De belangrijkste punten bij het opstellen van een GDPR-conforme privacyverklaring
Wanneer u persoonsgegevens van gebruikers binnen de EU verwerkt, is het noodzakelijk om te voldoen aan de GDPR en een privacybeleid op te stellen dat in lijn is met de GDPR. Echter, er zijn velen die niet gedetailleerd begrijpen wat de GDPR inhoudt, en zich afvragen of hun eigen website aanpassingen nodig heeft en hoe ze deze aanpassingen moeten maken.
In dit artikel zullen we de hoofdlijnen van de GDPR en de sleutelpunten voor het opstellen van een GDPR-conform privacybeleid uitleggen. We zullen ook de situatie in Japan en voorbeelden van bekende bedrijven bespreken, dus gebruik dit als referentie.
Over de GDPR en Privacybeleid
Wat houdt een privacybeleid in dat voldoet aan de GDPR? Hier bespreken we de kernpunten van de GDPR en de verplichtingen die het stelt aan het privacybeleid.
De GDPR en het Privacybeleid
De GDPR is een regelgeving opgesteld door de EU die de bescherming en verwerking van persoonsgegevens in detail reguleert. De GDPR is van toepassing binnen de Europese Economische Ruimte (EER: EU-lidstaten plus IJsland, Liechtenstein en Noorwegen, met uitzondering van Zwitserland). Japanse bedrijven kunnen ook onder de GDPR vallen in de volgende gevallen:
- Zij bieden goederen of diensten aan data subjects binnen de EU.
- Zij monitoren het gedrag van data subjects binnen de EU.
Een data subject is een geïdentificeerde of identificeerbare natuurlijke persoon, waarmee de persoon bedoeld wordt aan wie de persoonsgegevens gerelateerd zijn.
Bedrijven die onder bovenstaande criteria vallen, moeten hun privacybeleid (privacy notice) herzien en indien nodig herzien. In het geval van een inbreuk op de GDPR, kan een boete van maximaal 20 miljoen euro of 4% van de wereldwijde omzet opgelegd worden.
Referentie: Japan External Trade Organization | ‘De Algemene Verordening Gegevensbescherming (GDPR)'[ja]
Het is essentieel om uw privacybeleid te controleren om met vertrouwen handel te drijven met landen binnen de EU.
‘Informatieverstrekking’ bij het verkrijgen van persoonsgegevens volgens de GDPR
Volgens de GDPR moet de beheerder bepaalde informatie verstrekken aan het data subject bij het verkrijgen van persoonsgegevens. Artikel 12, lid 1 van de GDPR beschrijft hoe deze informatie moet worden verstrekt.
De vereisten zijn als volgt:
- Het moet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn.
- Het moet in duidelijke en eenvoudige taal zijn opgesteld.
- Bij het verstrekken van informatie aan kinderen moeten passende maatregelen worden genomen.
- Het moet schriftelijk of, indien passend, via elektronische middelen of andere middelen worden verstrekt.
- Als het data subject daarom vraagt, moet de informatie mondeling kunnen worden verstrekt.
Bovendien stelt artikel 12, lid 5 van de GDPR dat het verstrekken van deze informatie kosteloos moet zijn. Controleer of uw privacybeleid aan deze vereisten voldoet en herzie het indien nodig.
Belangrijke punten bij het herzien van uw privacybeleid voor GDPR-conformiteit
Onder de GDPR moeten beheerders van persoonsgegevens verschillende zaken expliciet maken aan de betrokkene wanneer zij persoonsgegevens verkrijgen, zowel direct van de betrokkene zelf (Artikel 13 van de GDPR) als van andere bronnen (Artikel 14 van de GDPR).
De volgende zaken moeten door de beheerder expliciet worden gemaakt:
- Identiteit van de beheerder en gedetailleerde contactgegevens
- Indien er een vertegenwoordiger is, de identiteit en gedetailleerde contactgegevens van deze vertegenwoordiger
- De rechten van de betrokkene met betrekking tot toegang, correctie, verwijdering, beperking, data portabiliteit en het recht om bezwaar te maken
- De doeleinden van de verwerking van persoonsgegevens en de juridische basis daarvoor
- De bewaartermijn van de persoonsgegevens, of de criteria om die termijn te bepalen
- De soorten persoonsgegevens die verwerkt worden
Er zijn punten die expliciet moeten worden gemaakt die niet voorkomen in de Japanse privacybeleid, dus het is belangrijk om hierop te focussen tijdens de herziening. Voor een privacybeleid gebaseerd op de Japanse Wet Bescherming Persoonsgegevens, zie het volgende artikel.
Gerelateerd artikel: Wat zijn de belangrijke punten bij het opstellen van een privacybeleid gebaseerd op de Japanse Wet Bescherming Persoonsgegevens?[ja]
In dit artikel zullen we ons richten op de punten die niet voorkomen in een privacybeleid gebaseerd op de Japanse Wet Bescherming Persoonsgegevens en de belangrijke aspecten van herziening toelichten.
Grondslagen voor de rechtmatigheid van gegevensverwerking
Onder de Algemene Verordening Gegevensbescherming (AVG) is het verplicht gesteld om de ‘grondslagen voor de rechtmatigheid van gegevensverwerking’ expliciet te maken, iets wat niet vereist was onder de vorige wetgeving voor persoonsgegevensbescherming. Er zijn zes grondslagen die de verwerking van persoonsgegevens rechtmatig maken (Artikel 6 van de AVG):
- Toestemming van de betrokkene
- Nakoming van een overeenkomst
- Een wettelijke verplichting
- Belangen van vitaal belang
- Een taak van algemeen belang
- Gerechtvaardigd belang
Als één van deze zes grondslagen van toepassing is, wordt de verwerking als rechtmatig beschouwd. Het is daarom belangrijk om dit in uw privacybeleid te vermelden. Voor personen van wie u voor het eerst informatie verzamelt, kunt u dit aanpakken door hen in te stemmen met een nieuw privacybeleid.
Echter, speciale aandacht is vereist voor de omgang met gebruikers die al toestemming hebben gegeven. Voor mensen die al toestemming hebben gegeven voor de herziening van het privacybeleid, kan het nodig zijn om opnieuw toestemming te verkrijgen.
In dit geval kan een aanpak zijn om één van de zes wettelijke grondslagen in het privacybeleid op te nemen en toestemming te vragen voor de herziening daarvan.
Informatie-items en doeleinden voor gebruik
In de traditionele privacybeleid werd vaak de informatie die verzameld werd en de doeleinden voor gebruik, samen met de gebruiksvoorwaarden, op dezelfde pagina vermeld en werd er in één keer toestemming voor gevraagd. Echter, onder de GDPR is het noodzakelijk om duidelijk te maken waarvoor gebruikers precies hun toestemming geven.
Het is aan te bevelen om voor elk type verzamelde informatie het doel van gebruik te specificeren en voor elk afzonderlijk toestemming te vragen.
Verduidelijking van het doel van gebruik
Onder de Algemene Verordening Gegevensbescherming (AVG) is het noodzakelijk om het doel van het gebruik van verzamelde informatie duidelijk aan te geven. Als het doel bijvoorbeeld ‘ter verbetering van de dienstverlening’ is, kan dit als te vaag worden beschouwd en mogelijk ongeschikt worden geacht.
Bovendien is het niet toegestaan om de informatie voor andere doeleinden te gebruiken die niet overeenkomen met het oorspronkelijke doel, dus let op dit punt wanneer u uw privacybeleid herziet.
Recht op Vergetelheid & Recht op Data-overdraagbaarheid
Veel bedrijven hebben in hun traditionele privacybeleid al rechten zoals het recht op toegang en het recht op correctie opgenomen. Echter, onder de GDPR (Algemene Verordening Gegevensbescherming) is het ook vereist om het ‘Recht op Vergetelheid & Recht op Data-overdraagbaarheid’ te vermelden.
Het Recht op Vergetelheid houdt in dat gebruikers het recht hebben om hun persoonlijke gegevens door de beheerder te laten verwijderen. Het Recht op Data-overdraagbaarheid betekent dat men het recht heeft om persoonlijke gegevens over te dragen naar een andere dienst.
Bijvoorbeeld, het overzetten van abonneegegevens en historische data van mobiele telefoonprovider A naar provider B. Om aan de GDPR te voldoen, is het noodzakelijk deze rechten in het privacybeleid op te nemen.
De specificatie van de bewaartermijn van gegevens
Onder de Algemene Verordening Gegevensbescherming (AVG) is het noodzakelijk om de ‘bewaartermijn van persoonsgegevens’ te specificeren, iets wat in traditionele privacybeleid vaak niet werd vermeld. Als het niet mogelijk is om een bewaartermijn vast te stellen, staat de verordening toe dat men in plaats daarvan de criteria voor het bepalen van de bewaartermijn specificeert.
De GDPR-paraatheid van Japanse bedrijven
Wij presenteren u de onderzoeksgegevens van de ‘Corporate IT Utilization Trend Survey 2021’ (gedetailleerde versie), uitgevoerd door de Japanse Information Economy Society Promotion Association en ITR Corporation, beschikbaar via deze link[ja].
Volgens de onderzoeksresultaten zijn er weinig bedrijven die al volledig aan de GDPR voldoen. Het grootste percentage, 26,1%, bestaat uit bedrijven die nog bezig zijn met het aanpassen aan de GDPR (in overweging). Op het moment van de telling in 2021 was er ook een tendens dat veel bedrijven geen persoonsgegevens naar de EU overdroegen.
De onderzoeksresultaten met betrekking tot de uitwisseling van persoonsgegevens met de EU zijn als volgt:
Zoals te zien in de bovenstaande figuur, antwoordde 44,4% van de bedrijven dat ze ‘momenteel geen gegevens uitwisselen en ook niet van plan zijn dit in de toekomst te doen’, wat het hoogste percentage is. 12% van de bedrijven gaf aan dat ze ‘voorheen gegevens uitwisselden, maar sinds de implementatie van de GDPR de gegevensverwerking binnen de EU en Japan apart uitvoeren’.
‘Momenteel geen uitwisseling, maar wel gepland in de toekomst’ was 25,9%, en ‘momenteel uitwisseling’ was 17,6%. Dit suggereert dat, hoewel er een mogelijkheid is dat meer bedrijven in de toekomst gegevens zullen uitwisselen met de EU, het aantal bedrijven dat dit deed op het moment van het onderzoek in 2021 beperkt was.
Bron: JIPDEC/ITR ‘Corporate IT Utilization Trend Survey 2021′[ja]
De GDPR-aanpak van Bekende Bedrijven
Veel bedrijven willen hun privacybeleid herzien om te voldoen aan de GDPR, maar zijn onzeker over wat ze precies moeten aanpassen. In dit artikel zullen we als voorbeeld van bedrijfsaanpassingen aan de GDPR de specifieke maatregelen bespreken die Google en Facebook hebben genomen.
Google’s aanpak van de GDPR
Google heeft aangekondigd maatregelen te hebben genomen om te voldoen aan de GDPR (Algemene Verordening Gegevensbescherming) door:
- De transparantie naar gebruikers te verbeteren
- De controle door gebruikers te verbeteren
- Data portabiliteit te verbeteren
- Tools voor ouderlijke toestemming en veilig internetgebruik voor kinderen te verbeteren
- Ondersteuning te bieden aan zakelijke gebruikers en partners
- Het privacy compliance programma te versterken
Hier lichten we de details toe.
Referentie: Google “Over Google’s inspanningen met betrekking tot de Europese Algemene Verordening Gegevensbescherming (GDPR)[ja]“
Verbetering van transparantie naar gebruikers
Om de informatie die Google verzamelt en de redenen daarvoor duidelijker te maken en om het vinden van informatie te vergemakkelijken, verbeteren en updaten we ons privacybeleid. Andere toegevoegde punten zijn onder meer:
- Toevoeging van details over het beheren, exporteren en verwijderen van informatie
- Toevoeging van video’s en grafieken naast tekst
Daarnaast hebben we de instellingen aangepast zodat de pagina met privacy-instellingen gemakkelijker te openen is.
Verbetering van gebruikersbeheer
Om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), verbeteren we de manier waarop we gebruikersgegevens beheren. De aangebrachte wijzigingen zijn als volgt:
- Mogelijkheid om gegevens te bekijken en te verwijderen in ‘Mijn Activiteit’
- Een functie toegevoegd om te zoeken op onderwerp, datum en product
- Mogelijkheid om een privacy-instelling te vinden die bij je past
- Beheer en verberg de advertenties die worden weergegeven
- Inzicht in gegevens via het Google Dashboard
Daarnaast zijn, nog voordat de AVG werd ingevoerd, de beheermogelijkheden van gebruikersinformatie en advertenties vereenvoudigd om het beheer te vergemakkelijken.
Verbetering van Data Portabiliteit
Google biedt diverse diensten aan, zoals Google Foto’s, Drive, Agenda en Gmail. De maatregelen die Google neemt om de data portabiliteit te verbeteren in overeenstemming met de GDPR zijn als volgt:
- Uitbreiding van de diensten en beheeropties die het downloaden van gegevens ondersteunen
- Toevoeging van een functie om het regelmatig downloaden van gegevens te plannen
Verbetering van tools voor ouderlijke toestemming en gepast internetgebruik door kinderen
Google biedt de Family Link-app aan om ouders en kinderen te ondersteunen bij het gepast gebruik van het internet. Met Family Link kunnen ouders een account voor hun kinderen aanmaken.
De app maakt het mogelijk om thuisregels in te stellen en te beheren, zoals ‘beheer van gebruikstijd’ en ‘tijdelijke onderbreking van het apparaat’.
Ondersteuning voor zakelijke gebruikers en partners
Om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), hebben we het beleid bijgewerkt dat Google-partners (zoals adverteerders en websitebeheerders) helpt bij het vragen om toestemming van gebruikers op hun websites en in hun apps. Andere belangrijke updates zijn onder meer:
- Het aanbieden van tools die ondersteuning bieden bij de naleving van de AVG
- Het aanscherpen van het certificeringsproces voor bedrijven die gebruikmaken van Google’s advertentieservices
- Het bijwerken van de voorwaarden voor gegevensverwerking
- Het verstrekken van gedetailleerde informatie over gegevensportabiliteit en meldingen van data-incidenten
Versterking van het Privacy Compliance Programma
Om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), zijn we bezig met het versterken van ons Privacy Compliance Programma. De inhoud is als volgt:
- Verbetering van het privacyprogramma
- Versterking van het productbeoordelingsproces
Daarnaast documenteren we de gegevensverwerking op een meer omvattende manier.
Facebooks aanpak van de GDPR
Facebook heeft als reactie op de GDPR de volgende maatregelen aangekondigd:
- Verificatie van informatie verkregen uit getoonde advertenties
- Keuzevrijheid in profielinformatie
- Verificatie van gezichtsherkenningstechnologie (EU & Canada)
- Geüpdatete servicevoorwaarden & overeenkomsten over data
- Implementatie van functies die toegang tot, verwijdering en downloaden van informatie vergemakkelijken
- Informatieverstrekking aan jongeren
Hier lichten we de details toe.
Referentie: Facebook “Naleving van de Algemene Verordening Gegevensbescherming (GDPR) en de introductie van nieuwe privacybeschermingen[ja]“
Verificatie van informatie verkregen uit getoonde advertenties
Facebook-partners gebruiken informatie verkregen uit ‘Vind ik leuk’-klikken en tools die door Facebook worden aangeboden voor het tonen van advertenties. Facebook biedt gebruikers informatie over advertenties en stelt hen in staat te kiezen of ze informatie van partners willen gebruiken voor het tonen van advertenties.
Keuzevrijheid in profielinformatie
In Facebook-profielen staan politieke opvattingen, religieuze overtuigingen en relaties vermeld en gepubliceerd. Gebruikers kunnen kiezen of ze deze informatie in de toekomst openbaar willen blijven maken en of ze willen dat deze informatie wordt gebruikt voor advertenties.
Profielinformatie kan altijd vrij worden gekozen en indien gewenst door de gebruiker eenvoudig worden verwijderd.
Verificatie van gezichtsherkenningstechnologie (EU & Canada)
Facebook biedt gebruikers in EU-lidstaten en Canada de keuze om gezichtsherkenningstechnologie al dan niet te gebruiken. Ook gebruikers in andere regio’s kunnen hier vrij in kiezen.
Geüpdatete servicevoorwaarden & overeenkomsten over data
Er wordt een melding gemaakt die vraagt om akkoord te gaan met de ‘Servicevoorwaarden’ en ‘Data Policy’, die gedetailleerde informatie bevatten over vragen met betrekking tot de werking van de service.
Implementatie van functies die toegang tot, verwijdering en downloaden van informatie vergemakkelijken
Met het gebruik van ‘Persoonlijke Data Management Tools’ kunnen gebruikers hun eigen data controleren en verwijderen. Ook is het eenvoudiger gemaakt om data te downloaden en te exporteren.
De logfunctie van activiteiten op mobiele apparaten is bijgewerkt, waardoor gebruikers gemakkelijker kunnen controleren welke informatie ze in het verleden hebben gedeeld.
Informatieverstrekking aan jongeren
Facebook heeft al beperkingen ingesteld voor gebruikers in de tienerjaren. Deze zijn als volgt:
- Beperkingen in advertentiecategorieën
- Geen gebruik van gezichtsherkenning (onder 18 jaar)
- Beperkingen op het bekijken en zoeken van informatie gedeeld door tieners
Bovendien is de standaardinstelling zo ontworpen dat informatie niet ‘openbaar’ wordt gemaakt.
Om aan de GDPR te voldoen, heeft Facebook specifieke regels ingesteld. Voor gebruikers in EU-lidstaten is toestemming van de ouders vereist voor het bekijken van advertenties en het vermelden van profielinformatie (zoals religieuze overtuigingen en politieke opvattingen).
In andere regio’s kunnen gebruikers kiezen of ze data verkregen van partners willen gebruiken voor het tonen van advertenties en of ze persoonlijke informatie in hun profiel willen publiceren.
Samenvatting: De GDPR heeft een bredere reikwijdte voor persoonsgegevens dan de Japanse wetgeving en vereist naleving
Onder de GDPR zijn er diverse bepalingen zoals ‘het verduidelijken van het doel voor elke verzamelde informatie’, ‘het expliciet maken van het recht op verwijdering en data portabiliteit’ en ‘het expliciet maken van de bewaartermijn’, waardoor de rechten van gebruikers aanzienlijk breder zijn dan onder de traditionele Japanse wetgeving.
Bij overtreding van de GDPR kunnen bedrijven geconfronteerd worden met aanzienlijke boetes. Bedrijven die persoonsgegevens binnen de EU verwerken, moeten zich aanpassen aan de GDPR. Bedrijven die actief zijn of overwegen uit te breiden binnen de EU, moeten een privacybeleid opstellen dat in overeenstemming is met de GDPR.
Maatregelen van ons kantoor
Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in IT, en in het bijzonder op het gebied van internet en recht. In de recente jaren is het globale bedrijfsleven steeds verder uitgebreid, en de noodzaak voor juridische controle door experts neemt toe. Ons kantoor biedt oplossingen aan op het gebied van internationaal juridische zaken.
Expertisegebieden van Monolith Advocatenkantoor: Internationaal recht en buitenlandse zaken[ja]