Antwoord op uw vragen

Onze expert beantwoordt uw vragen

 

De General Data Protection Regulation (GDPR, ofwel de AVG - Algemene Verordening Gegevensbescherming), die van kracht gaat op 25 mei 2018, zal grote gevolgen hebben op de informatiesystemen van alle bedrijven. Deze verordening legt een gevoelige taak op aan veel bedrijven die moeten voldoen aan de gegevensbeschermingsvereisten van de Europese Unie.

OVH's Data Protection Officer, Grégory Gitsels, beantwoordt de meest gestelde vragen over de impact van deze nieuwe verordening op bedrijven en hoe deze moeten worden nageleefd.

Wat is de GDPR?

De General Data Protection Regulation (GDPR) is een Europese verordening die op 27 april 2016 is aangenomen door het Parlement en de Raad van de Europese Unie. De bepalingen ervan zijn rechtstreeks toepasselijk in alle lidstaten van de Europese Unie. Hoewel het in is aangenomen in 2016, zal de inwerkingtreding pas op 25 mei 2018 van kracht worden. Er is dus een periode van twee jaar aan openbare en particuliere entiteiten verstrekt om aan de bepalingen van deze tekst te voldoen.

Het doel van de GDPR is om personen te beschermen met betrekking tot de verwerking van hun persoonlijke gegevens. De verordening specificeert de individuele rechten en verplichtingen die van toepassing zijn op alle organisaties die persoonsgegevens verwerken.

De GDPR heeft betrekking op alle openbare entiteiten en bedrijven van elke omvang, zolang ze persoonlijke gegevens verwerken.

Wat betekent GDPR?

GDPR betekent letterlijk General Data Protection Regulation (Algemene Verordening Gegevensbescherming).

Het concept van de GDPR verwijst rechtstreeks naar Verordening nr. 2016/679 van het Europees Parlement en de Raad van de Europese Unie van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en de vrijheid tot verspreiding van deze gegevens en tot intrekking van Richtlijn 95/46/EG.

Wat is een inbreuk wat betreft persoonsgegevens?

Het begrip 'inbreuk in de persoonlijke gegevens' doet denken aan het lekken van persoonlijke data ten behoeve van niet-geautoriseerde derden (zoals het hacken van gegevens door een persoon met een kwaadaardige intentie). Dit is het geval, maar de definitie van dit begrip is eigenlijk breder. De G29 (de Europese instantie die de verschillende Europese autoriteiten voor de bescherming van persoonlijke gegevens groepeert) definieert het begrip inbreuk in verband met persoonsgegevens als zijnde:

 

  • Verliezen van de beschikbaarheid van persoonlijke gegevens;
  • Ondermijning van de integriteit van persoonlijke gegevens;
  • Schending van de vertrouwelijkheid van persoonlijke gegevens.

 

Een datalek kan dus niet alleen bestaan uit een datalek, maar ook uit het permanent verlies van data.

De GDPR legt nieuwe verplichtingen op aan gegevenscontroleurs en subcontractanten met betrekking tot meldingen van datalekken.

 

Welke wetten regelen de bescherming van persoonsgegevens?

Er zijn verschillende wetten die de bescherming van persoonlijke gegevens regelen, van algemene strekking, of nauwkeuriger:

 

  • Op internationaal niveau: Verdrag nr. 108, voor de bescherming van personen met betrekking tot geautomatiseerde verwerking van persoonsgegevens, is een bindend verdrag dat openstaat voor alle landen
  • Op Europees niveau: Verordening 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens (RGPD) en Richtlijn 2016/680 inzake de bescherming van persoonsgegevens bescherming van personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op het voorkomen en opsporen van strafbare feiten, het onderzoeken en vervolgen van strafbare feiten of de uitvoering van strafrechtelijke sancties.
  • Op nationaal niveau: veel landen hebben nationale voorschriften inzake de bescherming van persoonsgegevens aangenomen. Dit is bijvoorbeeld het geval voor alle lidstaten van de Europese Unie.
Hoe worden persoonsgegevens gedefinieerd volgens de GDPR?

Persoonsgegevens worden in artikel 4 van de GDPR gedefinieerd als (...) informatie over een geïdentificeerde of identificeerbare, direct of indirect (...) natuurlijke persoon (...) ".

Met andere woorden, persoonlijke gegevens zijn gegevens of een reeks gegevens waarmee een persoon op welke manier dan ook kan worden geïdentificeerd.

Gegevens zijn indirect identificeerbaar, wanneer het lezen ervan a priori niet toelaat om een persoon te identificeren, maar die verder onderzoek mogelijk maakt. Dit is bijvoorbeeld typisch het geval bij een e-mailadres.

Wat zijn gevoelige persoonlijke gegevens?

Het begrip "gevoelige gegevens" verwijst naar de "speciale soorten verwerking van persoonsgegevens" van de algemene verordening gegevensbescherming. Deze gegevens zijn onderworpen aan speciale regels, omdat hun behandeling in principe verboden is.

Deze gegevens betreffen met name:

  • De gezondheid of het seksleven van een persoon;
  • De raciale of etnische afkomst van een persoon;
  • Politieke opvattingen, vakbondslidmaatschap, religieuze of filosofische overtuigingen van een persoon.

Uitzonderingen laten de verwerking van deze gegevens toe.

 

Kan ik mijn verplichtingen onder de GDPR naleven door OVH-diensten te gebruiken?

Ja, tot op zekere hoogte. Een van de verplichtingen van een verantwoordelijke is de selectie van verwerkers met alle nodige garanties om ervoor te zorgen dat persoonsgegevens worden verwerkt in overeenstemming met de voorschriften.
Met andere woorden, de garanties die door OVH als verwerker worden geboden, bieden u de mogelijkheid om een deel van uw eigen verplichtingen na te komen. Onder deze garanties vinden we met name de beveiligingsmaatregelen die door ons zijn geïmplementeerd, de verplichtingen die zijn aangegaan in termen van lokalisatie van de verwerking van uw gegevens, enz.

De verplichtingen van een gegevensbeheerder zijn echter niet beperkt tot het selecteren van een GDPR-compatibele serviceprovider. Ze gaan veel verder dan de tussenkomst van OVH als IT-verwerker. Als gegevensbeheerder is het louter simpelweg zorgvuldig selecteren van uw verwerker niet voldoende om ervoor te zorgen dat u volledig GDPR-compatibel bent. U moet ook voldoen aan de verplichtingen die op u van toepassing zijn: het respecteren van de rechten van personen en het uitvoeren van analyses van de impact op iemands privéleven, bijvoorbeeld.

Wat zijn de verplichtingen van OVH als leverancier van clouddiensten?

Als aanbieder van clouddiensten neemt OVH de rol van gegevensverwerker op zich. Dit betekent dat OVH in het bijzonder de volgende toezeggingen doet:

  1. De gegevens die worden gehost op onze diensten niet opnieuw gebruiken: OVH verwerkt de persoonlijke gegevens van zijn klanten uitsluitend met het oog op het vervullen van zijn diensten en verwerkt alleen persoonsgegevens volgens de instructies van de klant.
  2. Aanbieden van data-omkeerbaarheid: bij OVH zijn al onze cloudoplossingen gebaseerd op standaarden, inclusief een aantal open-source technologieën. Op deze manier kunt u uw gegevens eenvoudig herstellen en migreren, omdat uw gegevens altijd omkeerbaar en interoperabel zijn.
  3. U weet altijd precies waar uw gegevens worden opgeslagen en verwerkt.
  4. We zorgen voor volledige transparantie met betrekking tot verwerkers van persoonsgegevens.
  5. We zullen u op de hoogte stellen als u het slachtoffer bent van een datalek.
  6. We bieden uitgebreide documentatie voor al onze diensten: Om deze reden biedt OVH alle benodigde documentatie, inclusief een beschrijving van de beveiligingsmaatregelen die voor uw diensten zijn genomen, een overzicht van de locatie van waar uw gegevens zijn opgeslagen, enz.
  7. We garanderen contractueel onze beloftes: OVH-toezeggingen zijn geen loze beloften. Ze zijn contractueel geïntegreerd in onze Data Processing Agreement (DPA). Dit document wordt verstrekt als bijlage bij onze contracten. Het is op aanvraag beschikbaar voor al onze klanten.
Wat zijn de verplichtingen van OVH op het gebied van datalokalisatie?

Wanneer u een dienst selecteert waarmee u uw inhoud en persoonlijke gegevens kunt opslaan, worden datacenters en geografische regio's altijd vermeld op onze website. En als er meerdere locaties of geografische regio's beschikbaar zijn, kunt u ook een locatie kiezen tijdens het plaatsen van uw bestelling.

Echter, ‘dataopslag’ betekent niet precies hetzelfde als ‘dataverwerking’. De GDPR stelt regels in voor ‘verwerking’, niet alleen voor ‘opslag’. Daarom is het goed om extra voorzichtig te zijn wanneer u deze twee begrippen toepast.

Als u een locatie binnen de Europese Unie selecteert, garandeert OVH dat deze gegevens niet worden overgedragen buiten de Europese Unie of buiten andere landen waarvan het niveau van bescherming van persoonsgegevens (evenals privacy, fundamentele rechten, fundamentele vrijheden en privacy), en het uitoefenen van dergelijke rechten [adequaatheidsbesluit]) door de Europese Commissie als geschikt is erkend. We verbinden ons er ook toe nooit uw gegevens over te dragen aan de Verenigde Staten.

Kan OVH mijn gegevens hergebruiken?

OVH verwerkt de persoonlijke gegevens van zijn klanten uitsluitend met het oog op het vervullen van zijn diensten en verwerkt alleen persoonsgegevens volgens de instructies van de klant.

De klant blijft de enige eigenaar van de gegevens die door hem zijn opgeslagen als onderdeel van de OVH-diensten.

Elke doorverkoop van de bovengenoemde gegevens, evenals elk gebruik van de gegevens voor commerciële doeleinden (bijvoorbeeld profileringsactiviteit of direct marketing) is ten strengste verboden.

Hoe garandeert OVH dat het zijn verplichtingen zal nakomen?

Om ervoor te zorgen dat de toezeggingen van OVH u in staat stellen om aan een deel van uw verplichtingen te voldoen, dient u deze af te dwingen binnen een contract of een andere rechtshandeling die OVH aan u bindt.

OVH biedt u deze afdwingbaarheid om twee redenen:

  • De Algemene Voorwaarden zijn van toepassing op alle OVH-diensten en bevatten clausules over de bescherming van persoonlijke gegevens.
  • Bovendien kan OVH op verzoek een specifieke aanvullende clausule voor uw contract ondertekenen, getiteld een Data Processing Agreement (DPA). DPA’s zijn uitsluitend gericht op het beschrijven van de garanties die OVH biedt op het gebied van de verwerking van persoonsgegevens.