Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Wet bescherming persoonsgegevens 2018

Startpagina Woordenlijst Wet bescherming persoonsgegevens 2018

Wat is de Data Protection Act? De Data Protection Act 2018 is de wet bescherming persoonsgegevens die van toepassing is in het Verenigd Koninkrijk.

Wetgeving rondom gegevensbescherming is door veel wetgevende instanties wereldwijd aangenomen. De Data Protection Act 2018 is het equivalent hiervan voor het Verenigd Koninkrijk. De wet geldt voor alle bedrijven of organisaties die niet-openbare persoonlijke informatie (NPI) van inwoners van het VK verzamelen.

Wet bescherming persoonsgegevens 2018

Wat heeft geleid tot de Data Protection Act

Voor 2018 werd gegevensbescherming in het VK geregeld door de Data Protection Act van 1998. In de jaren daarna vonden er veel technologische ontwikkelingen plaats op digitaal gebied, die grote invloed hadden op de manier waarop organisaties persoonlijke gegevens verzamelden en verwerkten. Dit leidde tot spraakmakende datalekken en minder ernstige incidenten met persoonlijk identificeerbare informatie (PII), waardoor bedrijven en consumenten risico liepen.

Landen in Europa, zoals het VK en Frankrijk, startten gesprekken over het actualiseren van hun privacywetgeving door het aannemen van eigen regelgeving voor gegevensbescherming. Ondertussen nam de Europese Unie de General Data Protection Regulation (GDPR) aan. In 2018 stemde het VK voor vertrek uit de EU via het bekende Brexit-proces. Toch had het VK een wet nodig om te waarborgen dat GDPR-protocollen van toepassing bleven op inwoners van het VK.

Het resultaat was de invoering van de Data Protection Act in 2018. Naast de GDPR is de Data Protection Act qua reikwijdte vergelijkbaar met de Personal Information Protection and Electronic Documents Act (PIPEDA) in Canada en de California Consumer Privacy Act (CCPA).

Persoonsgegevens zoals gedefinieerd in de wet

De Data Protection Act definieert persoonsgegevens als alle informatie die kan worden gebruikt om een levend persoon te identificeren, volledig of gedeeltelijk.

Speciale categorieën van gegevens

De wet definieert speciale categorieën van gegevens als persoonsgegevens die gevoelig zijn en daarom een nog hoger niveau van privacy en bescherming vereisen. Dit omvat gegevens zoals:

  • Biometrisch
  • Ras
  • Seksuele geaardheid
  • Religieuze overtuigingen
  • Politieke overtuigingen
  • Lichamelijke en geestelijke gezondheidscondities
  • Seksueel leven en seksuele geaardheid

Vertrouwelijke gegevens

Vertrouwelijke gegevens zijn alle gegevens die in vertrouwen tussen twee partijen worden gedeeld. Dit kan van persoonlijke aard zijn of niet. Zolang het echter niet openbaar is, wordt het beschermd door de Data Protection Act.

Verschillen tussen de Data Protection Act en GDPR

De Data Protection Act biedt dezelfde bescherming als de GDPR aan inwoners van de EU. De wet neemt vrijwel alle principes van de GDPR over, met slechts enkele verschillen om land-specifieke kwesties te verduidelijken. Een belangrijk verschil is dat de Data Protection Act onbeperkte boetes oplegt aan bedrijven en individuen die geanonimiseerde gegevens benaderen en proberen te identificeren.

Een ander verschil is dat de Data Protection Act verder gaat en bepaalde uitzonderingen biedt wanneer persoonsgegevens zonder toestemming van de gebruiker mogen worden verwerkt. Dit geldt vooral voor zaken rondom nationale veiligheid, immigratie en inlichtingendiensten.

Een ander opvallend verschil is de leeftijd waarop geldige toestemming voor gegevensverwerking mag worden gegeven. In de EU GDPR is de leeftijd 16 jaar, terwijl deze in de Data Protection Act 13 jaar is.

Hoe voldoe je aan de Data Protection Act

Misschien wel de belangrijkste vraag voor bedrijven die gegevens van inwoners van het VK verzamelen is hoe zij aan alle bepalingen van de Data Protection Act kunnen voldoen.

Net als bij andere privacywetten wereldwijd is naleving niet eenvoudig, zeker niet als het risicobeheer cyberbeveiliging van een organisatie niet robuust is. Hieronder staan enkele kernvereisten van de Data Protection Act:

Plaats een privacybeleid

Om naleving van regelgeving te waarborgen, is het verplicht om een privacybeleid openbaar te delen met de gebruikers van een bedrijf. Dit beleid moet in duidelijke taal beschrijven hoe gegevens worden verzameld en verwerkt.

Vermeld de wettelijke grondslag voor verwerking van PII

Volgens de Data Protection Act zijn er diverse wettelijke grondslagen voor het verwerken van PII-gegevens. Deze zijn hetzelfde als in de GDPR:

  • Toestemming van de consument (meest voorkomende reden waarom bedrijven persoonsgegevens verwerken)
  • Uitvoering van een contract
  • Wettelijke verplichting
  • Algemeen belang
  • Gerechtvaardigd belang
  • Vitaal belang

De zakelijke reden voor het verzamelen en verwerken van PII moet onder een van deze grondslagen vallen om aan de wet te voldoen.

Toestemming voor verzamelen en verwerken

Nadat een wettelijke grondslag is vastgesteld, is de volgende stap om toestemming van de gebruiker te vragen voor het verzamelen en verwerken van hun gegevens. Om in het VK als rechtsgeldig te gelden, moet toestemming:

  • Vrij gegeven
  • Expliciet
  • Onoverduidelijk
  • Ingelicht
  • Geregistreerd

Om aan bovenstaande te voldoen, moeten organisaties de eerder besproken rechten aan gebruikers bekendmaken en deze waarborgen.

Stel een Data Protection Officer aan

De Data Protection Act vereist dat je een Data Protection Officer aanstelt als je een overheidsinstantie bent of als jouw organisatie grootschalig en systematisch persoonsgegevens verzamelt en verwerkt.

De naam en contactgegevens van de Data Protection Officer moeten duidelijk zichtbaar zijn in je privacybeleid.

Stel protocollen in voor datalekken

Als er een datalek plaatsvindt waarbij PII van inwoners van het VK wordt gelekt, vereist de Data Protection Act dat organisaties het Information Commissioner’s Office in het VK binnen 72 uur informeren. Ook betrokken individuen moeten op de hoogte worden gebracht van het lek en van de genomen maatregelen om hun gegevens te beschermen.

Stel beleid op voor gegevensverzameling en -bewaring

Om te voldoen aan de Data Protection Act is het essentieel dat organisaties het verzamelen en bewaren van gegevens beperken tot alleen de meest noodzakelijke redenen. Het bewaren van ongebruikte persoonsgegevens of het verwerken ervan buiten de oorspronkelijke toestemming is een overtreding van de wet, wat kan leiden tot een boete.

Implementeer Privacy by Design

Privacy by design is een belangrijk onderdeel van alle privacywetten. Dit is een cyberbeveiligingsbeleid, wat betekent dat alle processen, systemen, infrastructuur en mensen die met PII werken een privacy-first mentaliteit moeten hebben.

Zeven principes van de Data Protection Act

Voor organisaties die PII verwerken van inwoners van het VK is inzicht in de zeven principes van de Data Protection Act de sleutel tot naleving van deze wet. Deze principes moeten de leidende waarden en basis vormen bij het verzamelen en verwerken van alle persoonsgegevens.

Wie deze principes doorneemt, merkt dat ze terugkomen in meerdere wetten voor gegevensbescherming en in diverse rechtsbevoegdheden. In grote mate zijn deze principes ook van toepassing op GDPR, PIPEDA, CCPA, Health Insurance Portability and Accountability Act (HIPAA), Debt Collection Improvement Act (DCIA) en de Japanse wet op de bescherming van persoonlijke informatie (APPI).

Rechtmatigheid, eerlijkheid en transparantie

Dit principe bepaalt dat het gebruik van persoonsgegevens rechtmatig en eerlijk moet zijn, en dat gebruikers moeten begrijpen waarvoor ze toestemming geven. De Data Protection Act vereist dat organisaties duidelijke, begrijpelijke en nauwkeurige taal gebruiken in hun beleid voor gegevensverwerking.

Doelbeperking

Dit principe stelt dat PII alleen mag worden gebruikt voor het specifieke doel waarvoor het is verzameld en waarvoor de gebruiker correct is geïnformeerd en het begrepen heeft. Het principe is bedoeld om te voorkomen dat persoonsgegevens die voor één doel zijn verzameld, op ongepaste wijze voor andere doeleinden worden verwerkt.

Dataminimalisatie

Dit principe beperkt het vermogen van een organisatie om gegevens te verzamelen op een schaal die hun wettelijk gebruik overschrijdt. Organisaties mogen alleen gegevens verzamelen die relevant en beperkt zijn tot het beoogde doel.

Nauwkeurigheid

Dit is een bekend principe in de meeste privacywetten. Het betekent simpelweg dat alle persoonsgegevens accuraat moeten zijn, en dat organisaties de verantwoordelijkheid hebben om onjuiste gegevens op verzoek van een gebruiker bij te werken.

Beperking van opslag

Tenzij gerechtvaardigd, mogen organisaties persoonsgegevens niet onbeperkt bewaren.

Integriteit en vertrouwelijkheid

Dit is wellicht het principe waar de meeste organisaties moeite mee hebben als er datalekken plaatsvinden. Het principe vereist dat passende maatregelen worden genomen om persoonsgegevens te beveiligen, zowel fysiek als digitaal.

Verantwoording

Het laatste principe vereist dat organisaties goede administratie bijhouden om aan te tonen dat ze voldoen aan de Data Protection Act.

Individuele rechten van gebruikers onder de Data Protection Act

Bovenop de zeven principes beschrijft de Data Protection Act de individuele rechten van burgers die organisaties moeten waarborgen. De principes en bijbehorende rechten vormen de kern van de Data Protection Act. Organisaties moeten het volgende naleven om aan de Data Protection Act te voldoen:

Recht op informatie

Gebruikers hebben het recht om geïnformeerd te worden wanneer hun persoonsgegevens worden verzameld, verwerkt, gebruikt en gedeeld. Organisaties zijn verantwoordelijk voor het communiceren van het beoogde doel van het bewaren en verwerken van deze gegevens en het verkrijgen van geïnformeerde toestemming.

Recht op inzage

Gebruikers hebben het recht om inzage te vragen in alle gegevens die een organisatie over hen bewaart.

Recht op rectificatie

Dit komt overeen met het principe van nauwkeurigheid dat eerder werd besproken. Gebruikers of betrokkenen, zoals gedefinieerd in de Data Protection Act, hebben het recht om correctie van hun persoonsgegevens te verzoeken.

Recht op verwijdering

Dit is het bekende recht om vergeten te worden, waar veel grote bedrijven in de rechtszaal tegen hebben gevochten. Het geeft betrokkenen het recht om verwijdering van hun persoonsgegevens te verzoeken. Dit geldt wanneer de persoon van mening is dat er geen reden meer is voor een organisatie om hun gegevens te blijven bewaren en verwerken.

Recht om verwerking te beperken

Betrokkenen hebben het recht om de verwerking van hun persoonsgegevens te blokkeren of te beperken vanwege onjuiste gegevens of hangende juridische bezwaren.

Recht op overdraagbaarheid van gegevens

Gebruikers hebben het recht om ervoor te zorgen dat hun persoonsgegevens toegankelijk zijn in een formaat waarmee deze gegevens opnieuw gebruikt kunnen worden zonder dat ze telkens opnieuw hoeven te worden aangeleverd.

Recht van bezwaar

Onder bepaalde omstandigheden hebben individuen het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens. Organisaties zijn verplicht betrokkenen over dit recht te informeren.

Recht om geautomatiseerde besluitvorming en profilering aan te vechten

Individuen hebben het recht om zich af te melden voor geautomatiseerde besluitvorming met betrekking tot hun persoonsgegevens en voor profilering via een geautomatiseerd proces. Zij hebben het recht om een beoordeling door een mens te vragen.

Sancties bij niet-naleving

De Data Protection Act stelt de sancties bij niet-naleving vast als een maximale boete van £17,5 miljoen of 4% van de wereldwijde omzet in het voorgaande boekjaar voor de ernstigste gevallen van niet-naleving. Bij het niet melden van een datalek aan het Information Commissioner’s Office in het VK en andere overtredingen is de maximale boete £8,7 miljoen of 2% van de wereldwijde omzet van een bedrijf. Andere sancties, zoals omschreven in de Data Protection Act, zijn een tijdelijk of permanent verbod op het verzamelen en verwerken van gegevens.

Naleving van communicatie met gevoelige inhoud

Organisaties hebben een allesomvattende privacy- en nalevingsaanpak nodig voor communicatie met gevoelige inhoud. Naleving van de Data Protection Act vereist dat organisaties privé-PII-communicatie—zowel intern als extern—volgen, controleren en beveiligen, en een audittrail kunnen aantonen op basis van hoe deze gegevens onderweg en in rust worden beveiligd, wie er toegang toe heeft, met wie ze gedeeld worden en welke apparaten zijn gebruikt.

Aangezien organisaties vaak meerdere communicatiekanalen inzetten, waaronder e-mail, bestandsoverdracht, file transfer, beheerde bestandsoverdracht, webformulieren en application programming interfaces (API’s), is een geïntegreerde aanpak vereist. Maar de meeste organisaties gebruiken meer dan vier tools voor het beheren van communicatie met gevoelige inhoud—wat zorgt voor extra complexiteit en een groter risico.

Het Kiteworks-platform stelt organisaties in staat Private Content Networks te creëren voor governance, naleving en bescherming van communicatie met gevoelige inhoud. Plan een aangepaste demo van het Kiteworks-platform om te ontdekken hoe het PII centraliseert, volgt, controleert en beveiligt en organisaties helpt te voldoen aan de Data Protection Act en andere regelgeving.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks