• Home
  • Privacy- en databescherming

De Ultieme Handleiding voor Privacy- en Databescherming

De naleving van de steeds strengere wetten voor de bescherming van privacy vormt een aanzienlijke uitdaging voor elke organisatie die persoonsgegevens verzamelt, verwerkt, opslaat en deelt. Voor juridische afdelingen, compliance-professionals en interne onderzoekers leiden deze wetten tot een hele reeks nieuwe verplichtingen.

Met een eDiscovery-platform kunnen organisaties makkelijker blijven voldoen aan deze steeds strengere privacyregels. Slimme eDiscovery-functionaliteiten zorgen voor een betere, snellere, efficiëntere en minder verstorende afhandelingen van inzage verzoeken in het kader van de AVG of CCPA

Een inleiding tot privacy- en databescherming

De General Data Protection Regulation (GDPR), in Nederland bekend als de Algemene verordening gegevensbescherming (AVG) is op 25 mei 2018 van kracht geworden en verving toen alle voorgaande richtlijnen voor databescherming met een enkele wet die regelt hoe bedrijven de persoonsgegevens van EU-burgers moeten beschermen.

Op 28 juni 2018 lanceerde Californië als eerste Amerikaanse staat een uitgebreide wet voor de bescherming van de privacy van consumenten. Deze California Consumer Privacy Act (CCPA) wordt van kracht op 1 januari 2020.

De GDPR/AVG is een van de omvangrijkste databeschermingswetgeving ter wereld en reikt tot ver buiten de Europese grenzen. En aangezien de economie van Californië de op vier na grootste wereldeconomie ter wereld is, valt het te verwachten dat ook de impact van de CCPA wereldwijd merkbaar zal zijn.

Gezien hun omvang en brede reikwijdte hebben de hedendaagse privacywetten aanzienlijke invloed op de manier waarop bedrijven en overheidsorganisaties om kunnen gaan met de digitale gegevens van burgers en consumenten.

Persoonsgegevens vormen echter een belangrijke bouwsteen voor de commerciële activiteiten van een organisatie. Het is daarom niet overdreven om te stellen dat deze en toekomstige privacywetten fundamentele veranderingen in het beleid van organisaties vereisen.

Industrieanalist Gartner voorspelt dat organisaties die privacywetten overtreden tegen 2021 aanzienlijk meer geld aan compliance kwijt zijn dan de bedrijven die zich goed voorbereiden. Eigenlijk kan geen enkel bedrijf de deze privacyregelgeving en vereisten voor databeveiliging negeren.

Wat is de AVG?

De Algemene verordening gegevensbescherming (AVG) (in het Engels de General Data Protection Regulation (GDPR) regelt sinds 25 mei 2018 alle activiteiten waarbij persoonsgegevens van EU-burgers betrokken zijn.

De AVG dekt meerdere aspecten van databescherming, privacy, cybersecurity en informatierechten. Zo heeft iedere burger het recht om een ​​organisatie te ondervragen over het bezit van iemands persoonlijke informatie.

Iedereen heeft en kan 'het recht om te worden vergeten' uitoefenen. Er zijn strenge cyberbeveiligingsvereisten (verplichte versleuteling van data, beveiligingsmaatregelen, melding van data inbreuken en het informeren van de betrokken hierover, enz.) en regels voor de verwerking van data, de noodzaak om gevoelige informatie af te lakken of te pseudonimiseren en de noodzaak om vooraf expliciet toestemming te vragen om bepaalde persoonlijke informatie te verzamen en op te slaan.

Wat is het recht op inzage?

In EU GDPR Article 15 ligt het recht op inzage of “the Right of Access” besloten. Dit betekent dat iemand (het “data subject”) het recht heeft om de instantie die (eventueel) persoonsgegevens over hem of haar heeft opgeslagen (de zogenaamde “data controller”), om toegang mag vragen tot die gegevens en informatie moet krijgen over:

  • het doel van de verwerking;
  • de categorieën van betreffende persoonsgegevens;
  • de ontvangers of categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden bekendgemaakt, met name als het gaat om andere landen of internationale organisaties;
  • waar mogelijk, de beoogde periode waarvoor de persoonsgegevens worden opgeslagen, of, indien niet mogelijk, de criteria die worden gebruikt om die periode te bepalen;
  • het recht tot rectificatie of verwijdering van persoonsgegevens of de beperking van de verwerking van persoonsgegevens met betrekking tot de betrokkene te vragen of bezwaar te maken tegen een dergelijke verwerking;
  • het recht om een ​​klacht in te dienen bij een toezichthoudende autoriteit;
  • wanneer de persoonlijke gegevens niet werden gecollecteerd van de betrokkene, alle beschikbare informatie over hun bron;
  • het bestaan ​​van geautomatiseerde processen zoals profilering (zie artikel 22, leden 1 en 4) en indien van toepassing informatie over de betrokken logica, evenals het belang en de beoogde gevolgen van een dergelijke verwerking voor de betrokkene.
Wat is een inzageveroek?

Ieder individu kan een inzageverzoek ofwel een DSAR (Data Subject Access Request) indienen bij iedere organisatie die data opslaat. Dit verzoek kan wel tot 80 pagina's lang zijn om de gezochte informatie precies te specificeren. De organisatie moet binnen 30 dagen aan dit inzageverzoek voldoen. DSAR's worden vaak gevolgd door een verzoek in het kader van het 'Recht om te worden vergeten'. In dat geval moet die persoonsinformatie aantoonbaar worden gedeleted.

Een typisch inzageverzoek bestaat uit de naam van de persoon (inclusief verschillende spellingsvarianten en bijnamen) en alle gerelateerde informatie waarin de aanvrager geïnteresseerd is (zoals gegevens met betrekking tot een functie of kredietaanvraag).

Als de aanvrager een voormalige werkgever is, kan het inzageverzoek ook betrekking hebben op alle projecten waaraan hij of zij heeft deelgenomen. Ook alle communicatie over de aanvrager met andere werknemers en zelfs mensen van andere organisaties moet worden meegenomen. Een eenvoudig verzoek omvat dus al snel heel veel data. Denk maar eens naar alle informatie over het arbeidsverleden, opleiding, vaardigheden en kwalificaties, gezondheidsinformatie, prestatiegegevens, loongeschiedenis, disciplinaire maatregelen, bankgegevens, gegevens van nabestaanden, enz. Sommige van deze informatie is netjes terug te vinden in personeelsbestanden en de salarisadministratie, maar nog meer informatie staat opgeslagen ongestructureerde e-mailgegevens, verspreid over mogelijk honderden mailboxen.

In deze blogs leest u hoe u zich in vier stappen voorbereid op een inzageverzoek en hoe u van inzageverzoeken zelfs een kans kunt maken

Typische motieven voor een inzageverzoek / DSAR
  • Overstap naar een andere aanbieder / leverancier / werkgever;
  • Zorgen over privacy;
  • Arbeid gerelateerde conflicten;
  • Overige juridische zaken.

Soms is de reden voor een DSAR eenvoudig. Een klant schakelt over naar een andere aanbieder of werkgever. Hij of zij vraagt daarom alle persoonsgegevens met betrekking tot hun aankoop- en verzendgeschiedenis bij het bedrijf waarvan ze niet langer klant of werknemer zijn, op tafel te leggen en te verwijderen.

Soms wordt een verzoek gedaan uit privacyoverwegingen. Burgers zijn zich bewuster van hun rechten en meer bezorgd over privacy. Het aantal organisaties dat betrokken is bij problemen met de bescherming van privacy neemt exponentieel toe. Bezorgde personen dienen DSAR's in om te zien welke gegevens van hen worden verzameld en of deze wel afdoende beschermd zijn.

In toenemende mate worden inzageverzoeken echter ook gebruikt als tactiek door benadeelde ex-werknemers om hun voormalige werkgevers dwars te zitten.

Het internationale advocatenkantoor Squire Patton Boggs rapporteerde in een recent onderzoek dat inzageverzoeken steeds meer worden ingezet wanneer een persoon wordt geconfronteerd met een disciplinair of prestatieprobleem en problemen voor het bedrijf wil veroorzaken of inzage in feiten wil verkrijgen voorafgaand aan een claim.

Wat is het recht om vergeten te worden?

Volgend op een inzageverzoek, kan een betrokkene de beheerder van de persoonsgegevens vragen om deze te verwijderen. Hierbij moet wel aan de volgende voorwaarden zijn voldaan:

  • De gegevens zijn niet langer nodig;
  • De persoon trekt eerder verleende informatie in om zijn persoonsgegevens te verwerken;
  • De persoon oefent zijn recht uit om bezwaar te maken tegen de verwerking van zijn gegevens;
  • De gegevens worden onrechtmatig gebruikt door de gegevensbeheerders en/of verwerkers;
  • Gegevens hebben een wettelijke bewaarplicht;
  • De gegevens werden verzameld toen de betrokkene een kind was.

Ook zijn er enkele uitzonderingen zoals de naleving van wettelijke vereisten om gegevens te bewaren of zaken van nationale veiligheid of algemeen belang.

In de meeste gevallen is de beheerder van de gegevens verplicht om persoonsgegevens  "zonder onnodige vertraging" te wissen. Dit betekent binnen een maand.

Wat houdt melding van datalekken in?

Na het ontdekken van een datalek, moeten organisaties de autoriteiten hiervan binnen 72 uur op de hoogte stellen en alle inbreuken precies registreren. Betrokkenen data subjects moeten op de hoogte worden gebracht van inbreuken op hun niet-versleutelde persoonsgegevens.

In deze blog leest u wat u kunt doen bij een datalek.

Wat zijn de GDPR-boetes?

Administratieve boetes kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van wat het hoogste is.

Wat is de CCPA?

De California Consumer Privacy Act (CCPA) heeft als doel de verbetering van het recht op privacy en consumentenbescherming voor inwoners van Californië. De wetgevende macht van Californië heeft het wetsvoorstel op 28 juni 2018 aangenomen. Vanaf 1 januari 2020 moeten alle bedrijven in de staat voldoen aan de eisen van de CCPA.

De CCPA is de eerste in zijn soort en inmiddels hebben al 17 extra staten het voorbeeld van Californië gevolgd.

De CCPA is ontworpen om consumenten in Californië de controle over hun persoonlijke informatie te geven. Ook geeft de CCPA hen het recht om bedrijven verantwoordelijk te houden voor de persoonsgegevens die ze verzamelen en verwerken als onderdeel van hun bedrijfsactiviteiten.

In dit webinar bespreken Malia Rogers, David Stauss en Bob Bowman van advocatenkantoor Husch Blackwell de belangrijkste elementen van de CCPA

Wat zijn de rechten van inwoners van Californië?

De wet biedt nieuwe individuele rechten tot toegang tot persoonsgegevens, verwijdering van die gegevens en mogelijkheden tot opt-out van de verkoop van gegevens. Volgens de CCPA hebben inwoners van Californië onder andere de volgende rechten:

  • Recht om te weten welke persoonlijke gegevens worden verzameld. Op verzoek van een consument moet een bedrijf openbaar maken welke persoonlijke informatie (PI) en categorieën van PI het bedrijf verzamelt over de consument, de categorieën bronnen waaruit het bedrijf PI heeft verkregen en het soort bedrijf waaraan gegevens eventueel verkocht worden.
  • Recht op toegang: een consument heeft toegang tot de PI die het bedrijf over hem of haar heeft.
  • Recht op opt-out: een consument kan het bedrijf vragen te stoppen met verkopen of het verstrekken van PI aan derden. De definitie van de CCPA van "verkoop" omvat elke communicatie of overdracht van persoonlijke informatie van een consument aan een ander bedrijf of een derde partij. Dit omvat bijvoorbeeld wederzijdse toegang tot de marketinglijst, toegang tot informatie of inzichten over consumenten of de mogelijkheid om advertenties op specifieke consumenten te richten. De wet vereist dat bedrijven dit opt-outrecht van de consument duidelijk aangeven door een opvallende, afzonderlijke en speciale “opt-out” link 'aan te geven op hun website.
  • Recht op vrijwaring van discriminatie: een consument kan niet worden gediscrimineerd voor het uitoefenen van zijn of haar recht op privacy.
  • Recht op verwijdering van de persoonlijke informatie over de consument.
Wie moet voldoen aan CCPA?
  • Alle ondernemingen met (een van) volgende kenmerken:
  • Winstoogmerk
  • Verzamelt persoonlijke informatie (PI) of laat deze door anderen verzamelen
  • Bepaalt (uitsluitend of gezamenlijk) de doeleinden van de verwerking van PI
  • Doet zaken in Californië
  • Elke juridische entiteit die een dergelijk bedrijf beheert en gemeenschappelijke branding deelt.

Of bedrijven die:

  • Een jaarlijkse omzet van meer dan $ 25 miljoen hebben;
  • Beschikken over de persoonlijke informatie van 50.000 of meer consumenten, huishoudens of apparaten;
  • Meer dan de helft van de jaarlijkse inkomsten haalt uit de verkoop van persoonlijke informatie van consumenten.
Hoe definieert de CCPA persoonsgegevens?

De CCPA definieert persoonlijke informatie als informatie "die identificeert, betrekking heeft op, beschrijft, kan worden geassocieerd met, of redelijkerwijs kan worden gekoppeld, direct of indirect, met een bepaalde consument of huishouden."

Persoonlijke informatie omvat, maar is niet beperkt tot, identificatiegegevens zoals een echte naam, alias, postadres, unieke persoonlijke identificator, online identificator, internetprotocoladres, e-mailadres, accountnaam, sofinummer, rijbewijsnummer, paspoortnummer, of andere vergelijkbare identificatiegegevens.

Anders dan bijvoorbeeld de GDPR, breid de CCPA de definitie van persoonlijke informatie uit naar huishoudens. De GDPR classificeert alleen consumenteninformatie als persoonlijk. Het beschouwt openbaar beschikbare informatie niet als persoonlijk.

Wat zijn de boetes onder de CCPA?

De "Limited Private Right of Action for Unauthorized Disclosure of Data" maakt het consumenten mogelijk een zaak aan te spannen in geval van ongeautoriseerde toegang tot persoonsgegevens, diefstal of wanneer het bedrijf faalt in het verstrekken van voldoende beveiliging. 

In geval van een datalek, kan een bedrijf gedwongen worden tot een compensatie van $100 tor $750 per consument en per incident.

Bij mogelijke reputatieschade moet rekening worden gehouden met aanvullende rechtszaken (i.e. class actions). De GDPR komt naar Amerika.

Hoe verhoudt de GDPR zich tot de CCPA?

De CCPA is niet slechts een Amerikaanse versie van de GDPR/AVG. Bedrijven die al zijn voorbereid op GDPR, zijn in het voordeel bij de voorbereiding op de invoering van de CCPA, maar dit alleen zal niet voldoende zijn.

Reikwijdte

In zekere zin is de reikwijdte van de CCPA beperkter dan die van de GDPR/AVG. De CCPA legt bijvoorbeeld geen beperkingen op voor de transfer van persoonsgegevens naar het buitenland.

Het vereist ook niet dat bedrijven Data Protection Officer aanstellen en preventieve audits uitvoeren. De CCPA legt niet vast dat bedrijven een "wettelijke reden" moeten hebben voor het verzamelen en gebruiken van persoonlijke informatie en het recht van inwoners van Californië op toegang tot persoonlijke informatie is beperkt tot gegevens die in de afgelopen 12 maanden zijn verzameld.

Op ander vlak is de reikwijdte van de CCPA breder. De definitie van persoonlijke informatie van de CCPA omvat specifiek huishoudelijke informatie. De CCPA verleent individuen een absoluut recht om af te zien van de verkoop van hun persoonsgegevens en verplicht bedrijven om een ​​link met "Do Not Sell My Personal Information” toe te voegen aan websites en mobiele apps.

Hoewel zowel de CCPA als de GDPR bepalingen voorschrijven die moeten worden opgenomen in contracten met serviceproviders, verschillen de vereisten. De GDPR / AVG-overeenkomsten voor de verwerking van persoonsgegevens, voldoen mogelijk niet aan de CCPA-vereisten.

De AVG is van toepassing op alle bedrijven die gegevens van EU-burgers verwerken, ongeacht hun locatie of grootte. De CCPA is iets beperkter qua reikwijdte: het is alleen van toepassing op in Californië gevestigde bedrijven met een omzet van meer dan USD $ 25 miljoen of bedrijven waarvan de primaire activiteit de verkoop van persoonlijke informatie is.

Boetes

De GDPR legt stevige boetes op voor het niet-naleven van de wet en voor datalekken die kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet van het bedrijf of 20 miljoen euro, afhankelijk van welk bedrag groter is.

CCPA-boetes worden toegepast per overtreding zonder cap maar er zijn blijkbaar geen sancties voor niet-naleving. Wel biedt de CCPA de consument de mogelijkheid het bedrijf aan te klagen wegens schending.

Rechten

Beide verordeningen verlenen de consument specifieke rechten, zoals het recht op toegang tot informatie en verwijdering of toegang tot informatie. De AVG is specifiek gericht op alle gegevens met betrekking tot de EU-consument / burger, terwijl de CCPA zowel de consument als het huishouden als identificeerbare entiteiten beschouwt en in sommige gevallen alleen gegevens van de consument beschouwt in plaats van gegevens die zijn aangekocht of gekocht van derden. . Het is belangrijk dat bedrijven hun processen testen om ervoor te zorgen dat ze aan deze rechten kunnen voldoen.

 

Omgaan met inzage- en verwijderingsverzoeken

In beide privacyregelgevingen brengen het "Recht op toegang" (GDPR) of "Right to know" (CCPA) en het "Recht om te worden vergeten" (GDPR) en "Right of deletion" (CCPA) een extra behoefte aan eDiscovery-technologie met zich mee.

Een typisch inzageverzoek bestaat uit de naam van de persoon (inclusief verschillende spellingsvarianten en bijnamen) en alle informatie waarin de aanvrager is geïnteresseerd. Dit kunnen gegevens zijn met betrekking tot een sollicitatie, kredietaanvraag of project waaraan ze hebben deelgenomen. In Europa kan een DSAR uitgroeien tot een document van 80 pagina's waarin de gezochte informatie wordt gespecificeerd.

Waar artikel 15 van de AVG oorspronkelijk was bedoeld om betrokken burgers te helpen meer inzicht in hun persoonlijke gegevens te krijgen, wordt het nu ook gebruikt door werknemers met een arbeidsconflict of een ontevreden klant in een juridisch geschil.

Omdat de kosten van een inzageverzoek hoog kunnen oplopen voor een bedrijf, wordt het beschouwd als een effectief hulpmiddel om de andere partij te dwingen tot een betere regeling in een juridisch geschil.

Het omgaan met inzageverzoeken is duur voor bedrijven die hier niet op voorbereid zijn. Alle gevraagde gegevens moeten worden verzameld, verwerkt, beoordeeld en geproduceerd in een standaard en toegankelijk format (vaak PDF). Gedurende het review proces gaat veel tijd zitten in het afschermen van vertrouwelijke informatie van het bedrijf en het beschermen van de persoonsgegevens van andere betrokkenen.

Omgaan met een datalek

De CCPA omvat het recht om een zaak aan te spannen of een class action te beginnen tegen bedrijven die geen redelijke beveiligingsmaatregelen treffen om persoonsgegevens te beschermen.

Wanneer er sprake is van een databreuk onder de GDPR/AVG, moet de beheerder van die gegevens binnen uiterlijk 72 uur na kennisneming de toezichthoudende autoriteiten hiervan op de hoogte stellen. Ook moeten ze de mogelijke gedupeerden "zonder onnodige vertraging" inlichten.

Wanneer gegevens zijn gelekt of een hacker toegang heeft gehad tot mailboxen, gedeelde bestanden of een Content Management Systeem, is eDiscovery essentieel om zo snel mogelijk te bepalen of het gaat om persoonsgegevens, welke details zijn aangetast en welke personen zijn getroffen.

Technologie genereert tevens de benodigde rapporten, zodat partijen snel op de hoogte kunnen worden gebracht. Snelheid vermindert het risico op  mogelijke boetes en buitensporige schadeclaims aanzienlijk.

Lees in dit blog wat u kunt doen wanneer u een datalek ontdekt.

Waarom eDiscovery-technologie?

Een inzageverzoek betekent veel werk voor uw organisatie. Als u niet bent voorbereid of geen technologie gebruikt, kan een inzageverzoek de dagelijkse bedrijfsvoering ernstig verstoren en als u deadlines mist of niet aan de vereisten kunt voldoen, kunnen de kosten erg hoog zijn.

Toch heeft iedere burger recht op inzage in zijn of haar persoonsgegevens en het is de verantwoordelijkheid van uw organisatie om hierop te reageren op de manier die worden voorgeschreven door de AVG, GDPR, CCPA of andere privacywetten.

En hoewel het nooit iemands favoriet zal zijn, maakt het gebruik van technologie het afhandelen van inzageverzoeken aanzienlijk makkelijker. Hier leest u hoe.

Verzekerd van data- en privacybescherming

Privacyregelgeving zoals de AVG en CCPA zorgen tegenwoordig voor de grootste eDiscovery-uitdagingen. Inzageverzoeken en de uitdaging om persoonsgegevens vrij te geven zonder daarbij de privacy van anderen te compromitteren, geven eDiscovery een extra dimensie.

ZyLAB ONE eDiscovery maakt een snellere, efficiëntere en minder verstorende afhandeling van inzageverzoeken mogelijk en beschermt de persoonsgegevens van andere personen dan de aanvrager.

Placeholder

Spreek een specialist.

Onze experts staan klaar om te helpen met uw onderzoeks- en discovery uitdagingen.