Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > UK Data Protection Act 2018: Belangrijke overwegingen voor organisaties die persoonlijk identificeerbare informatie (PII) van Britse burgers delen
UK Data Protection Act 2018: Belangrijke overwegingen voor organisaties die persoonlijk identificeerbare informatie (PII) van Britse burgers delen

UK Data Protection Act 2018: Belangrijke overwegingen voor organisaties die persoonlijk identificeerbare informatie (PII) van Britse burgers delen

by Danielle Barbour updated september 1, 2025 Veilige bestandsdeling
Reading Time: 12 minutes

In de huidige, onderling verbonden wereld, waarin gegevens moeiteloos over grenzen stromen, is het waarborgen van naleving van regelgeving rondom gegevensbescherming van het grootste belang voor internationale organisaties. De U.K. Data Protection Act 2018 (DPA 2018) is een belangrijke wetgeving die de regels en voorschriften uiteenzet voor het omgaan met persoonlijk identificeerbare informatie (PII) van Britse burgers. Deze Blog Post biedt een uitgebreid overzicht van de belangrijkste aandachtspunten waarmee internationale organisaties rekening moeten houden om te voldoen aan de DPA 2018 en de privacyrechten van Britse burgers te beschermen.

Wat zijn de beste Beveiligde bestandsoverdracht use cases in diverse sectoren

Lees nu

U.K. Data Protection Act 2018: Een korte introductie

De U.K. Data Protection Act 2018 is de belangrijkste wetgeving voor gegevensbescherming in het Verenigd Koninkrijk. De wet is bedoeld om de privacy en rechten van individuen te beschermen van wie persoonlijke gegevens door organisaties worden verwerkt. De DPA 2018 sluit aan bij de EU’s General Data Protection Regulation (GDPR) en biedt, net als de GDPR, een juridisch kader voor het verzamelen, opslaan en verwerken van persoonsgegevens.

De DPA 2018 fungeert als de voornaamste wetgeving die het gegevensbeschermingsbeleid binnen het Verenigd Koninkrijk reguleert. De wet is opgesteld met als doel een volledig juridisch kader te bieden dat ervoor zorgt dat elke organisatie die persoonlijke gegevens van Britse burgers verwerkt, dit op een verantwoorde en veilige manier doet. De DPA 2018 stelt duidelijke richtlijnen en vereiste op voor het verzamelen, opslaan en verwerken van persoonsgegevens van Britse burgers, met als doel een balans te vinden tussen het mogelijk maken van legitiem datagebruik en het beschermen van de fundamentele rechten op privacy en gegevensbescherming van burgers.

Naleving van de DPA 2018 is cruciaal voor organisaties om vertrouwen en transparantie te behouden bij hun Britse klanten en stakeholders, terwijl zij hun wettelijke verplichtingen op het gebied van gegevensbescherming nakomen.

Het niet naleven van de DPA 2018 kan ernstige gevolgen hebben voor organisaties. Het Information Commissioner’s Office (ICO) is verantwoordelijk voor de handhaving van de DPA 2018 in het VK en heeft de bevoegdheid om aanzienlijke boetes en sancties op te leggen bij niet-naleving. In algemene zin kan de ICO boetes opleggen tot £17,5 miljoen of 4% van de jaarlijkse wereldwijde omzet van een bedrijf, afhankelijk van welk bedrag hoger is, bij de ernstigste schendingen van de regelgeving rondom gegevensbescherming. Voor minder ernstige overtredingen kunnen de boetes nog steeds aanzienlijk zijn, tot £8,7 miljoen of 2% van de jaarlijkse wereldwijde omzet. Deze boetes kunnen een grote financiële impact hebben op organisaties, hun winstgevendheid aantasten en mogelijk leiden tot financiële instabiliteit.

Buiten financiële sancties kan niet-naleving van de DPA 2018 ook andere negatieve gevolgen hebben. Organisaties kunnen reputatieschade oplopen en het vertrouwen van klanten en stakeholders verliezen. Dit kan leiden tot een afname van klantloyaliteit, dalende verkopen en mogelijke verstoringen van de bedrijfsvoering. Bovendien kunnen betrokkenen van wie de rechten zijn geschonden, juridische stappen ondernemen, wat kan leiden tot kostbare rechtszaken en verdere reputatieschade voor de organisatie.

Reikwijdte van de U.K. Data Protection Act 2018

De DPA 2018 omvat diverse aspecten van gegevensbescherming binnen het Verenigd Koninkrijk. De wet is van toepassing op het verwerken van persoonsgegevens door organisaties die in het VK actief zijn, evenals organisaties buiten het VK die persoonsgegevens verwerken van individuen die in het VK wonen. Dit betekent dat elke organisatie die persoonsgegevens verwerkt, ongeacht omvang of sector, onder de wet valt als aan de criteria uit de wetgeving wordt voldaan.

Soorten persoonsgegevens die onder de wet vallen zijn onder andere:

  • Namen en adressen: Volledige namen, woonadressen, e-mailadressen en telefoonnummers van personen worden als persoonsgegevens beschouwd.
  • Identificatienummers: National insurance-nummers, paspoortnummers, rijbewijsnummers en andere door de overheid uitgegeven identificatienummers worden als persoonsgegevens beschouwd.
  • Financiële informatie: Bankrekeninggegevens, creditcardnummers en andere financiële gegevens die aan een individu zijn gekoppeld, worden als persoonsgegevens beschouwd.
  • Gezondheidsinformatie: Medische dossiers, behandelgeschiedenis en alle andere gezondheidsgerelateerde informatie die aan een individu kan worden gekoppeld, worden als persoonsgegevens beschouwd.
  • Biometrische gegevens: Vingerafdrukken, gezichtsherkenningsgegevens en andere biometrische informatie die een individu uniek kunnen identificeren, vallen onder de categorie persoonsgegevens.
  • Social media-informatie: Gebruikersnamen, profielen en alle andere gegevens die aan de social media-accounts van een individu zijn gekoppeld, worden als persoonsgegevens beschouwd.
  • Arbeidsgegevens: Medewerkersdossiers, waaronder arbeidsovereenkomsten, salarisinformatie en prestatiebeoordelingen, worden als persoonsgegevens beschouwd.

Verder is de DPA 2018 van toepassing op zowel data controllers als data processors. Een data controller is een entiteit die het doel en de middelen van gegevensverwerking bepaalt, terwijl een data processor persoonsgegevens verwerkt namens de data controller. Beide partijen hebben specifieke verantwoordelijkheden en verplichtingen onder de wet.

Gegevensbeschermingsmaatregelen voor naleving van de U.K. Data Protection Act 2018

De onderstaande tabel belicht belangrijke gegevensbeschermingsmaatregelen die internationale organisaties moeten implementeren om te voldoen aan de U.K. Data Protection Act 2018. Elke maatregel draagt bij aan het beschermen van PII, het waarborgen van gegevensintegriteit en het verkleinen van het risico op ongeautoriseerde toegang of datalekken. We lichten deze maatregelen later verder toe en geven advies over de implementatie en relevantie voor naleving van de wet.

DPA 2018-maatregel Beschrijving
Encryptie Gebruik encryptiemethoden om gevoelige PII zowel tijdens verzending als in rust te beschermen.
Toegangscontrole Implementeer toegangscontrole om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot en de gegevens kunnen verwerken.
Veilige gegevensopslag Gebruik beveiligde servers en opslagmethoden om PII te beschermen tegen ongeautoriseerde toegang of datalekken.
Regelmatige beveiligingsaudits Voer regelmatig beveiligingsaudits en kwetsbaarheidsbeoordelingen uit om potentiële zwakke plekken te identificeren en aan te pakken.
Personeel opleiden Bied uitgebreide training aan personeel over beste practices in gegevensbescherming en het belang van PII-beveiliging.
Dataminimalisatie Verzamel en verwerk alleen de minimale hoeveelheid PII die nodig is voor het beoogde doel.
Privacy by Design Implementeer privacyprincipes en -praktijken vanaf de ontwerpfase van systemen en processen.
Datalekresponsplan Ontwikkel een robuust plan om te reageren op en de impact te beperken van mogelijke datalekken.

Belangrijkste principes van de U.K. Data Protection Act 2018

De DPA 2018 is gebaseerd op diverse kernprincipes waaraan organisaties zich moeten houden bij het verwerken van persoonsgegevens. Deze principes zijn onder andere:

  • Rechtmatigheid, eerlijkheid en transparantie: Organisaties moeten persoonsgegevens op een rechtmatige manier verwerken, waarbij eerlijkheid en transparantie in hun gegevensverwerkingspraktijken centraal staan.
  • Doelbeperking van persoonsgegevens: Persoonsgegevens mogen alleen worden verzameld en verwerkt voor gespecificeerde, expliciete en legitieme doeleinden.
  • Dataminimalisatieprincipe: Organisaties mogen alleen persoonsgegevens verzamelen en verwerken die noodzakelijk zijn voor de beoogde doeleinden.
  • Nauwkeurigheid van persoonsgegevens: Organisaties moeten de juistheid van de persoonsgegevens waarborgen en redelijke stappen ondernemen om eventuele onjuistheden te corrigeren.
  • Beperkte opslag van persoonsgegevens: Persoonsgegevens mogen niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze zijn verzameld.
  • Integriteit en vertrouwelijkheid ter bescherming van persoonsgegevens: Organisaties moeten passende beveiligingsmaatregelen nemen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of schade.
  • Privacy van gegevens en verantwoordelijkheid en aansprakelijkheid: Organisaties moeten kunnen aantonen dat zij zich houden aan de gegevensbeschermingsprincipes en verplichtingen zoals vastgelegd in de wetgeving.

Beste practices voor naleving van de DPA 2018 bij het delen van PII

Bij het delen van PII moeten organisaties navigeren tussen de wettelijke vereiste en principes die in de wet zijn vastgelegd om niet-naleving en mogelijke juridische gevolgen te voorkomen. Door de bepalingen van de wet te begrijpen en passende maatregelen te implementeren, kunnen organisaties PII beschermen en vertrouwen opbouwen bij de personen van wie zij gegevens verwerken. Deze beste practices zijn onder andere:

Bepaal uw wettelijke grondslag voor het verwerken van PII

De U.K. DPA 2018 vereist dat organisaties een geldige wettelijke grondslag hebben voor het verwerken van PII. Voordat gegevens worden gedeeld, moeten internationale organisaties een passende wettelijke grondslag kiezen uit de lijst die in de wet wordt genoemd, zoals toestemming, contractuele noodzaak, wettelijke verplichting, vitale belangen, publieke taak of gerechtvaardigd belang. Het is essentieel om te beoordelen welke wettelijke grondslag past bij het doel waarvoor de gegevens worden gedeeld. Toestemming vereist bijvoorbeeld dat organisaties expliciete en geïnformeerde toestemming verkrijgen van individuen voordat hun PII wordt gedeeld. Dit betekent dat het doel en de reikwijdte van het delen van gegevens duidelijk moeten worden gecommuniceerd en dat er een eenvoudige optie moet zijn om toestemming in te trekken. Het is belangrijk om de verkregen toestemming te documenteren om naleving van de wet aan te tonen.

Begrijp de rechten van individuen met betrekking tot persoonsgegevens

De U.K. Data Protection Act 2018 kent individuen bepaalde rechten toe met betrekking tot hun persoonsgegevens. Internationale organisaties moeten zich vertrouwd maken met deze rechten en ervoor zorgen dat zij deze kunnen waarborgen bij het delen van PII van Britse burgers. Het recht op informatie vereist dat organisaties transparant zijn over hoe de gegevens worden gebruikt, met wie ze worden gedeeld en welke rechten individuen hebben met betrekking tot hun gegevens. Het recht op inzage stelt individuen in staat om een kopie op te vragen en te ontvangen van hun persoonsgegevens die door een organisatie worden bewaard.

Organisaties moeten processen hebben om dergelijke verzoeken snel af te handelen. Het recht op rectificatie stelt individuen in staat om onjuiste of onvolledige gegevens te corrigeren, terwijl het recht op verwijdering (of “recht om vergeten te worden”) individuen het recht geeft om in bepaalde gevallen verwijdering van hun gegevens te verzoeken. Het recht om verwerking te beperken geeft individuen de mogelijkheid om de verwerking van hun gegevens te beperken, en het recht op overdraagbaarheid stelt hen in staat hun persoonsgegevens te verkrijgen en te hergebruiken bij diverse diensten. Het recht van bezwaar geeft individuen het recht om in bepaalde situaties bezwaar te maken tegen de verwerking van hun gegevens. Daarnaast behandelt de wet rechten met betrekking tot geautomatiseerde besluitvorming en profilering. Organisaties moeten ervoor zorgen dat zij deze rechten kunnen waarborgen en een duidelijk proces bieden voor individuen om hun rechten uit te oefenen.

Implementeer passende beveiligingsmaatregelen om PII te beschermen

Het beschermen van de veiligheid en vertrouwelijkheid van persoonsgegevens is essentieel voor naleving van de U.K. Data Protection Act 2018. Internationale organisaties moeten passende beveiligingsmaatregelen nemen om PII te beschermen tegen ongeautoriseerde toegang, openbaarmaking, wijziging of vernietiging. Zo moet encryptie worden gebruikt om gevoelige gegevens zowel tijdens verzending als in rust te beschermen. Toegangscontrole en digital rights management (DRM) moeten worden geïmplementeerd om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot de gegevens.

Veilige gegevensopslag, zoals het gebruik van beveiligde servers en het regelmatig patchen van softwarekwetsbaarheden, is essentieel. Regelmatige beveiligingsaudits en kwetsbaarheidsbeoordelingen helpen om eventuele zwakke plekken in de systemen en applicaties waarin PII wordt opgeslagen en gedeeld, te identificeren en aan te pakken. Tot slot moeten organisaties hun personeel uitgebreid trainen in beste practices voor gegevensbescherming en het veilig omgaan met PII.

Identificeer de PII in uw bezit

Volgens de U.K. Data Protection Act 2018 verwijst persoonlijk identificeerbare informatie naar alle informatie waarmee een individu direct of indirect kan worden geïdentificeerd. Voorbeelden van PII onder de DPA 2018 zijn onder andere:

  1. Namen: Volledige namen of andere namen waarmee een individu uniek kan worden geïdentificeerd.
  2. Adressen: Woon- of zakelijke adressen, inclusief straatnamen, postcodes en plaatsnamen.
  3. E-mailadressen: Persoonlijke of zakelijke e-mailadressen die aan een individu zijn gekoppeld.
  4. Telefoonnummers: Persoonlijke of zakelijke telefoonnummers, waaronder mobiel, vast of faxnummers.
  5. Burgerservicenummers: Unieke identificatienummers die door de overheid aan individuen zijn toegekend voor sociale zekerheidsdoeleinden.
  6. National insurance-nummers: Unieke identificatienummers die door de overheid aan individuen zijn toegekend voor sociale zekerheid en belastingdoeleinden.
  7. Paspoortnummers: Identificatienummers op paspoorten, waarmee individuen uniek worden geïdentificeerd voor reisdoeleinden.
  8. Rijbewijsnummers: Nummers die aan individuen op hun rijbewijs zijn toegekend, waarmee zij uniek worden geïdentificeerd voor rijdoeleinden.
  9. Financiële rekeningnummers: Bankrekeningnummers, creditcardnummers of andere financiële identificatiegegevens die aan een individu zijn gekoppeld.
  10. Geboortedatum: De specifieke geboortedatum van een individu, waarmee deze uniek kan worden geïdentificeerd.

Het is belangrijk om te benadrukken dat dit geen uitputtende lijst is en dat andere soorten informatie waarmee een individu direct of indirect kan worden geïdentificeerd, ook als PII kunnen worden beschouwd onder de DPA 2018. Organisaties en individuen moeten voorzichtig zijn en relevante regelgeving rondom gegevensbescherming volgen om persoonsgegevens te beschermen en te voldoen aan de wet.

Verkrijg expliciete toestemming voordat u PII verwerkt

Toestemming is een fundamenteel aspect van de U.K. Data Protection Act 2018. Bij het delen van PII van Britse burgers moeten internationale organisaties expliciete en geïnformeerde toestemming verkrijgen van individuen. Toestemming moet vrij gegeven, specifiek en eenvoudig in te trekken zijn. Organisaties moeten het doel en de reikwijdte van het delen van gegevens duidelijk communiceren aan individuen, zodat zij begrijpen waarvoor zij toestemming geven. Het is belangrijk om individuen een duidelijke en eenvoudig te gebruiken methode te bieden om hun toestemming op elk moment in te trekken. Organisaties moeten een administratie bijhouden van de ontvangen toestemming om naleving van de wet aan te tonen.

Beperk de toegang tot PII

Het beperken van de toegang tot persoonlijk identificeerbare informatie (PII) is essentieel voor het waarborgen van dataprivacy en het naleven van regelgeving rondom gegevensbescherming. Hier zijn enkele belangrijke maatregelen voor dataprivacy bij het beperken van toegang tot PII:

  1. Geautoriseerde personen: Verleen toegang tot PII alleen aan personen die deze nodig hebben om hun werkzaamheden uit te voeren. Dit zorgt ervoor dat alleen degenen die de informatie nodig hebben, toegang krijgen, waardoor het risico op ongeautoriseerde blootstelling of misbruik wordt verminderd.
  2. Gebruikersauthenticatiemechanismen: Implementeer robuuste gebruikersauthenticatiemechanismen om de identiteit van personen die toegang tot PII zoeken te verifiëren. Dit omvat doorgaans multi-factor authentication, waarbij unieke inloggegevens zoals gebruikersnamen en wachtwoorden én aanvullende gegevens zoals een SMS-code of biometrie vereist zijn voordat toegang tot gevoelige gegevens wordt verleend.
  3. Rolgebaseerde toegangscontrole (RBAC): Gebruik RBAC-systemen om specifieke toegangsrechten toe te wijzen op basis van functierollen en verantwoordelijkheden. Door gebruikers in rollen te categoriseren, kunnen toegangsrechten worden toegekend of beperkt volgens het principe van minimale privileges. Dit betekent dat personen alleen toegang krijgen tot de specifieke PII die zij nodig hebben voor hun taken.
  4. Sterk wachtwoordbeleid: Voer een sterk wachtwoordbeleid in om ervoor te zorgen dat toegangsgegevens niet gemakkelijk kunnen worden gekraakt. Dit houdt in dat wachtwoorden een minimale lengte moeten hebben, een mix van alfanumerieke en speciale tekens moeten bevatten en dat gebruikers regelmatig worden gevraagd hun wachtwoord te wijzigen. Het toepassen van multi-factor authentication (MFA) biedt een extra beveiligingslaag.
  5. Regelmatige beoordeling van toegangsrechten: Voer periodiek beoordelingen uit van toegangsrechten om te waarborgen dat deze aansluiten bij de actuele behoeften en verantwoordelijkheden van personen binnen de organisatie. Verwijder of wijzig toegangsrechten wanneer medewerkers de organisatie verlaten, functierollen veranderen of wanneer toegang niet langer nodig is.
  6. Toegangslogs en monitoring: Implementeer systemen om toegang tot PII te loggen en te monitoren. Dit maakt het mogelijk om ongeautoriseerde toegangspogingen of verdachte activiteiten te detecteren. Controleer regelmatig toegangslogs om eventuele afwijkingen of mogelijke beveiligingslekken te identificeren.
  7. End-to-end encryptie: Pas encryptietechnieken toe om PII zowel in rust als tijdens verzending te beschermen. Encryptie zorgt ervoor dat, zelfs als ongeautoriseerde toegang plaatsvindt, de PII en andere gevoelige inhoud onleesbaar en onbruikbaar blijven.
  8. Training en bewustwording van medewerkers: Bied uitgebreide training aan medewerkers over het belang van dataprivacy en het correct omgaan met PII. Informeer hen over beste practices voor toegangscontrole, wachtwoordbeheer en gegevensbescherming om een cultuur van veiligheid binnen de organisatie te bevorderen.

Voer Data Protection Impact Assessments (DPIA’s) uit

Voor gegevensverwerkingsactiviteiten met een hoog risico moeten internationale organisaties Data Protection Impact Assessments (DPIA’s) uitvoeren, zoals vereist door de U.K. Data Protection Act 2018. DPIA’s helpen om potentiële risico’s voor de privacyrechten van individuen te identificeren en te minimaliseren. Organisaties dienen DPIA’s uit te voeren bij het delen van gevoelige PII of bij grootschalige verwerkingsactiviteiten.

Gegevensverwerkingsactiviteiten met een hoog risico die onder de U.K. Data Protection Act 2018 een Data Protection Impact Assessment (DPIA) vereisen, zijn onder andere:

  1. Verwerken van biometrische gegevens: Wanneer een organisatie biometrische gegevens verzamelt en verwerkt, zoals vingerafdrukken, gezichtsherkenning of irisscans, wordt dit gezien als een activiteit met een hoog risico. Biometrische gegevens zijn gevoelig en uniek voor individuen, en onjuiste verwerking of ongeautoriseerde toegang kan aanzienlijke privacygevolgen hebben. Het uitvoeren van een DPIA is in zulke gevallen essentieel om de risico’s van het verwerken van biometrische gegevens te beoordelen en te beperken.
  2. Profilering voor belangrijke besluitvorming: Profilering verwijst naar de geautomatiseerde verwerking van persoonsgegevens om bepaalde kenmerken, gedragingen of voorkeuren van een individu te evalueren of te voorspellen. Als een organisatie zich bezighoudt met profilering die een aanzienlijke impact heeft op individuen, zoals geautomatiseerde besluitvorming met juridische of vergelijkbare gevolgen, wordt dit beschouwd als een gegevensverwerkingsactiviteit met een hoog risico. In dat geval is een DPIA noodzakelijk om potentiële risico’s voor privacy, eerlijkheid en rechten van individuen te identificeren en aan te pakken die voortvloeien uit de profilering.

Het is essentieel om potentiële risico’s van gegevensverwerkingsactiviteiten te beoordelen en te documenteren. Dit omvat het overwegen van de aard van de gegevens, het doel van de verwerking, de mogelijke impact op de rechten en vrijheden van individuen en de maatregelen die zijn genomen om risico’s te beperken. Organisaties moeten passende maatregelen nemen om geïdentificeerde risico’s aan te pakken en voortdurende naleving van de wet te waarborgen.

Stel een Data Protection Officer (DPO) aan

Volgens de U.K. Data Protection Act 2018 zijn bepaalde organisaties verplicht een Data Protection Officer (DPO) aan te stellen om toezicht te houden op het gegevensbeschermingsbeleid. Hoewel de wet niet voor alle organisaties een DPO verplicht stelt, kan het aanstellen van een toegewijd persoon die verantwoordelijk is voor gegevensbescherming zorgen voor voortdurende naleving, deskundig advies bieden en fungeren als aanspreekpunt voor toezichthouders en individuen. De DPO dient kennis te hebben van wet- en regelgeving op het gebied van gegevensbescherming en betrokken te zijn bij alle kwesties rondom de bescherming van PII. Organisaties moeten zorgvuldig beoordelen of het aanstellen van een DPO noodzakelijk is op basis van de vereiste in de wet.

Implementeer veilige protocollen op alle communicatiekanalen

Het is essentieel om veilige protocollen te implementeren op alle communicatiekanalen. Door gebruik te maken van protocollen zoals HTTPS, SFTP, beveiligde e-mail en beveiligde webformulieren kunnen organisaties ervoor zorgen dat gevoelige informatie beschermd blijft tegen onderschepping of manipulatie. Deze protocollen versleutelen de overgedragen gegevens, waardoor het voor ongeautoriseerde personen uiterst moeilijk wordt om bestanden te onderscheppen of te wijzigen. Door beveiligde protocollen voor bestandsoverdracht te implementeren, beschermt u gevoelige gegevens tijdens verzending, of het nu gaat om interne documenten, klantgegevens of andere vertrouwelijke informatie.

Zorg dat grensoverschrijdende gegevensoverdracht voldoet aan de DPA 2018

Bij het delen van persoonlijk identificeerbare informatie (PII) over internationale grenzen is het van cruciaal belang om te voldoen aan de regelgeving uit de Data Protection Act 2018 (DPA 2018). Deze wetgeving biedt richtlijnen en vereiste voor de overdracht van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) of het Verenigd Koninkrijk (VK).

Om naleving te waarborgen, moeten organisaties passende waarborgen implementeren om de overgedragen gegevens te beschermen. Twee veelgebruikte waarborgen zijn Standaard Contractuele Clausules (SCC’s) en Bindende bedrijfsvoorschriften (BCR’s).

Standaard Contractuele Clausules (SCC’s)

SCC’s zijn vooraf goedgekeurde contractuele clausules die zijn uitgegeven door de Europese Commissie. Ze bieden een juridisch bindend kader voor de overdracht van persoonsgegevens tussen een gegevensexporteur (de organisatie die de gegevens overdraagt) en een gegevensimporteur (de organisatie die de gegevens ontvangt). SCC’s leggen verplichtingen en rechten vast voor beide partijen om een passend beschermingsniveau voor de overgedragen gegevens te waarborgen.

Het implementeren van SCC’s houdt in dat deze contractuele clausules worden opgenomen in de overeenkomsten of contracten die de gegevensoverdracht regelen. De SCC’s behandelen diverse aspecten van gegevensbescherming, zoals beveiligingsmaatregelen, rechten van betrokkenen en aansprakelijkheid.

Door SCC’s toe te passen, kunnen organisaties aantonen dat zij zich inzetten voor het beschermen van persoonsgegevens en voldoen aan de DPA 2018 bij het delen van PII over internationale grenzen.

Bindende bedrijfsvoorschriften (BCR’s)

BCR’s zijn interne regels die door multinationale organisaties worden aangenomen en waarmee zij persoonsgegevens binnen hun groep bedrijven kunnen overdragen. BCR’s vereisen goedkeuring van relevante toezichthouders, waarmee wordt aangetoond dat de organisatie uitgebreide gegevensbeschermingsbeleid en -praktijken heeft geïmplementeerd in haar wereldwijde activiteiten.

BCR’s bieden een hoog beschermingsniveau door gemeenschappelijke gegevensbeschermingsprincipes en -standaarden vast te leggen die gelden voor alle entiteiten binnen de organisatie. Ze zorgen voor consistentie en uniformiteit in gegevensbeschermingspraktijken, zelfs bij overdracht van gegevens naar landen zonder adequaatheidsbesluit van de Europese Commissie.

Door BCR’s op te stellen, kunnen organisaties aantonen dat zij zich inzetten voor het beschermen van persoonsgegevens en voldoen aan de regelgeving van de DPA 2018 voor grensoverschrijdende gegevensoverdracht.

Naast SCC’s en BCR’s moeten organisaties een grondige beoordeling uitvoeren van de gegevensbeschermingswetgeving en -praktijken in het ontvangende land. Deze beoordeling helpt te bepalen of aanvullende waarborgen of maatregelen nodig zijn om een passend beschermingsniveau voor de overgedragen gegevens te waarborgen.

Bescherming van gevoelige inhoud met Kiteworks

Het Kiteworks Private Content Network consolideert communicatiekanalen voor gevoelige inhoud, waaronder e-mail, bestandsoverdracht, beheerde bestandsoverdracht (MFT), webformulieren en meer, om alle PII die een organisatie binnenkomt of verlaat te controleren, beveiligen, inzien en traceren. Door gecentraliseerd beheer en beveiliging kunt u beleidsregels voor inhoudsrisico’s instellen die het monitoren en reguleren van toegang tot PII, inhoudswijzigingen en ontvangers van informatie mogelijk maken. Het platform maakt gebruik van end-to-end encryptie, een hardened virtual appliance, veilige inzetopties en een defense-in-depth beveiligingsbenadering om het veilig uitwisselen van vertrouwelijke informatie te vereenvoudigen.

Toegangscontrole: Kiteworks stelt organisaties in staat om granulaire toegangscontrole te definiëren en af te dwingen voor gedeelde bestanden en mappen. Dit zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot de PII, waardoor het risico op onbedoelde of opzettelijke gegevensblootstelling wordt verminderd.

Gebruikersauthenticatie: Het platform ondersteunt diverse authenticatiemechanismen, waaronder multi-factor authentication (MFA) en single sign-on (SSO). Deze functies helpen de identiteit van gebruikers te verifiëren die toegang zoeken tot het systeem, en voegen een extra beveiligingslaag toe om ongeautoriseerde toegang te voorkomen.

Datasoevereiniteit: Kiteworks biedt de flexibiliteit om datacenters te kiezen die zich binnen het VK of de Europese Unie bevinden, zodat wordt voldaan aan vereiste rondom datasoevereiniteit. Hierdoor worden PII van Britse burgers opgeslagen en verwerkt in overeenstemming met de geldende regelgeving.

Plan een op maat gemaakte demo van het Kiteworks Private Content Network om te zien hoe het PII privé houdt en uw organisatie compliant maakt met de Data Protection Act 2018.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks