De eerste Europese digitale mediaconferentie, Dmexco, vindt momenteel plaats in Keulen. Terwijl mondiale merken, uitgevers en leiders op het gebied van advertentietechnologie elkaar ontmoeten om de kansen en uitdagingen op het gebied van digitale media te bespreken, is een nieuwe reeks gegevensbeschermingswetten die in de Europese Unie is voorgesteld, snel het populairste gespreksonderwerp geworden.
Dit is uw gids voor het begrijpen van de Algemene Verordening Gegevensbeschermingof AVG, en wat dit voor u betekent.
Wat is GDPR?
Algemene Verordening Gegevensbescherming is het nieuwe regelgevingskader dat de Richtlijn gegevensbescherming uit 1995, dat al twintig jaar bestaat en in combinatie met nationale datawetten, bepaalt momenteel bepalingen voor de manier waarop bedrijven en openbare instellingen persoonlijke gebruikersgegevens in de Europese Unie verzamelen, opslaan en gebruiken.
In de afgelopen twintig jaar is de op internet gebaseerde economie mainstream geworden, waardoor de manier waarop gebruikersgegevens door bedrijven worden vastgelegd en gebruikt, verandert – zowel qua omvang als reikwijdte, waardoor de oudere richtlijn grotendeels achterhaald is.
Na jaren van discussie en onderhandelingen werd de AVG in april 2008 door zowel het Europees Parlement als de Europese Raad aangenomen, en de nieuwe regulatie en Richtlijnen werden kort daarna gepubliceerd. De verordening zal naar verwachting in mei 2018 van kracht worden, waardoor organisaties die onder de verordening vallen voldoende tijd hebben om zich voor te bereiden.
De nieuwe verordening zal gebruikers nieuwe rechten geven op toegang tot informatie die bedrijven over hen bewaren, richtlijnen voor beter gegevensbeheer en informatiebeveiliging, en een nieuwe reeks boetes in geval van niet-naleving.
Moet weten
Wie zal getroffen worden: Elke organisatie die informatie verzamelt over EU-inwoners
Wanneer: 25 mei, 2018
Handhavingsinstantie: Het Information Commissioner's Office in het VK (ICO)
Organisaties die onder de categorie vallen gegevensbeheerders of gegevensverwerkers zullen aan de nieuwe regelgeving moeten voldoen. Dit omvat startups, non-profitorganisaties, ondernemingen – eigenlijk iedereen.
Het ding om hier op te merken is dat GDPR is geen Europa-specifiek vraagstukzal het gevolgen hebben voor elke organisatie die goederen of diensten aanbiedt aan gebruikers in de EU of het gedrag monitort van mensen in Europa, ongeacht waar hun kantoren of dataservers zich bevinden.
De AVG omvat beide persoonlijk en gevoelig gebruikersgegevens. Persoonlijke gegevens kunnen bestaan uit naam, e-mailadres, adres, IP... en andere dergelijke gegevens die gewoonlijk worden verzameld tijdens aanmeldingen. Gevoelige gegevens omvatten onder meer genetische informatie, biometrische scans, politieke of religieuze opvattingen en seksuele geaardheid.
Een belangrijke verandering in de nieuwe verordening is dat deze, in tegenstelling tot de eerdere richtlijn, ook betrekking heeft op gebruikersgegevens die zijn opgeslagen onder een pseudoniem, zolang het pseudoniem kan worden gebruikt om het individu te identificeren.
Nieuwe gebruikersrechten
In het vorige regime moesten gebruikers onder de AVG een Subject Access Request (SAR) indienen om toegang te krijgen tot de informatie die een bedrijf mogelijk over hen bewaart. verzoeken om persoonlijke informatie kunnen kosteloos worden gedaan. Bovendien moeten deze gegevens nu binnen 30 dagen na indiening van het verzoek aan de gebruiker worden verstrekt.
De verordening geeft gebruikers ook het recht om hun gegevens onder omstandigheden te laten wissen, bijvoorbeeld als de gegevens op onrechtmatige wijze of zonder legitiem belang worden verzameld, als de toestemming wordt ingetrokken en als de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld.
Gegevensbeveiliging en naleving
Naast richtlijnen over het verzamelen van gegevens en gebruikersrechten, kent de AVG ook richtlijnen over het opzetten en garanderen van vaste normen voor gegevensbeveiliging, waaronder gegevensaudit en -beoordeling, beschermingsbeleid en documentatie.
Eén manier waarop organisaties aan deze eisen kunnen voldoen, is door een Gegevensbeveiliging Posture Management (DSPM) strategie, waarbij voortdurend gevoelige gegevens in cloud- en on-premises omgevingen worden geïdentificeerd, bewaakt en beveiligd.
De afgelopen jaren hebben zich meerdere grootschalige datalekken voorgedaan, waaronder gebruikersaccountgegevens van bedrijven als Yahoo en LinkedIn. Onder de AVG zullen bedrijven nu verantwoordelijk zijn voor “vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot” gebruikersgegevens.
In het geval van gegevensverlies of -inbreuk moeten organisaties de overheid binnen 72 uur na het vernemen van het incident op de hoogte stellen, in de periode die volgt samenwerken met toezichthoudende instanties en mogelijk worden onderworpen aan juridische stappen.
Startups zien doorgaans af van due diligence als het gaat om het verzamelen en beveiligen van gegevens ten gunste van snelheid en schaalvergroting. Dit zal niet langer mogelijk zijn zonder boetes.
Voor organisaties met meer dan 250 werknemers zal documentatie verplicht zijn over waarom gebruikersinformatie wordt verzameld, waar deze wordt bewaard, voor hoe lang, en technische gegevens waarin de getroffen beveiligingsmaatregelen gedetailleerd worden beschreven. Grote organisaties moeten mogelijk ook specifiek een ‘functionaris voor gegevensbescherming’ inhuren om toezicht te houden op de naleving van het beleid en deze te garanderen.
boetes
Een van de meest besproken aspecten van de AVG is het nieuwe boeteregime dat daarmee gepaard gaat. Er kunnen nu boetes worden opgelegd voor zowel kleine als grote gevallen van niet-naleving.
Heeft u geen functionaris voor gegevensbescherming ingehuurd toen de AVG dat van u verlangde? U kunt een boete krijgen. Heeft u een beveiligingslek gehad? Daar staat een boete voor. Onvolledige documentatie? Boete. Je snapt het idee. En in tegenstelling tot de eerdere richtlijn kunnen de boetes aanzienlijk zijn.
Voor kleinere overtredingen kunnen bedrijven boetes krijgen tot €10 miljoen of twee procent van de wereldwijde omzet van de organisatie, afhankelijk van welke van de twee het grootst is. Ernstigere overtredingen kunnen leiden tot boetes die kunnen oplopen tot bijna het dubbele van dat bedrag. Dit is een enorme stap vooruit ten opzichte van de bovengrens van £500,000 die bestond onder de vorige gegevensbeschermingsrichtlijn.
Hoewel ICO duidelijk is geweest over “de voorkeur geven aan de wortel boven de stok” en hun steentje heeft bijgedragen om het gevoel van paniek in de sector te bezweren.
“Het is paniekzaaierij om te suggereren dat we vroege voorbeelden zullen geven van organisaties voor kleine overtredingen of dat maximale boetes de norm zullen worden”, schreef Elizabeth Denham, de Britse informatiecommissaris, in een recente blogpost.
Shubham is een digitale marketeer met rijke ervaring in de advertentietechnologie-industrie. Hij heeft ruime ervaring in de programmatische industrie, waar hij de bedrijfsstrategie en schaalfuncties aanstuurt, inclusief maar niet beperkt tot groei en marketing, operations, procesoptimalisatie en verkoop.
