December 21, 2024

Nederland legt recordboete voor gegevensprivacy op aan Uber: 4 belangrijke stappen die bedrijven kunnen nemen om naleving te garanderen | Visser Philips

[co-author: Chelsea Viola, Law Clerk]

De Nederlandse gegevensprivacyautoriteiten hebben Uber onlangs een flinke boete opgelegd – 290 miljoen euro ($324 miljoen) – wegens vermeende overtreding van de uitgebreide EU-wetgeving inzake gegevensprivacy en -beveiliging. Deze verbluffende boete is een verder bewijs dat gegevensprivacy een strijdtoneel is voor bedrijven over de hele wereld. Zoals dit besluit duidelijk maakt, is het begrijpen van en navigeren door de wetgeving inzake gegevensprivacy in elk rechtsgebied waarin u actief bent belangrijker dan ooit geworden. Dit is wat u moet weten over deze ontwikkeling en vier stappen die werkgevers kunnen nemen om hun risico's te beheersen.

DPA legt Uber een boete van € 290 miljoen op

Volgens de Autoriteit Persoonsgegevens (AP) zou Uber persoonlijke informatie van Europese chauffeurs hebben verzameld, waaronder accountinformatie, locatiegegevens, betalingsinformatie en, in sommige gevallen, de straf- en gezondheidsgeschiedenis van hun chauffeurs.

De autoriteiten beweren dat Uber deze informatie in de loop van twee jaar heeft overgedragen naar servers in San Francisco, Californië. De AP concludeerde dat Uber deze gegevens tijdens de overdracht niet adequaat heeft beschermd, een “zeer ernstige inbreuk” op de Algemene Verordening Gegevensbescherming (AVG). Hoewel Uber tegen de boete in beroep is gegaan, benadrukt de zaak de ernstige gevolgen van niet-naleving, aangezien de wetgeving inzake gegevensprivacy zich blijft ontwikkelen.

Inzicht in de AVG en het mondiale landschap van gegevensprivacy

De AVG werd in 2018 ingevoerd en wordt als één ervan beschouwd Zeer strenge wetgeving inzake gegevensprivacy in de wereld. Het stelt strikte voorwaarden aan de verwerking of verzameling van persoonlijke gegevens, waaronder de raciale of etnische afkomst van individuen, politieke opvattingen, religieuze overtuigingen of gezondheidsinformatie.

Een fundamenteel beginsel van de AVG erkent de rechten van personen wier gegevens worden verwerkt (bijvoorbeeld klanten of websitebezoekers), het recht om geïnformeerd te worden over het gebruik van hun gegevens, het recht om te bevestigen of een organisatie hun gegevens heeft ontvangen, en het recht recht op Verzamelde gegevens corrigeren of verwijderen.

De reikwijdte van de AVG reikt verder dan de EU en is van toepassing op elke organisatie die goederen of diensten levert aan inwoners en burgers van de EU of hun persoonsgegevens verwerkt. Niet-naleving wordt afgedwongen via een tweeledig boetesysteem, met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet.

En de EU is niet de enige. In 2021 heeft China bijvoorbeeld de wet op de bescherming van persoonlijke informatie (PIPL) en de wet op de gegevensbescherming (DSL) aangenomen, waardoor de bestaande wetten op de privacy van gegevens zijn versterkt (lees meer over deze wetten Hier En Hier) Net als de AVG breidt de Chinese PIPL zijn reikwijdte van de regelgeving uit naar entiteiten buiten China (“gegevensverwerkers”) als zij producten, diensten leveren of gegevensanalyses uitvoeren aan personen binnen China. De Chinese DSL regelt ook de gegevensverwerking buiten zijn grenzen en legt strengere verplichtingen op aan bedrijven en individuen met betrekking tot gegevensclassificatie, risicocontroles en -beoordelingen, en grensoverschrijdende overdrachten. Andere landen hebben ook uitgebreide wetgeving inzake gegevensprivacy ingevoerd Mexico, Australië, Canada, Japan, Zuid-KoreaEn Brazilië.

Een groeiend aantal Amerikaanse staten heeft soortgelijke actie ondernomen. In 2023 werd Californië via een kiezersreferendum aangenomen Privacywet van Californië (CPRA)Dit bouwt voort op de vereisten voor gegevensprivacy die in 2018 zijn vastgesteld Wet op de consumentenbescherming van Californië (CCPA) Door de verantwoordelijkheden van werkgevers met betrekking tot het verzamelen, opslaan, gebruiken en delen van de persoonlijke gegevens van werknemers te vergroten. Op de datum van deze publicatie hebben 19 staten een of andere vorm van wetgeving inzake gegevensprivacy aangenomen, en dat aantal zal de komende jaren ongetwijfeld toenemen.

Hoe kunnen werkgevers de naleving van gegevensprivacy beheren?

Het is belangrijk dat bedrijven op de hoogte zijn van de specifieke privacyregelgeving in de rechtsgebieden waarin zij actief zijn. Nu steeds meer rechtsgebieden strengere wetten op het gebied van gegevensprivacy invoeren (waarvan er vele elkaar overlappen of soms in strijd zijn met andere), is naleving een grotere uitdaging dan ooit, maar vier belangrijke stappen kunnen het proces helpen vereenvoudigen.

1. Ontdek waar uw bedrijf actief is

Het identificeren van alle rechtsgebieden waarin uw bedrijf actief is, is een belangrijke eerste stap bij het bepalen van de toepasselijke privacywetten. Dit onderzoek beperkt zich niet tot gebieden waar personeel aanwezig is; Dit geldt ook voor rechtsgebieden waar uw bedrijf klanten heeft. Om klanten uit de EU te kunnen bedienen, moet uw bedrijf bijvoorbeeld voldoen aan de AVG, zelfs als het elders is gevestigd. Als u de voetafdruk van uw bedrijf begrijpt, kunt u een strategie voor gegevensprivacy ontwerpen die aan specifieke wettelijke vereisten voldoet.

2. Investeer in krachtige gegevensbeschermingsprogramma's

Implementeer robuuste gegevensbeschermingsmaatregelen die per rechtsgebied verschillen. Deze omvatten versleutelingsmethoden, veilige toegangscontroles en gegevensminimalisatie die onnodige gegevensverzameling beperken.

3. Controleer uw computers

Regelmatige audits van de procedures voor gegevensverwerking, opslag en overdracht zijn ook essentieel. Audits helpen bij het identificeren van risico's en niet-naleving, zodat u kwetsbaarheden kunt aanpakken voordat deze tot kostbare schendingen of inbreuken leiden.

4. Blijf op de hoogte van juridische ontwikkelingen

Blijf op de hoogte van de wet- en regelgeving op het gebied van gegevensprivacy, zowel nationaal als mondiaal. Omdat gegevensprivacy snel evolueert, is voortdurende due diligence voor compliance van cruciaal belang. Neem contact op met juridische en privacy-experts om te beoordelen welke gevolgen nieuwe regelgeving voor uw bedrijf kan hebben.