatie van het bedrijf. 

Voor organisaties die hiermee te maken hebben, geldt onder andere het volgende: 

• Zij moeten een Functionaris gegevensbescherming aanwijzen 
• Zij moeten een proces instellen voor het geval van een lek 
• Zij moeten een uitgebreid privacybeleid implementeren 
• Zij moeten waar nodig een Privacy Impact Assessment uitvoeren 

Lees voor meer informatie over de verplichtingen onze blogpost: Quebecs Law 25: een handleiding voor ondersteuning en compliance.  

Ontwikkelingen op het gebied van internationale gegevensbescherming

In 2024 is het aantal gegevensbeschermingswetten wereldwijd significant toegenomen. Verschillende landen hebben nieuwe gegevensbeschermingswetten geïntroduceerd of ze hebben bestaande regels bijgewerkt om de privacy en gegevensbeveiliging te verbeteren. Noemenswaardige voorbeelden zijn o.a.: 

• Saudi-Arabië heeft een wet persoonsgegevensbescherming ingevoerd, met regels voor het verzamelen, verwerken en opslaan van gegevens 
• Australië heeft de Privacy and Other Legislation Amendment Act 2024 aangenomen, waarmee de privacywetten significant zijn aangescherpt en klaar zijn gemaakt voor de technologische ontwikkelingen 
• Kameroen heeft een wet persoonsgegevensbescherming ingevoerd, met als doel het moderniseren van de aanpak van het land van gegevensbescherming en het oprichten van een autoriteit persoonsgegevens. 

We zien ook dat het aantal beschermingen voor biometrische en neurale gegevens toeneemt. Californië heeft in mei de Senate Bill 1223 aangenomen en de House Bill 24-1058 in Colorado is in augustus in werking getreden; beide wetten breiden de definitie van ‘gevoelige gegevens’ uit zodat ook neurale en/of biometrische gegevens hieronder vallen. 

Ook Singapore heeft zijn wet persoonsgegevensbescherming bijgewerkt, zodat de regels voor het verzamelen en gebruiken van biometrische gegevens strenger zijn. Hier vallen ook vereisten voor expliciete toestemming en verbeterde beveiligingsmaatregelen onder. 

Meld u aan voor onze DPIA om op de hoogte te blijven van de ontwikkelingen op het gebied van de gegevensbeschermingswetgeving. 

Wereldwijde verschuiving naar AI governance

Er heeft een mondiale beweging plaatsgevonden richting een verantwoorde AI governance waarbij innovatie en veiligheid met elkaar verenigd worden. Meerdere landen hebben regels voorgesteld met een nadruk op gelijkaardige principes als die van de EU AI Act, zoals transparantie en risicobeheer. 

In de VS hebben senatoren de Content Origin Protection and Integrity from Edited and Deepfaked Media (COPIED) Act ontwikkeld, die erop gericht is om schadelijke deepfakes tegen te gaan door regels te stellen voor transparantie en zo creators in staat te stellen meer controle te hebben over hun werk. Als deel van de wet, moeten aanbieders van AI-tools creators in staat stellen om informatie over de oorsprong van hun werk aan te hechten. 

Op 9 september 2024 heeft China’s Technische Commissie voor de Standaardisatie van de Nationale Cyberveiligheid een framework voor veilig beheer van kunstmatige intelligentie gepubliceerd. Het framework is erop gericht om de veilige en ethische ontwikkeling en toepassing van AI-technologieën te garanderen, met aandacht voor inherente veiligheidsrisico’s die gepaard gaan met algoritmes, gegevens en AI-systemen. 

Voor organisaties is een effectief programma voor het beheer van AI cruciaal voor een verantwoordel en  en compliant gerichte inzet van AI. Het vermindert de risico’s en helpt organisaties om te voldoen aan de vereiste regels. Lees meer over wat AI governance voor uw bedrijf kan betekenen.  

Een blik op 2025: trends voor gegevensbescherming en wetten om in de gaten te houden

Toename van de consumentgegevensrechten 

Nu we richting 2025 gaan, verwachten we een sterkere nadruk op de gegevensrechten van consumenten. Deze trend wordt waarschijnlijk aangedreven door een hoger bewustzijn over privacykwesties, strengere regels en een grotere vraag naar transparantie. Bedrijven moeten prioriteit geven aan hun gegevensbeschermingsmaatregelen en zorgen voor naleving van de veranderende wetgeving om het vertrouwen van de consument te behouden en mogelijke boetes te voorkomen. 

Verbeterde cybersecurity

We verwachten in 2025 ook een significante groei te zien van cybersecurity. Volgens de Check Point Research was er in het tweede kwartaal van 2024 een jaarlijkse toename van 30% te zien in het aantal cyberaanvallen wereldwijd, met elke week 1.636 aanvallen per organisatie. Als resultaat daarvan gaat de sector cybersecurity waarschijnlijk substantieel groeien aangezien bedrijven prioriteit gaan geven aan het veiligstellen van hun digitale middelen.  

Nieuwe regels voor gegevensbescherming

De ontwikkelingen op het gebied van mondiale gegevensbeschermingswetten gaan ook in 2025 verder. In de VS worden 8 nieuwe privacywetten in verschillende staten van kracht: 

• Delaware Personal Data Privacy Act  
• Iowa Consumer Data Protection Act 
• Nebraska Data Privacy Act  
• New Hampshire Data Privacy Act  
• New Jersey Data Privacy Act  
• Tennessee Information Protection Act 
• Minnesota Consumer Data Privacy Act
• Maryland Online Data Protection Act (MODPA)  

Voor Canada is de hoop dat de INDU aan het begin van het jaar verder gaat met de beoordeling van de Bill C-27. Als deze wet goedgekeurd wordt voordat de federale verkiezing plaatsvindt, denkt wereldwijd privacy expert Constatine Karbaliotis dat het nog 18-24 maanden kan duren voordat de wet van kracht wordt. 

Lees meer over belangrijke privacy-updates in Canada en Noord-Amerika 

Belangrijke punten voor bedrijven in 2025

Nu 2025 op het punt van beginnen staat, moeten bedrijven ernaar streven voorop te blijven lopen op het gebied van gegevensbescherming door prioriteit te geven aan compliance strategieën, AI-beheer en internationale gegevensnaleving. 

Nalevingstrategieën 

Met de komst van nieuwe regels, zoals de voorgestelde DUA Bill in het VK en de NIS2-richtlijn, moeten bedrijven prioriteit geven aan naleving. Blijf op de hoogte van de mondiale en lokale gegevensbeschermingswetten, voer regelmatig audits uit, werk het gegevensbeschermingsbeleid bij en zorg ervoor dat alle werknemers volgens de laatste regels opgeleid zijn. 

AI governance 

De wereldwijde beweging richting AI-beheer, waaronder de toonaangevende AI Act van de EU, benadrukt het belang van robuuste kaders voor AI governance. Bedrijven moeten transparante AI-praktijken implementeren, regelmatig impactbeoordelingen uitvoeren en ervoor zorgen dat het gebruik van AI ethisch is. 

Internationale gegevensnaleving 

Met de internationale ontwikkelingen op het gebied van gegevensbescherming, zoals de Privacy and Other Legislation Amendment Bill 2024 in Australië en de Law 25 in Quebec, moeten bedrijven die wereldwijd actief zijn hun weg vinden in een complex web aan gegevensbeschermingswetten. Het ontwikkelen van en een uitgebreide internationale nalevingstrategie, met begrip van de lokale regels, vereisten voor grensoverschrijdende gegevensoverdracht en het bijhouden van actuele dossiers, is van cruciaal belang voor soepel verlopende activiteiten op de internationale markten. 

Bekijk voor meer informatie over te toekomst van gegevensbeheer en de nieuwe trends voor het komende jaar ons webinar: The new frontier: What’s up and coming in 2025? 

Misschien gemist… 

• De toepassing van de AVG op oude gegevens
• Naleving van de AI-wet Deel 4: Essentiële strategieën
• Wat is een DPA en waarom hebt u er een nodig?

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Gegevensbescherming 2024: belangrijke trends en voorspellingen voor 2025 appeared first on DPO Centre.

Het is belangrijk om te begrijpen dat de AVG op zowel oude als huidige gegevens van toepassing is, ongeacht op welk moment de persoonsgegevens oorspronkelijk verzameld zijn. Dit betekent dat u de vereisten van de wetgeving volledig dient te implementeren en voor alle gegevens die u bewaart, ongeacht wanneer deze verzameld zijn.  
 
In deze blogpost geven we u een beknopt overzicht van hoe u de gegevens die u hebt moet begrijpen in relatie tot de AVG, het bijwerken van uw retentiebeleid en het beoordelen van uw gegevens in verhouding tot de retentieperiodes. 

Lees voor meer informatie over de AVG en persoonsgegevens onze vorige blogpost:

• 5 dingen die u moet weten over gegevensbescherming

Begrijp de gegevens die u hebt

Het kennen van uw gegevenslandschap is een cruciale stap voor het naleven van de AVG en een oefening doorlopen om uw gegevens in kaart te brengen is voor dit proces essentieel. 

Bedrijven hebben vaak nog ergens oude gegevensverzamelingen liggen, met name in verouderde systemen die uitgefaseerd of vervangen zijn. Deze systemen kunnen gegevens bevatten die eerder over het hoofd gezien zijn. Veelvoorkomende voorbeelden zijn: 

• Gearchiveerde databases 
• Geëxporteerde gegevens vanuit verouderde systemen 
• SharePoint mappen van werknemers 
• Oude on-site/off-site opslagoplossingen 
• Archiefkasten 
• Opslag van het HR-archief 

Bekijk en werk uw retentiebeleid bij

Zodra u weet welke gegevens u hebt, bekijkt u uw huidige gegevensretentiebeleid. Zorg ervoor dat dit beleid up-to-date is en dat de vereisten van de AVG en de specifieke vereisten van uw organisatie erin terugkomen. Zo moeten de meeste HR-gegevens in Nederland 5 jaar bewaard worden nadat een werknemer niet meer in dienst is, voordat ze verwijderd mogen worden. 

Bekijk onze blogpost Gegevensbewaring onder de AVG voor meer informatie en tips over het implementeren van een effectief gegevensbewaringsbeleid. 

Beoordeel uw gegevens in verhouding tot uw huidige bewaarperioden 

Als bepaalde gegevens niet meer nodig zijn voor het doeleinde waarvoor ze oorspronkelijk verzameld zijn, vereist de AVG dat de gegevens op een veilige en beveiligde manier vernietigd worden. Zo wordt het risico op het bewaren van onnodige gegevens geminimaliseerd. 

Voor gegevens die nog binnen de huidige retentieperiode vallen en die nog nodig zijn, kunt u ook de afweging maken of de gegevens in hun huidige formaat opgeslagen moeten worden. Bijvoorbeeld, overweeg of het efficiënter is om fysieke dossiers om te zetten naar een digitaal formaat. Het bewaren van gegevens in de meest geschikte vorm verbetert de toegankelijkheid en ondersteunt de naleving van de gegevensbeschermingswetten. 

Samenvatting

De AVG is van toepassing op alle persoonsgegevens van inwoners van de EU, ongeacht de datum waarop de gegevens oorspronkelijk verzameld zijn. Om naleving te garanderen, moet u uw gegevens goed begrijpen door deze in kaart te brengen en alle verwerkte persoonsgegevens te lokaliseren, ook die in verouderde systemen. Vervolgens controleert u uw gegevensbewaarbeleid en werkt u dit waar nodig bij. Tot slot beoordeelt u uw gegevens en hun retentieperiode, en verwijdert u op een beveiligde manier gegevens die niet meer nodig zijn.  

De sleutel tot effectief gegevensbeheer is het begrijpen van het doel van uw organisatie voor het verzamelen van gegevens en dit afstemmen op de AVG-principes van zo min mogelijk gegevens verzamelen, beperkt opslaan en nauwkeurigheid.  

Als uw organisatie zou kunnen profiteren van aanvullende ondersteuning bij bepaalde aspecten van AVG-naleving, neem dan contact met ons op.

Misschien eerder gemist… 

• Naleving van de AI-wet Deel 4: Essentiële strategieën 
• Het begrijpen van risico’s inzake gegevensbescherming voor C-suite executives en senior leidinggevenden 
• Leadgeneratie en de AVG: is uw compliance op orde? 

The post De toepassing van de AVG op oude gegevens appeared first on DPO Centre.

Voor organisaties die AI-systemen ontwikkelen of inzetten, is het voorbereiden van compliance waarschijnlijk zowel een complex als veeleisend proces, in het bijzonder voor de organisaties die te maken hebben met hoog risico systemen. Maar compliance moet niet gezien worden als alleen een checklist met punten om af te vinken. Het is een kans om voorop te lopen bij verantwoordelijke AI-innovatie en zo vertrouwen op te bouwen bij zowel gebruikers als regelgevers. 

Door compliance te omarmen als katalysator voor een meer transparant gebruik van AI, kunnen bedrijven de regelgevende eisen omzetten in een concurrentievoordeel. 

Voordat we in de specifieke vereisten van de essentiële compliancestrategieën duiken, geven we eerst een kort overzicht van de belangrijkste punten die we eerder hebben besproken: 

De EU AI Act wordt in augustus 2026 van kracht

Er zijn bepaalde bepalingen die al eerder in werking treden, zoals het verbod op systemen die ongeoorloofde functies uitvoeren. Het is belangrijk dat organisaties ervoor zorgen dat ze zichzelf voldoende tijd en middelen gunnen om aan alle aspecten van de AI Act implementatiedeadlines te voldoen. 

Voor meer gedetailleerde tips over de deadlines, de risicogebaseerde classificatie en de nalevingsverplichtingen, kunt u de eerdere delen van deze blogserie lezen: 

Naleving van de AI Act blogserie

• Naleving van de AI Act: Wat u moet weten
• Naleving van de AI Act Deel 2: Wat is een activiteit met een ‘hoog risico’?
• Compliance met de AI Act Deel 3: Wie moet deze regels naleven en wat zijn de verplichtingen precies?

Laten we nu eens kijken naar een aantal essentiële strategieën die u kunt implementeren ter ondersteuning van uw naleving van de AI Act. 

Essentiële strategieën voor naleving van de AI Act 

1. Bewust maken en trainen van personeel

Alle organisaties die van plan zijn om AI-systemen te gaan gebruiken, in welke hoedanigheid dan ook, zouden wat tijd moeten besteden aan het overdenken van de potentiële impact van die systemen en aan het bewust maken en trainen van de werknemers. 

Training is essentieel om ervoor te zorgen dat alle teamleden hun rol voor de naleving begrijpen en goed toegerust zijn om de vereisten van de AI Act te implementeren. 

Een compleet trainingsprogramma moet de belangrijkste vereisten van de AI Act uitleggen en rolspecifieke informatie opnemen. AI-ontwikkelaars hebben bijvoorbeeld een grondigere technische training nodig, waar Compliance Officers zich meer kunnen richten op de documentatie en wettelijke verplichtingen. 

Het trainingsprogramma voor de werknemers moet toegesneden zijn op de specifieke risico’s die horen bij het soort gegevens dat verwerkt wordt en het beoogde gebruik van het systeem. Bijvoorbeeld: werknemers die werken met systemen die een grotere impact hebben op individuen, zoals systemen die beslissingen nemen over de kredietwaardigheid, hebben wellicht een meer uitgebreide training nodig dan werknemers die verantwoordelijk zijn voor minder gevoelige functies. 

2. Zorg voor een sterke governance 

Voor organisaties die systemen leveren of inzetten die geclassificeerd zijn als hoog risico of als General Purpose AI (GPAI), is het zorgen voor een sterke governance essentieel om naleving aan te tonen en te onderhouden. Zonder bepaalde elementen zullen organisaties met de specifieke vereisten van de AI Act worstelen en wellicht niet de benodigde nalevingsdocumentatie bijhouden. 

Om deze sterke basis van governance op te bouwen en te behouden, dienen organisaties goed te letten op de volgende belangrijke gebieden: 

• Implementeren van effectieve risico- en kwaliteitsbeheersystemen 
  Deze systemen zijn van cruciaal belang voor het toezicht op en het minimaliseren van de risico’s en om ervoor te zorgen dat problemen zo snel mogelijk vastgesteld en opgelost kunnen worden 

• Zorgen voor robuuste cyberbeveiliging en gegevensbescherming, zodat gevoelige persoonsgegevens beveiligd en beschermd zijn tegen datalekken 

• Ontwikkelen van verantwoordelijkheidsstructuren met duidelijke lijnen van verantwoordelijkheid, zodat de inspanningen op het gebied van naleving goed gecoördineerd en effectief zijn 

Monitoren van de AI-systemen op een regelmatige en doorlopende basis, en rapporteren over de prestaties en nalevingsstatus 

Het belang van robuuste cyberbeveiliging en gegevensbescherming 

Om te voldoen aan de strenge vereisten van de AI Act, dienen organisaties prioriteit te geven aan een sterke cyberbeveiliging en gegevensbescherming. Dit houdt in dat er effectieve risico- en kwaliteitsbeheersystemen worden ingevoerd, tot in de kern van uw activiteiten.  

Zonder deze praktijken lukt het organisaties wellicht niet om te voldoen aan de specifieke vereisten van de AI Act en zal het lastig worden om de overige vereiste nalevingsdocumentatie op te leveren en bij te houden. 

Wat betreft de cyberbeveiliging moet de uitvoering bestaan uit het implementeren van een robuuste infrastructuurbeveiliging met strikte toegangscontroles, een gedetailleerd plan hoe te reageren op een incident, en het regelmatig uitvoeren van beveiligingsaudits om kwetsbaarheden op te sporen. 

Wat betreft de vereisten voor gegevensbescherming van de AI Act, komen deze op een aantal gebieden en wat betreft belangrijke principes overeen met de Algemene Verordening Gegevensbescherming (AVG), met name wat betreft transparantie en verantwoordelijkheid. 

Waar de AVG gericht is op het beschermen van persoonsgegevens, gaat de AI Act over de bredere ontwikkeling en regulering van AI-systemen. Dit omvat niet alleen het beveiligen van persoonsgegevens, maar ook het beheersen van de algehele AI-risico’s om zo de eerlijkheid te waarborgen, schade te voorkomen en transparantie te stimuleren. 

U kunt de principes van de AVG en de huidige gegevensbeschermingspraktijken gebruiken als ondersteuning van de naleving van de AI Act door ‘Privacy by Design’ te integreren in uw AI-systemen, impact assessments uit te voeren voor AI-toepassingen met een hoog risico, en door een duidelijke documentatie bij te houden van de gegevensbeschermingsactiviteiten. 

3. Bereid u voor op de komende richtlijnen en templates 

Beschikbaar in de komende maanden – De EU ontwikkelt specifieke praktijkcodes en documentatietemplates om organisaties te helpen om te voldoen aan hun nalevingsverplichtingen.  

We zullen hierover updates geven in toekomstige blogposts zodra deze beschikbaar komen. 

4. U houden aan de ethische AI-principes en -praktijken

Hoewel de richtlijnen en praktische toepassingen van de AI Act nog gedefinieerd moeten worden, zijn de kernprincipes al duidelijk en weergegeven in verschillende verantwoordelijke en ethische AI-kaders. Voor organisaties die overwegen significant gebruik te maken van AI – met name als daar persoonsgegevens bij betrokken zijn of als het invloed heeft op individuen – is het van cruciaal belang om te begrijpen hoe een AI-systeem werkt, wat het beoogde doel is en wat de beperkingen ervan zijn. Deze aspecten documenteren is niet alleen in lijn met best practices, maar is ook een goede basis voor verantwoordelijkheid. 

Organisaties moeten er ook voor zorgen dat ze de transparantievereisten naleven onder de bestaande privacywetgeving, naast de specifieke vereisten van de AI Act. 

Daarnaast is het essentieel om een risicobeoordeling uit te voeren wat betreft de mogelijke impact van het AI-systeem op zowel individuen die het gebruiken als op de verantwoordelijkheid en reputatie van de organisatie mocht er iets misgaan. Deze proactieve benadering van AI-governance is zeer nuttig en kan voor het grootste deel geïmplementeerd worden zonder dat het nodig is dit toe te spitsen op specifieke regelgeving. 

5. Maak gebruik van de hulp van een expert  

Er zijn bepaalde middelen beschikbaar die u kunnen helpen bij uw nalevingstraject. 

De EU AI Act Compliance Checker is een tool die is ontworpen om organisaties te helpen verifiëren dat het AI-systeem voldoet aan de regelgevende vereisten. 

Maar let op: de nuances van de AI Act zijn complex. We raden daarom alle organisaties die twijfelen aan de reikwijdte van hun verplichtingen aan om het advies van een professional in te winnen. 

De belangrijkste punten 

• Om naleving van de AI Act te garanderen, moeten organisaties zich richten op kritieke gebieden, zoals het trainen van medewerkers, een robuuste governance en sterke cyberbeveiliging en gegevensbeschermingsmaatregelen 
• Het opnemen van ethische AI-principes en het behouden van de transparantie zijn essentiële factoren waar bedrijven rekening mee moeten houden bij het ontwikkelen van AI-systemen, vooral voor systemen die impact hebben op individuen en die persoonsgegevens verwerken 
• Hoewel de praktische richtlijnen voor de Act nog moeten verschijnen, kunnen bedrijven deze strategieën al proactief implementeren en zich voorbereiden op toekomstige updates   
  

Samenvattend: Vooruitlopen op de AI-wetgeving draait niet enkel om compliance – het is een kans om vertrouwen op te bouwen en koploper te worden op het gebied van verantwoordelijke AI-innovaties. 

Het DPO Centre heeft een volledige AI Audit en Impact Assessment service ontwikkeld. Als u ondersteuning nodig heeft bij het starten of met zelfvertrouwen voortzetten van uw AI-nalevingsinspanningen, neem dan contact met ons op. 

Dit hebt u misschien gemist… 

• Naleving van de AI Act: Wat u moet weten
• Naleving van de AI Act Deel 2: Wat is een activiteit met een ‘hoog risico’?
• Compliance met de AI Act Deel 3: Wie moet deze regels naleven en wat zijn de verplichtingen precies?

Volg het DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Naleving van de AI-wet Deel 4: Essentiële strategieën appeared first on DPO Centre.

De 2024 winnaars in alle categorieën waren:

• Oasys Now
• ICT Law – Privacy Simulation
• Publiek Vervoer Groningen Drenthe

De winnaars voor 2025 worden bekend gemaakt tijdens de Nationale Privacy Conferentie op Data Privacy Dag, 28 januari 2025.

Je kunt hier meer lezen over het evenement

The post Het DPO Centre is trotse sponsor van de Dutch Privacy Awards appeared first on DPO Centre.

The post Wat is een DPA en waarom hebt u er een nodig?  appeared first on DPO Centre.