Wat zijn de kernpunten van de herziene Japanse Wet Bescherming Persoonsgegevens in Reiwa 6 (2024)? Belangrijke wijzigingen en maatregelen die u moet kennen
In april 2024 (Reiwa 6) wordt de gewijzigde uitvoeringsregeling van de Japanse Wet op de Bescherming van Persoonsgegevens van kracht. Deze wijziging breidt de verplichting uit om incidenten van datalekken te rapporteren aan de Japanse Commissie voor de Bescherming van Persoonsgegevens en de verplichting om de betrokken personen hierover te informeren.
De belangrijkste focus van deze wijziging ligt op het aanpakken van recente problemen rondom persoonsgegevens, zoals web skimming.
Desalniettemin vereist het nauwkeurig begrijpen en adequaat reageren op deze wijzigingen gespecialiseerde kennis, en velen weten mogelijk niet welke maatregelen hun bedrijf moet nemen. In dit artikel zullen we de belangrijkste punten van de wijziging in 2024 (Reiwa 6) en de te nemen maatregelen bespreken.
Overzicht van de wijzigingen in de Japanse Wet Bescherming Persoonsgegevens in het jaar Reiwa 6 (2024)
Een belangrijk aandachtspunt in de wijziging van de Japanse Wet Bescherming Persoonsgegevens in Reiwa 6 (2024) is de uitbreiding van de meldingsplicht en de plicht tot het nemen van veiligheidsmaatregelen bij lekken, die nu ook van toepassing zijn op bepaalde ‘persoonsgegevens’.
In de voorgaande regelgeving was de meldingsplicht bij lekken en dergelijke alleen van toepassing op ‘persoonsdata’, en waren ‘persoonsgegevens’ hier niet bij inbegrepen.
Door deze wijziging zijn de details van de wijzigingen opgenomen in Artikel 7, Lid 3 van de uitvoeringsregels van de Japanse Wet Bescherming Persoonsgegevens en in de Japanse Richtlijnen voor de Wet Bescherming Persoonsgegevens (Algemene Provisies)[ja].
Wijziging | Voor de wijziging | |
Meldingsplicht bij lekken, etc. | Verplicht (in bepaalde gevallen) | Niet verplicht |
Plicht tot het nemen van veiligheidsmaatregelen | Verplicht (in bepaalde gevallen) | Niet verplicht |
De specifieke regelgeving en wijzigingen worden hieronder gedetailleerd besproken.
De reguleringsdoelwitten van de Japanse Wet op de Bescherming van Persoonsgegevens tot nu toe
Om de inhoud van de herziene wet te begrijpen, is een nauwkeurig begrip van de regelgeving vóór de herziening essentieel. Hier zullen we de definities en inhoud van de regelgeving die vóór de herziening was vastgesteld, uitleggen.
Het verschil tussen persoonlijke informatie en persoonsgegevens
In de Japanse Wet Bescherming Persoonsgegevens wordt onderscheid gemaakt tussen ‘persoonlijke informatie’ en ‘persoonsgegevens’ als het gaat om bescherming.
‘Persoonlijke informatie’ betreft informatie over een levend individu, die het mogelijk maakt om die persoon te identificeren aan de hand van beschrijvingen zoals naam en geboortedatum. Dit is gedefinieerd in Artikel 2, Paragraaf 1, Nummer 1 van de Japanse Wet Bescherming Persoonsgegevens.
Gerelateerd artikel: De herziene Japanse Wet Bescherming Persoonsgegevens van Reiwa 4 (2022) introduceert ‘gepseudonimiseerde informatie’ om het gebruik van data te bevorderen[ja]
Aan de andere kant verwijst ‘persoonsgegevens’ naar persoonlijke informatie die deel uitmaakt van een persoonsgegevensdatabase, zoals bepaald in Artikel 16, Paragraaf 1 van de Japanse Wet Bescherming Persoonsgegevens.
Bijvoorbeeld, bij het maken van een aanwezigheidslijst voor een evenement, wordt de informatie die deelnemers hebben verstrekt, zoals naam en adres, aangeduid als ‘persoonlijke informatie’. En de database die is gecreëerd door het verzamelen van de persoonlijke informatie van elke deelnemer in een spreadsheet, wordt een ‘persoonsgegevensdatabase’ genoemd. De individuele informatie die deze database vormt, wordt beschouwd als ‘persoonsgegevens’.
Het is belangrijk te begrijpen dat binnen de Japanse Wet Bescherming Persoonsgegevens de bescherming afhangt van of het gaat om ‘persoonlijke informatie’ of ‘persoonsgegevens’.
Wat houdt de meldingsplicht bij lekken in?
De Wet Bescherming Persoonsgegevens verplicht bedrijven die persoonsgegevens verwerken, om bij een datalek zowel de Autoriteit Persoonsgegevens als de betrokken personen te informeren.
(Melding van lekken, etc.)
Wet Bescherming Persoonsgegevens | e-Gov wetgevingszoekmachine[ja]
Artikel 26: Bedrijven die persoonsgegevens verwerken moeten, in het geval van een lek, verlies, beschadiging of een andere situatie die de veiligheid van persoonsgegevens in gevaar brengt en waardoor de rechten en belangen van personen aanzienlijk kunnen worden geschaad, zoals bepaald door de regels van de Autoriteit Persoonsgegevens, deze situatie melden aan de Autoriteit Persoonsgegevens. Dit geldt echter niet als het bedrijf dat de persoonsgegevens verwerkt, de verwerking geheel of gedeeltelijk heeft uitbesteed aan een ander bedrijf of overheidsinstantie en deze situatie heeft gemeld aan dat andere bedrijf of die overheidsinstantie, zoals bepaald door de regels van de Autoriteit Persoonsgegevens.
2 In de gevallen bedoeld in het vorige lid, met uitzondering van degenen die al hebben gemeld volgens de uitzondering, moeten bedrijven die persoonsgegevens verwerken de betrokken personen informeren over de situatie, zoals bepaald door de regels van de Autoriteit Persoonsgegevens. Dit is echter niet vereist als het moeilijk is om de betrokken personen te informeren en er passende maatregelen zijn genomen om hun rechten en belangen te beschermen.
De meldings- en notificatieplicht geldt niet in alle gevallen van een datalek. Deze plicht is beperkt tot de volgende vier gevallen, zoals bepaald in Artikel 7 van de uitvoeringsregels van de Wet Bescherming Persoonsgegevens:
- Lekken van persoonsgegevens die gevoelige informatie bevatten (bijvoorbeeld: resultaten van gezondheidsonderzoeken van werknemers)
- Lekken van persoonsgegevens die financiële schade kunnen veroorzaken door onrechtmatig gebruik (bijvoorbeeld: creditcardnummers)
- Lekken van persoonsgegevens die mogelijk met onrechtmatige bedoelingen zijn uitgevoerd
- Lekken die meer dan 1000 personen betreffen
In deze herziening is de inhoud van Artikel 7, lid 3, gewijzigd.
Wat zijn veiligheidsbeheersmaatregelen?
De Japanse Wet op de Bescherming van Persoonsgegevens verplicht bedrijven die persoonlijke informatie verwerken om noodzakelijke en passende maatregelen te nemen ter voorkoming van lekken en voor het veilig beheren van persoonlijke data.
(Veiligheidsbeheersmaatregelen)
Wet op de Bescherming van Persoonsgegevens | e-Gov Wetgevingszoekmachine[ja]
Artikel 23: Bedrijven die persoonlijke informatie verwerken, moeten noodzakelijke en passende maatregelen nemen om lekken, verlies of beschadiging van persoonlijke data te voorkomen en om de veiligheid van persoonlijke data te waarborgen.
Voorbeelden van dergelijke maatregelen zijn toegangscontrole, training voor medewerkers en het opstellen van regels.
Regulering vóór de wijziging
Vóór de wijziging waren alleen “persoonsgegevens” het onderwerp van de verplichting om melding te maken van lekken en dergelijke, en de verplichting om veiligheidsmaatregelen te treffen. Voor “persoonlijke informatie” gold dat, zelfs als er een lek of iets dergelijks plaatsvond, bedrijven niet verplicht waren om dergelijke maatregelen te nemen.
Echter, de recente wijziging heeft de reikwijdte van de meldingsplicht en de verplichting om veiligheidsmaatregelen te implementeren uitgebreid naar bepaalde “persoonlijke informatie”.
Doel en doelstelling van de wijziging van de Uitvoeringsregels van de Japanse Wet Bescherming Persoonsgegevens
Deze wijziging richt zich voornamelijk op maatregelen tegen web skimming. Web skimming is een aanvalsmethode waarbij kwaadaardige software op e-commerce websites wordt geplaatst om persoonlijke informatie te stelen.
Specifiek bestaat de methode eruit dat wachtwoorden en creditcardinformatie die door gebruikers in invoerformulieren zijn ingevuld, direct vanaf de invoerpagina worden verkregen.
Bij web skimming wordt de informatie die door gebruikers is ingevoerd, gestolen voordat deze in de persoonlijke informatiedatabases van e-commerce site-exploitanten en dergelijke wordt opgenomen. In dit geval wordt de ‘persoonlijke informatie’ gestolen voordat deze tot ‘persoonsgegevens’ wordt verwerkt.
Vóór de wijziging was de verplichting tot het melden van lekken en dergelijke alleen van toepassing op ‘persoonsgegevens’. Daarom waren e-commerce site-exploitanten niet verplicht om melding te maken van incidenten veroorzaakt door web skimming.
Deze wijziging heeft als doel om ook informatie die door web skimming is gelekt, onder de meldingsplicht te laten vallen, en breidt de reikwijdte van de meldingsplicht en veiligheidsmaatregelen uit tot ‘persoonlijke informatie’.
Inhoud van de wijzigingen in de Japanse Wet op de Bescherming van Persoonsgegevens (2024)
Uitbreiding van de meldingsplicht bij lekken
Artikel 7, lid 3 van de Uitvoeringsregels van de Wet op de Bescherming van Persoonsgegevens is als volgt gewijzigd.
Wijzigingswet | Voor de wijziging |
Artikel 7, Artikel 26, lid 1, van de wet bepaalt dat de zaken die door de regels van de Commissie voor de Bescherming van Persoonsgegevens als een groot risico voor de rechten en belangen van personen worden beschouwd, een van de volgende moeten zijn: Situaties waarin persoonsgegevens (inclusief persoonsgegevens die de verwerker van persoonsgegevens heeft verkregen of probeert te verkrijgen, en die als persoonsgegevens zullen worden behandeld) zijn of mogelijk zijn gelekt door handelingen tegen de verwerker van persoonsgegevens met een mogelijk onrechtmatig doel | Artikel 7, Artikel 26, lid 1, van de wet bepaalt dat de zaken die door de regels van de Commissie voor de Bescherming van Persoonsgegevens als een groot risico voor de rechten en belangen van personen worden beschouwd, een van de volgende moeten zijn: Situaties waarin persoonsgegevens zijn of mogelijk zijn gelekt met een mogelijk onrechtmatig doel |
“De verwerker van persoonsgegevens” omvat ook externe dienstverleners en aanbieders van diensten voor de verwerking van persoonsgegevens.
Bovendien wordt of de informatie die de verwerker van persoonsgegevens probeert te verkrijgen als “persoonsgegevens” wordt beschouwd, objectief beoordeeld op basis van de middelen voor het verkrijgen van persoonsgegevens en andere factoren (Richtlijnen Algemene Sectie 3-5-3-1).
Zo is de uitbreiding van de meldings- en notificatieplicht naar “persoonsgegevens” in bepaalde gevallen een van de belangrijkste wijzigingen in de herziening van 2024.
Uitbreiding van de doelgroep voor veiligheidsmaatregelen
Als gevolg van de wijziging in de meldingsplicht bij lekken, is ook de inhoud van de Richtlijnen Algemene Sectie 3-4-2 van de Wet op de Bescherming van Persoonsgegevens gewijzigd.
De veiligheidsmaatregelen die een ondernemer moet nemen, omvatten nu ook noodzakelijke en passende maatregelen om lekken van persoonsgegevens (inclusief persoonsgegevens die de verwerker van persoonsgegevens heeft verkregen of probeert te verkrijgen) te voorkomen.
De doelgroep voor veiligheidsmaatregelen is uitgebreid van alleen “persoonsgegevens” naar “persoonsgegevens” in bepaalde gevallen.
Referentie: Commissie voor de Bescherming van Persoonsgegevens | Richtlijnen voor de Wet op de Bescherming van Persoonsgegevens (Inwerkingtreding 1 april 2024)
Te nemen maatregelen door de invoering van de herziene Japanse Wet Bescherming Persoonsgegevens
De maatregelen die genomen moeten worden in reactie op de invoering van de herziene Japanse Wet Bescherming Persoonsgegevens in het zesde jaar van Reiwa (2024) zijn de volgende twee:
- De privacyverklaring herzien
- Interne regelgeving herzien en bekendmaken
Laten we deze nader bekijken.
De privacyverklaring herzien
Bedrijven die persoonsgegevens verwerken, moeten zorgen dat de veiligheidsmaatregelen voor de bescherming van persoonsgegevens bekend zijn bij de betrokken personen. Dit omvat ook de staat waarin men zonder vertraging kan reageren op verzoeken van de betrokken personen (Artikel 32, lid 1, punt 4 van de Japanse Wet Bescherming Persoonsgegevens).
Bedrijven die hun veiligheidsmaatregelen in de privacyverklaring hebben opgenomen, moeten opletten. Het is noodzakelijk om de privacyverklaring bij te werken met informatie over de veiligheidsmaatregelen voor bepaalde persoonsgegevens die nieuw zijn opgenomen.
Interne regelgeving herzien en bekendmaken
Het is noodzakelijk om de interne regelgeving te herzien en medewerkers te informeren over de verplichting tot melden en informeren bij lekken van bepaalde persoonsgegevens.
De situaties waarin een lek van persoonsgegevens kan voorkomen, zijn niet beperkt tot web skimming.
Bijvoorbeeld, als een bedrijf dat persoonsgegevens verwerkt, een antwoordenvelop met een gewijzigd adres naar een klant stuurt en de persoonsgegevens ingevuld op het enquêteformulier in de envelop in handen van derden vallen, ontstaat er een situatie waarin een meldings- en informeringsplicht ontstaat, omdat deze persoonsgegevens als persoonsdata behandeld zouden worden.
Omdat de behandeling van bepaalde persoonsgegevens die voorheen niet onder de meldingsplicht vielen nu is veranderd, is het noodzakelijk om medewerkers hierop attent te maken.
Samenvatting: Raadpleeg een expert voor de aanpassing aan de herziene Wet Bescherming Persoonsgegevens
In de herziening van de Wet Bescherming Persoonsgegevens in het jaar Reiwa 6 (2024), is de focus gelegd op maatregelen tegen web skimming, waarbij de verplichtingen voor rapportage en notificatie bij lekken, evenals de veiligheidsbeheersmaatregelen zijn uitgebreid. Voor de herziening waren alleen ‘persoonsgegevens’ inbegrepen, maar nu kunnen in bepaalde gevallen ook ‘persoonlijke informatie’ worden opgenomen.
Door deze herziening is het noodzakelijk geworden om maatregelen te nemen zoals het herzien van privacybeleid en interne regelgeving.
Bij de behandeling van persoonlijke informatie kunnen fouten leiden tot grote risico’s, zoals het verlies van maatschappelijk vertrouwen. Het wordt aanbevolen om een advocaat te raadplegen wanneer u met deze kwesties te maken krijgt.
Maatregelen van ons kantoor
Monolith Advocatenkantoor is een advocatenkantoor met een rijke ervaring op zowel IT-gebied, met name het internet, als op juridisch vlak. Recentelijk is het lekken van persoonlijke informatie een groot probleem geworden. Mocht er onverhoopt persoonlijke informatie gelekt worden, dan kan dit een fatale impact hebben op de bedrijfsactiviteiten. Ons kantoor beschikt over gespecialiseerde kennis op het gebied van het voorkomen van en reageren op informatie lekken. In het onderstaande artikel vindt u meer details.
Expertisegebieden van Monolith Advocatenkantoor: Wetgeving gerelateerd aan de bescherming van persoonlijke informatie[ja]