Inhoudsopgave:
Video: GDPR Compliance 2020 Summary - 10 Steps in 10 Minutes to Avoid Fines (November 2024)
Inmiddels heb je zeker gehoord van de AVG, de algemene verordening gegevensbescherming van de Europese Unie (EU). De AVG is aangenomen om de persoonlijke informatie van Europese gebruikers te beschermen tegen ongeoorloofde openbaarmaking en misbruik. Als zodanig stelt de AVG zeer strikte limieten aan waar de gegevens van EU-burgers kunnen worden opgeslagen, hoe deze kunnen worden gebruikt, hoe lang ze kunnen worden bewaard en hoe ze worden beschermd.
Wat dit betekent is dat u misschien het Europese bedrijfsleven een tijdje kunt vergeten, tenzij u zeker weet dat u zich aan de regels kunt houden. De EU heeft een uitstekende website die het proces verklaart. Als u van plan bent zaken te doen in Europa, moeten u en uw IT-mensen deze website lezen.
Maar als u een groot bedrijf bent dat al zaken doet in de EU, is de kans groot dat u al goed op de hoogte bent van de vereisten en dat u waarschijnlijk goed op weg bent om de naleving van de regels aan te tonen.
Maar stel dat u niet een van die organisaties bent? Welnu, de kans is groot dat de GDPR u nog steeds raakt. Je moet gaan zitten en naar je situatie kijken om er zeker van te zijn. Hier is een korte blik op de belangrijkste dingen die u moet overwegen.
Bewerkingen en gegevensbescherming
Bekijk eerst uw activiteiten. Richt u zich op alle soorten marketinginspanningen, hoe klein ook, op EU-burgers? Dit kan zoiets eenvoudigs zijn als een versie van uw website in een Europese taal of de mogelijkheid om betalingen in Europese valuta te accepteren. Of verzamelt u persoonlijke gegevens van welke aard dan ook voor welk doel dan ook, ook al is het niet voor een financiële transactie?
Dit betekent niet dat u zich op Europeanen richt als ze uw Amerikaanse website vinden en iets kopen dat in Amerikaanse dollars wordt verkocht. Maar zelfs dan moet u voorzichtig zijn met wat u met de gegevens doet en hoe lang u deze bewaart. Maar als u verwacht regelmatig aan Europese kopers te verkopen, is het misschien een goed idee om een Europees bedrijf te vinden om uw rekeningen daar te onderhouden.
Ondertussen, als u denkt dat er een kans is dat u te maken krijgt met EU-burgers, dan is het een goed idee om ervoor te zorgen dat u zich aan de regels houdt met betrekking tot gegevensbescherming en openbaarmaking.
Gegevensbeschermingsregels betekenen dat u de gegevens van EU-burgers moet beschermen tegen verlies, diefstal of openbaarmaking. U moet ook de gegevens zo snel mogelijk verwijderen. En als er gegevens van EU-burgers worden geschonden, dan heeft u 72 uur nadat het is ontdekt om dit aan de Europese autoriteiten te melden.
U moet ook bekendmaken hoe u de gegevens wilt gebruiken en hoe lang u van plan bent deze te bewaren. De openbaarmakingen moeten duidelijk en eenvoudig worden vermeld en de EU-burger moet het ermee eens kunnen zijn of niet. En er zijn enkele dingen om in gedachten te houden over de openbaarmaking: u kunt de dozen niet standaard vooraf laten aanvinken en u kunt die dichte, eindeloze, wettelijke "Algemene voorwaarden" documenten niet als uw openbaarmaking gebruiken.
Een EU-burger kan ervoor kiezen om niet akkoord te gaan met uw openbaarmaking en er moet een manier zijn om "nee" te zeggen. Als de informatie die u vraagt echter nodig is om het goed of de service te bieden (bijvoorbeeld een creditcardnummer of verzendadres), hoeft u het product niet te verkopen.
Merk op dat de regels van toepassing zijn op beide partijen aan uw einde van de transactie, wat betekent dat u en de creditcardmaatschappij. Als u van plan bent dingen aan Europeanen te verkopen, moet u bevestigen dat uw creditcardverwerker de GDPR-regels voor EU-klanten zal volgen.
Het recht om vergeten te worden
En natuurlijk is er het beroemde 'recht om vergeten te worden'. Op verzoek moet u de naam en persoonlijke gegevens van EU-burgers kunnen verwijderen. Dit betekent vanaf elke plaats, inclusief back-ups, waar die informatie zich mogelijk bevindt. Dit vereist dat u zich bewust wordt van waar uw gegevens zich bevinden en wat erin zit, iets dat u waarschijnlijk nu niet kunt doen.
Er zijn grenzen aan het recht om te worden vergeten. Als u bijvoorbeeld bepaalde gegevens moet bewaren, bijvoorbeeld om te voldoen aan een aantal vereisten van de Health Insurance Portability and Accountability Act (HIPAA) of Securities and Exchange Commission (SEC), moet u voldoen aan de wettelijke vereisten. Maar verder moet u dergelijke persoonlijke gegevens op verzoek kunnen verwijderen.
Als dit alles lijkt op pijn in de nek, heb je misschien gelijk. Of u kunt de EU-vereisten voor de AVG beschouwen als een kans om uw beveiligingsactiviteiten volledig te stroomlijnen. Als u bijvoorbeeld al uw gegevens opslaat en beheert op een manier die voldoet aan de vereisten van de AVG, hebt u een veel veiligere werking.
Evenzo, als u die langdradige, onmogelijk te lezen "Algemene voorwaarden" documenten dumpt en ze vervangt door duidelijke intentieverklaringen en om toestemming vraagt, zullen uw klanten het waarderen. Als u stopt met het opslaan van gegevens die u niet echt nodig hebt maar wel moet beschermen, dan wordt uw leven vereenvoudigd en wordt uw risico op een inbreuk verminderd, omdat hackers niet kunnen stelen wat er niet is.
Realistisch gezien codeert de GDPR wat echt best practices zijn voor hoe uw organisatie omgaat met gegevens van andere mensen. Het vinden van een manier om aan deze regels te voldoen, zal uw organisatie in het algemeen helpen.
