Contacts
Go back to the previous page
Blog
yuliyagubaydullina
5

Persoonsgegevens verzamelen van gebruikers in de EU: Wat u moet weten en hoe u zich kunt voorbereiden

19.05.2022
Update date: 11.05.2023

Elk bedrijf dat persoonsgegevens van gebruikers in de EU verzamelt, opslaat en verwerkt, moet voldoen aan de wettelijke voorschriften. In geval van niet-naleving of overtreding van deze wettelijke voorschriften kunnen bedrijven zware straffen, boetes en sancties tegemoet zien.

 

 

In Europa moeten alle activiteiten waarbij persoonsgegevens van identificeerbare natuurlijke personen (betrokkenen) betrokken zijn, voldoen aan de Algemene Verordening Gegevensbescherming (GDPR) van de EU, het algemene regelgevingskader voor de bescherming van persoonsgegevens van gebruikers. Bedrijven moeten voorbereid zijn op het aanpassen, testen, onderhouden en aantonen van de naleving van deze steeds veranderende EU-eisen.

Bescherming van persoonsgegevens kan een moeilijke regelgeving zijn om doorheen te navigeren, dus laat ITGLOBAL.COM uw inspanningen voor GDPR-compliance ondersteunen. Een uitstekend voorbeeld van de GDPR compliance diensten die wij aanbieden is de volgende compliance audit die ITGLOBAL.COM uitvoerde voor Whoosh, een op technologie gericht transportbedrijf gespecialiseerd in stedelijke micro-mobiliteitsoplossingen voor de EU-markt.

Infrastructuur van het klantenbedrijf en organisatie van de gegevensopslag

De infrastructuur voor het verzamelen en verwerken van persoonlijke gegevens van Whoosh bestond uit een cloud-gebaseerd uitwisselingsplatform dat mobiele applicaties van gebruikers en diensten en IoT-modules met elkaar verbindt. Dit is in wezen het “hart” van een elektrische scooter, dat gegevens verzamelt en doorstuurt over de toestand van het apparaat, de locatie, de oplaadstatus en actuele informatie over de huidige rit. Dit komt bovenop het delen met externe verkopers, dienstverleners en partners, waaronder verzekerings- en verwerkingsdiensten, die ook persoonlijke gebruikersgegevens kunnen verwerken.

Whoosh exploiteert ook een reeks interne diensten, waaronder e-mail, ERP en verschillende andere klassieke bedrijfsdiensten. Elk van deze interne diensten gaat gepaard met de verwerking van persoonsgegevens, waardoor ze ook door de regelgevers moeten worden geëvalueerd.

De grootste instroom van persoonlijke gebruikersgegevens in het systeem vindt plaats bij de registratie van nieuwe gebruikers. In dat geval wordt informatie over gebruikers opgeslagen op servers die verband houden met het land waarin de dienst actief is. De informatie van de Europese gebruikers van Whoosh wordt bijvoorbeeld geconsolideerd op servers in Ierland. Zodra de gegevens aldus zijn geregistreerd, kunnen ze worden doorgegeven aan partners voor verwerking of gebruik door verzekerings- en analysediensten.

Hoe de infrastructuuraudit werd uitgevoerd

Alvorens in een nieuw land van start te gaan, is het raadzaam om de infrastructuur en bedrijfsprocessen in overeenstemming te brengen met de plaatselijke wetgeving met de hulp van deskundigen op dit gebied. Deze externe professionals helpen bedrijven bij het identificeren van tekortkomingen op het gebied van compliance in verband met het betreden van een nieuwe regelgevingsomgeving, zodat deze snel kunnen worden gecorrigeerd.

De GDPR of Algemene Verordening Gegevensbescherming stelt autoriteiten in de Europese Unie in staat om uniforme vereisten vast te stellen voor de bescherming van persoonsgegevens. Deze vereisten zijn ook relevant voor bedrijven die landen op de markt willen betreden, aangezien ze de uitvoer van persoonsgegevens buiten de EU controleren. Zoals geschreven, is het doel van de GDPR om EU-burgers meer controle te geven over hun persoonlijke gegevens door het uniformeren en versterken van de gegevensbescherming voor alle individuen die binnen de EU verblijven.

Whoosh begon in 2022 zijn diensten aan te bieden op de Europese markt, waardoor een GDPR-audit een noodzakelijke en logische stap was om de naleving van de Europese privacyregelgeving te waarborgen. Een GDPR compliance audit concentreert zich op het volgende:

  1. Beoordeling van de toepasbaarheid van GDPR-vereisten en lokale wetgeving op de activiteiten van de klant.
  2. Analyse van de huidige staat van de infrastructuur en processen van de cliënt.
  3. Voorbereiding van aanbevelingen voor de invoering van regelgeving, rekening houdend met bedrijfsplannen voor ontwikkeling.
  4. Advies over de implementatieprocessen.

Onze ervaring heeft geleerd dat het in het geval van Europese wetgeving het beste is om te beginnen met een granulaire analyse van de activiteiten van de klant op zoek naar elementen van niet-naleving, waarbij de auditor de informatiebeveiliging van de bedrijfsprocessen van het bedrijf evalueert en, indien overtredingen worden geconstateerd, aanbevelingen opstelt om deze processen in overeenstemming te brengen met de wettelijke vereisten. Bij deze beoordeling wordt ook onderzocht hoe de klant persoonsgegevens van klanten verzamelt, opslaat en verwerkt. En in de laatste fase worden deze processen gecontroleerd op naleving van de GDPR en de lokale wetgeving van de landen waar het bedrijf zijn activiteiten wil uitbreiden. In het geval van Whoosh bijvoorbeeld heeft onze klant zijn diensten uiteindelijk uitgebreid naar Portugal, Hongarije, Polen en diverse andere landen.

Whoosh in compliance brengen – de resultaten

Experts van ITGLOBAL.COM voerden een gedetailleerde audit uit van wettelijke documenten met betrekking tot de verwerking en bescherming van informatie, en de IT-infrastructuur bestaande uit cloud-gebaseerde bedrijfsdiensten (waaronder e-mail, gegevensopslag, interne systemen voor de controle van scooters en IoT-apparaten, enz.) De diensten en bedrijfsprocessen van Whoosh waarbij persoonsgegevens worden verwerkt, werden vervolgens objectief beoordeeld op hun overeenstemming met de GDPR en de lokale wetgeving van de specifieke EU-lidstaten waarin Whoosh actief is. Het resultaat werd vervolgens gepresenteerd in de vorm van een rapport dat:

  • Schetste compliant data flow diagrammen.
  • Een analyse gaf per paragraaf van de relevante wet- en regelgeving van het geselecteerde EU-land.
  • Аanbevelingen deed om niet-conforme processen en diensten te corrigeren.

Dit document bevatte een gedetailleerd overzicht van de acties die Whoosh moest ondernemen om de inconsistenties tussen hun activiteiten en de relevante regelgeving die in de loop van de audit aan het licht waren gekomen, te verhelpen. Bijgevolg hadden de meeste opmerkingen in het verslag betrekking op de regelgeving inzake de verwerking van persoonsgegevens en niet op technische kwesties.

Uit onze audit bleek ook dat Whoosh behoefte had aan uitgebreidere interne regelgevende, organisatorische en administratieve documentatie over de verwerking en beveiliging van persoonsgegevens, die IT.GLOBAL.COM vervolgens voor onze klant heeft ontwikkeld en geïmplementeerd. Het proactieve werk van IT.GLOBAL.COM met klanten als Whoosh toont duidelijk de voordelen aan van onze gezamenlijke aanpak voor bedrijven die willen toetreden tot robuuste regelgevende omgevingen zoals de EU.

In de woorden van IT.GLOBAL.COM Managing Director for Audits and Information Security Alexander Zubrikov: “Whoosh heeft zijn bedrijfsprocessen en infrastructuur in overeenstemming gebracht met de GDPR-regelgeving (met name de lokale regelgeving vastgesteld door de landen van de Europese Unie waarin Whoosh van plan was diensten te lanceren), voordat de daadwerkelijke verwerking van beschermde persoonsgegevens van start ging. Bijgevolg werd elk risico op lekken van persoonsgegevens en dus mogelijke schendingen van de rechten van EU-burgers geminimaliseerd”.

Wat moeten bedrijven doen die nu pas de Europese markt betreden?

De tips en het materiaal in dit artikel zijn alleen relevant voor bedrijven die werken met beschermde persoonlijke gebruikersgegevens. De beste manier om te beginnen is om de situatie te leren kennen door onderzoek, het lezen van relevante wetgeving, het raadplegen van specialisten en het beoordelen van de bestaande vereisten voor de markt waarop uw bedrijf zich wil begeven. Vervolgens zijn er twee belangrijke opties voor gegevensopslag:

  • Een bedrijf kan een deskundige in zijn team opnemen die op de hoogte is van de EU-regelgeving inzake de opslag en verwerking van persoonsgegevens voor EU-gebruikers.
  • Het bedrijf kan een consultant inschakelen die ervaring heeft met regelgevingskwesties rond de EU-wetgeving inzake gegevensbeveiliging.

De vereisten van de EU-wet- en regelgeving inzake gegevens zijn verre van eenvoudig. Naleving van deze voorschriften is mogelijk, maar als een bedrijf een op maat gesneden beeld krijgt van wat moet worden aangepakt en in welke volgorde, zal het werk om zijn processen en diensten in overeenstemming te brengen met de voorschriften veel sneller en efficiënter verlopen. Een dergelijk proces kost tijd, maar met de juiste hulp is deze horde voor elk bedrijf te nemen.

Wat een buitenlandse markt betreft, zijn de voorbereidende stappen die nodig zijn om activiteiten in een ander land te starten in grote lijnen vergelijkbaar met die welke hierboven zijn beschreven. Er zij echter op gewezen dat schendingen van de GDPR draconische boetes met zich mee kunnen brengen, wat betekent dat de uitbreiding van diensten naar EU-landen een zorgvuldige naleving van de EU-regelgeving vereist. De kosten van niet-naleving kunnen hoog oplopen. De maximale boetes die op grond van de EU-wetgeving kunnen worden opgelegd, kunnen oplopen tot 20 miljoen euro of 4% van de jaaromzet van het bedrijf, afhankelijk van welk bedrag hoger is.

De GDPR, meer bepaald artikel 25, lid 1, GDPR, is minder specifiek wat betreft de toepassing ervan op technische systemen, maar impliceert een redelijke aanpak in overeenstemming met het huidige niveau van wetenschappelijke en technologische vooruitgang, de uitvoeringskosten en de risico’s die zich voordoen bij de verwerking van persoonsgegevens. 25, lid 1, GDPR is minder specifiek wat betreft de toepassing ervan op technische systemen, maar impliceert een redelijke aanpak in overeenstemming met het huidige niveau van wetenschappelijke en technologische vooruitgang, de uitvoeringskosten en de risico’s die zich voordoen bij de verwerking van persoonsgegevens, alsmede de aard, de omvang, de context en het doel van de verwerking van beschermde persoonlijke gebruikersgegevens. Dat wil zeggen dat een organisatie de flexibiliteit heeft om zelf te bepalen welke beveiligingsmaatregelen zij toepast (met uitzondering van encryptie, gegevensherstel en regelmatige inspecties). De verantwoordelijkheid voor naleving door bedrijven bij deze aanpak is echter groter dan bij de checklist van wettelijke vereisten die door de regelgevende instanties in Rusland zijn vastgesteld.” – Anastasia Gainetdinova, informatiebeveiligingsauditor ITGLOBAL.COM Security.

Het risico dat men in de EU wordt onderzocht is normaal gesproken niet groot, maar de gevolgen die een inspectie voor de regelgeving kan hebben, betekenen dat naleving een belangrijke overweging blijft. Hoewel het onwaarschijnlijk is dat de toezichthouder op eigen initiatief een audit zal uitvoeren, moet deze mogelijkheid toch niet volledig worden uitgesloten. In veel gevallen worden inspecties geïnitieerd naar aanleiding van klachten van gebruikers. Een gebruiker kan bijvoorbeeld klagen dat hij zijn gegevens niet uit uw systeem kan verwijderen. In een dergelijk geval kunnen zij zich wenden tot DPO-bedrijven in de EU, waarna de kans op een inspectie exponentieel toeneemt.

Bijgevolg is het absoluut noodzakelijk om gebruikersgegevens te scheiden, omdat de wettelijke voorschriften inzake de behandeling en verwerking ervan van rechtsgebied tot rechtsgebied verschillen, zoals bijvoorbeeld de voorschriften inzake gegevensbeveiliging in de EU en in de VS. Als niet aan deze eisen wordt voldaan, krijgt het bedrijf dat de overtredingen begaat boetes opgelegd, waardoor de “verantwoordelijke” organisatie uiteindelijk verlies lijdt.

In het algemeen is de Europese wetgeving erop gericht het lekken en/of misbruik van gegevens tegen te gaan en te voorkomen. Het is echter bijzonder belangrijk op te merken dat in het geval van de GDPR de EU-wetgeving voorziet in strafrechtelijke aansprakelijkheid in geval van aanzienlijke schendingen van de EU-wetgeving inzake gegevensbescherming.

Activiteiten en verantwoordelijkheden van de onderneming

De EU-regelgeving verschilt per gegevenscategorie. Als zodanig vereist het vereenvoudigen van de naleving een intelligente aanpak van het verzamelen van beschermde gebruikersgegevens. Door uit te gaan van het beginsel van minimale informatie in plaats van een algemene aanpak van het verzamelen van gebruikersgegevens, werkt een bedrijf alleen met de persoonsgegevens die het daadwerkelijk nodig heeft, waardoor het aantal categorieën en daarmee de complexiteit van de taak om naleving te waarborgen bij de behandeling, verwerking en opslag van beschermde gegevens wordt verminderd.

Tot slot is het de moeite waard te stellen dat het niet volstaat te hopen dat regelgevers nooit aandacht aan uw bedrijf zullen besteden. In plaats daarvan is het veel beter om u grondig voor te bereiden op inspecties van de regelgeving, zodat deze later niet leiden tot ondraaglijk pijnlijke gevolgen van niet-naleving. Natuurlijk moet u voor proactieve naleving middelen inzetten, waaronder tijd en geld, maar in het geval van een robuuste regelgeving als de EU-markt is de investering de moeite waard. De nuchtere realiteit van werken zonder naleving van de GDPR-bescherming van gebruikersgegevens betekent dat als u geïnspecteerd wordt zonder voorbereid te zijn, uw bedrijf ernstige sancties van EU-regelgevers kan verwachten.

Rate this article
Previous article Previous article
Next article

Read also

Next Gen BNG voor internetprovider
Solutions
28.04.2021
Next Gen BNG voor internetprovider
5
Informatiebeveiligingsbedreigingen van 2021: De toplijst
Security
28.01.2021
Informatiebeveiligingsbedreigingen van 2021: De toplijst
8

Be the first to know about new articles!

Subscribe to our mailing
By clicking on the button, you agree to the terms of «Privacy Policy»
Our website uses cookies to improve your experience