Singapore Personal Data Protection Act 2012 (PDPA): Uitgebreide gids
De Singapore Personal Data Protection Act 2012 (PDPA) is een uitgebreide wet die het verzamelen, gebruiken en openbaar maken van persoonlijke gegevens in Singapore regelt. Het biedt een kader voor organisaties om de persoonlijke gegevens van hun klanten en medewerkers te beschermen, terwijl het individuen ook het recht geeft om controle te houden over hun persoonlijke informatie. In dit artikel geven we een volledig overzicht van de PDPA, inclusief de belangrijkste bepalingen, de rechten en verplichtingen van organisaties en de gevolgen van niet-naleving.
Wat wordt onder persoonlijke gegevens verstaan volgens de PDPA?
De PDPA definieert persoonlijke gegevens, vaak aangeduid als persoonlijk identificeerbare informatie (PII), als alle gegevens die betrekking hebben op een individu dat kan worden geïdentificeerd aan de hand van die gegevens, of aan de hand van die gegevens in combinatie met andere informatie waarover de organisatie beschikt. Dit omvat, maar is niet beperkt tot, iemands naam, NRIC-nummer, adres, telefoonnummer en e-mailadres.
De PDPA is van toepassing op organisaties die persoonlijke gegevens verzamelen, gebruiken of openbaar maken in het kader van hun bedrijfsactiviteiten. Persoonlijke gegevens verwijzen naar alle informatie waarmee een individu kan worden geïdentificeerd, waaronder maar niet beperkt tot namen, NRIC-nummers, adressen en contactgegevens.
Hoe verhoudt de PDPA zich tot andere privacywetten?
De PDPA wordt algemeen beschouwd als de strengste privacywet die momenteel bestaat, omdat het beperkingen oplegt aan wanneer en hoe persoonlijke gegevens mogen worden verzameld en verwerkt. Het bevat ook vereisten om betrokkenen te informeren over bepaalde openbaarmakingen en het recht om toestemming in te trekken.
In vergelijking met andere privacywetten, zoals de EU General Data Protection Regulation (GDPR), is de PDPA specifieker en gedetailleerder in haar vereisten voor gegevensbescherming, waardoor het effectiever is in het beschermen van gebruikersdata. Daarnaast stelt de PDPA hogere normen voor gegevensbescherming, waardoor het moeilijker wordt om gebruikersgegevens te verwerken zonder de juiste toestemming en wordt voorkomen dat bedrijven meer gegevens verzamelen dan noodzakelijk is. Om te voldoen aan privacyregelgeving zoals de PDPA, moeten organisaties ervoor zorgen dat hun risicobeheer cyberbeveiliging hierop is afgestemd.
Belangrijkste bepalingen van de PDPA
De PDPA bevat diverse belangrijke bepalingen waaraan organisaties zich moeten houden, waaronder:
1. Toestemming
Organisaties moeten toestemming verkrijgen van het individu voordat zij diens persoonlijke gegevens verzamelen, gebruiken of openbaar maken. Deze toestemming moet vrijwillig, specifiek en geïnformeerd zijn gegeven.
2. Doelbeperking
Organisaties mogen persoonlijke gegevens alleen verzamelen, gebruiken en openbaar maken voor de doeleinden waarvoor deze zijn verzameld, en voor geen andere doeleinden.
3. Gegevenskwaliteit
Organisaties moeten redelijke stappen ondernemen om ervoor te zorgen dat de persoonlijke gegevens die zij verzamelen juist, volledig en actueel zijn.
4. Gegevensbewaring
Organisaties moeten persoonlijke gegevens vernietigen of anonimiseren die niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld.
5. Gegevensbeveiliging
Organisaties moeten redelijke stappen nemen om persoonlijke gegevens te beschermen tegen ongeautoriseerde toegang, verzameling, gebruik, openbaarmaking, kopiëren, wijziging of verwijdering.
Rechten en verplichtingen van organisaties onder de PDPA
Onder de PDPA hebben organisaties diverse verplichtingen, waaronder:
1. Informatieplicht
Organisaties moeten individuen informeren over hun beleid en praktijken met betrekking tot het verzamelen, gebruiken en openbaar maken van persoonlijke gegevens.
2. Beschermingsplicht
Organisaties moeten redelijke stappen nemen om persoonlijke gegevens te beschermen tegen ongeautoriseerde toegang, verzameling, gebruik, openbaarmaking, kopiëren, wijziging of verwijdering.
3. Correctieplicht
Organisaties moeten redelijke stappen ondernemen om ervoor te zorgen dat persoonlijke gegevens juist, volledig en actueel zijn.
4. Taken van data controllers en data processors
Data controllers zijn verantwoordelijk voor het verzamelen en gebruiken van persoonlijke gegevens, en data processors zijn verantwoordelijk voor het verwerken van persoonlijke gegevens namens de data controller. Zowel data controllers als data processors moeten passende maatregelen nemen om de persoonlijke gegevens die zij verwerken te beschermen.
Naleving van de PDPA
Organisaties moeten voldoen aan de PDPA en de bijbehorende regelgeving. Het handhavingsproces omvat onderzoeken en handhavingsmaatregelen, zoals waarschuwingen, aanwijzingen en financiële boetes. Om naleving te waarborgen, dienen organisaties beleid en procedures voor gegevensbescherming op te stellen en een Functionaris voor gegevensprivacy (DPO: Data Protection Officer) aan te stellen die toezicht houdt op de naleving.
Gevolgen van niet-naleving van de PDPA
Organisaties die de PDPA overtreden kunnen aanzienlijke gevolgen ondervinden, waaronder:
1. Financiële boetes
Organisaties kunnen tot SGD 1 miljoen worden beboet voor ernstige overtredingen van de PDPA.
2. Reputatieschade
Organisaties die de PDPA overtreden kunnen aanzienlijke reputatieschade oplopen, wat hun bedrijfsvoering negatief kan beïnvloeden.
3. Vertrouwensverlies
Organisaties die de PDPA overtreden kunnen het vertrouwen van hun klanten en medewerkers verliezen, wat moeilijk te herstellen is.
Impact van de PDPA op bedrijven in Singapore
De PDPA heeft een grote impact op bedrijven in Singapore, omdat zij strikte maatregelen voor gegevensbescherming moeten implementeren om de veiligheid van persoonlijke gegevens te waarborgen. Dit omvat regelmatige training van medewerkers, het ontwikkelen van beleid en procedures voor gegevensbescherming en investeren in technologie om gegevens te beveiligen.
Praktijksituaties waarin de PDPA van toepassing is, zijn onder meer online betalingstransacties, klantonderzoeken en personeelsdossiers. Recente handhavingsmaatregelen betroffen organisaties die onvoldoende maatregelen hadden genomen om persoonlijke gegevens te beschermen, wat leidde tot boetes en andere sancties.
Is de PDPA van toepassing op PII die buiten Singapore wordt verzameld, gebruikt of openbaar gemaakt?
Ja, de PDPA is van toepassing op persoonlijke gegevens die buiten Singapore worden verzameld, gebruikt of openbaar gemaakt, zolang de gegevens betrekking hebben op een individu dat in Singapore woont. Dit betekent dat bedrijven en organisaties die dergelijke gegevens verwerken zich moeten houden aan de principes van bescherming en verantwoordelijkheid die door de PDPA zijn vastgesteld. De PDPA is ook van toepassing op persoonlijke gegevens die in Singapore worden verwerkt en vervolgens naar andere landen of regio’s worden overgedragen.
Kiteworks Private Content Network en de PDPA
Bedrijven in de private sector moeten voldoen aan de PDPA door digitale communicatie met PII van personen in Singapore te volgen, te controleren en te beveiligen. Traditioneel maken bedrijven gebruik van diverse tools voor het veilig verzenden en delen van gegevens, zoals e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en application programming interfaces (API’s). Dit maakt het voor bedrijven lastig om centraal en geautomatiseerd governance van gevoelige gegevens te behouden, evenals een geïntegreerde aanpak van risicobeheer.
Kiteworks verenigt al deze verschillende communicatiekanalen voor content in één platform. Beheerders kunnen consistente beleidsregels toepassen op het niveau van individuele gebruikers en dataclassificaties, en tracking en rapportages inzetten om naleving van de PDPA en andere privacyregelgeving, zoals de General Data Protection Regulation (GDPR), de California Consumer Privacy Act (CCPA) en de Personal Information Protection and Electronic Documents Act (PIPEDA), aan te tonen.
Het Kiteworks Private Content Network wordt beschermd met de Kiteworks hardened virtual appliance, die is ontworpen met een ingebouwde netwerkfirewall en WAF, zero-trust least-privilege toegang en een minimaal aanvalsoppervlak. De Kiteworks hardened virtual appliance biedt ook interne beschermingslagen, waaronder kunstmatige intelligentie (AI)-gebaseerde anomaliedetectie, geavanceerde inbraakdetectie en waarschuwingen, en zero-day threat blocking, die de impact van kwetsbaarheden en cyberaanvallen verminderen.
Voor meer informatie over hoe het Kiteworks Private Content Network organisaties in staat stelt om naleving van de PDPA en andere privacyregelgeving aan te tonen, plan vandaag nog een op maat gemaakte demo.