Disclaimer: dit artikel moet niet worden gebruikt als juridisch advies voor je bedrijf als het gaat om de naleving van wetten inzake gegevensprivacy, zoals de AVG- of regelgeving in de Verenigde Staten. Het is achtergrondinformatie om u te helpen de AVG,  privacywetgeving voor gegevens in de VS te begrijpen en hoe Open Social zijn eigen naleving heeft gewaarborgd.

De VS en de EU hebben een fundamenteel andere benadering van privacy- en gegevenswetten. Dit artikel biedt een overzicht van EU-wetgeving, zoals de Algemene verordening gegevensbescherming (AVG) ook wel bekend als General Data Protection Regulation (GDPR), dataregelingen in de VS en hoe de gegevens van zowel EU-burgers als burgers van de VS worden beschermd door Open Social.



De EU en de Verenigde Staten

Het heden en de toekomst van internet worden gevoed door data. In sommige delen van de wereld worden de gegevensvoorschriften strenger. In andere zijn de regels voor het gebruik en verzamelen van privégegevens nog niet zo duidelijk. Onze EU- en VS klanten profiteren van de verschillende beveiligings- en privacyregels die Open Social hanteert.

De EU beschouwt privacy als een mensenrecht en heeft wetten en voorschriften met die filosofie in gedachten, nog vóór de aankomende GDPR. Er is één algemene wet die de verzameling van persoonsgegevens van EU-burgers regelt en die ervoor zorgt dat niets met deze gegevens kan gebeuren zonder de toestemming van de individuele persoon. Open Social voldoet aan de EU-wetgeving. We houden ons aan strikte wetten en regels met betrekking tot gegevens en privacy. 

De VS zien privacy daarentegen niet in dezelfde context. Dit is gedeeltelijk te wijten aan de geschiedenis en toewijding aan het eerste amendement: het recht op vrije meningsuiting. In plaats daarvan worden privacywetten gecreëerd als daar behoefte aan is. De regulering van privégegevens hangt ook af van de categorie waarin de informatie valt. Gezondheidsgegevens worden bijvoorbeeld gereguleerd door de HIPAA, de marketing onder de TCPA, enzovoort.

Wat is de GDPR en hoe zorgen we voor naleving? Welke wetten en voorschriften inzake gegevensbescherming bestaan ​​er in de VS? Hoe verhoudt zich dit tot de EU? Hoe bent u beschermd als een Open Social klant? Lees verder.


GDPR en EU Privacy Wetten

Introductie van de AVG

Als je deel uitmaakt van een online organisatie, en wie niet tegenwoordig, heb je zeker gehoord van de Algemene verordening gegevensbescherming (AVG) die van kracht wordt op 25 mei 2018. Deze wetgeving is van invloed op hoe bedrijven persoonlijke informatie van klanten verzamelen, beheren, en verwerken. Deze pagina geeft een overzicht van de AVG-wetgeving en wat Open Social doet om te zorgen voor naleving. Het is belangrijk op te merken dat zelfs als je organisatie is gevestigd buiten de EU, de AVG nog steeds van toepassing is als je de gegevens van EU-burgers verwerkt.

De AVG is een EU-wetgeving die de bescherming van persoonlijke en privégegevens van EU-burgers verbetert en ervoor zorgt dat organisaties die persoonsgegevens verzamelen en verwerken aan verschillende verplichtingen voldoen. Het vervangt en bouwt voort op de EU-gegevensbeschermingsrichtlijn van 1995 (DPD) en de voorwaarden inzake gegevensprivacy en -veiligheid, maar bevat enkele nieuwe toevoegingen die gericht zijn op de rechten op beveiligde persoonsgegevens en strengere boetes voor niet-naleving. Bovendien is de AVG een richtlijn die de wetgeving inzake gegevensprivacy in heel Europa zal harmoniseren. Het is van toepassing op de 27 lidstaten op alle niveaus van de wet; lokale rechtbanken, hoogste rechtscolleges en uiteindelijk het EU-Hof van Justitie.

Waarom wordt dit doorgevoerd? De hoeveelheid digitale informatie die wordt verzameld en opgeslagen is enorm toegenomen sinds de eerste wet van kracht kwam in de jaren '90. Sindsdien is een behoefte aan striktere gegevensregulering en privacy noodzakelijk geworden om de informatie van internetgebruikers te beschermen.

 

GDPR Summary

 

Wat moet ik doen aan om AVG te voldoen?

De AVG-verordening bestaat uit 99 artikelen gewijd aan de rechten van personen en de verplichtingen voor bedrijven om te voldoen aan de nieuwe wetgeving. Veel van de principes uiteengezet in de AVG zijn dezelfde als die in de Data Protection Act (DPA). Dus als je organisatie al voldoet aan de huidige privacywetgeving, dan voldoe je al aan veel van de AVG-principes. Hieronder vind je een overzicht van de belangrijkste componenten van de AVG (houd er rekening mee dat dit niet volledig is en de wetgeving niet vervangt).

 

  • Toegang en draagbaarheid. Je moet je gebruikers toestaan ​​om toegang te krijgen tot hun eigen gegevens en deze op verzoek aan een andere organisatie te geven. Dit is het recht op dataportabiliteit. Dit is nieuw in vergelijking met de DPA en één van de meest uitdagende aspecten van de AVG.
  • Gegevens wissen. Gebruikers hebben het recht om te eisen dat hun gegevens worden verwijderd of bezwaar maken tegen de manier waarop het wordt verwerkt, zolang dit de vrijheid van meningsuiting of het vermogen tot onderzoek niet verstoort. De controller heeft ook de verantwoordelijkheid om andere organisaties (zoals Google) te vertellen om ook kopieën van de gegevens te verwijderen. Dit is het recht om te worden vergeten en is nieuw in vergelijking met de AVG.
  • Controleer of je een functionaris voor gegevensbescherming nodig hebt. Je moet een functionaris voor gegevensbescherming hebben als u op grote schaal gegevens verzamelt of vertrouwelijke gegevens verwerkt. Lees hier meer over.
  • Duidelijke communicatie. Je moet gebruikers en websitebezoekers informeren wie je bent wanneer je om hun gegevens vraagt. Je moet ook uitleggen waarom je hun gegevens verwerkt, hoelang deze worden opgeslagen en wie deze ontvangt.
  • Toestemming. Je moet duidelijke toestemming krijgen voor het verzamelen van gegevens. Als je gegevens van kinderen verzamelt, moet u de leeftijdsgrens voor ouderlijke toestemming controleren.
  • Waarschuwingen. Je moet je gebruiker binnen 72 uur na het vernemen ervan op de hoogte brengen van ernstige datalekken.
  • Profiling. Als je gegevens gebruikt voor het profileren en verwerken van applicaties voor juridisch bindende documenten, moet je je gebruikers informeren, een persoon (geen machine) het proces laten controleren en de gebruiker het recht bieden om een ​​weigering aan te vechten. Open Social maakt geen gebruik van enige vorm van profilering.
  • Marketing. Je moet mensen het recht geven om zich af te melden voor directe marketing waarbij klantgegevens worden gebruikt.
  • Gevoelige data. Je moet extra voorzorgsmaatregelen nemen omtrent informatie zoals afkomst, gezondheid, seksuele geaardheid, religie en politieke overtuigingen. Voor de meeste projecten betekent dit op zijn minst encryptie van de opgeslagen gegevens.
  • 'Data protection by design'. Je moet in de vroege ontwikkelingsstadia gegevensbeschermingswaarborgen inbouwen in je producten en diensten. Dit heet het vereiste om 'data-privacy per ontwerp' in te bouwen.
  • Nieuwe technologie. U bent verplicht om een ​​Data Privacy Impact Assessment (DPIA) uit te voeren wanneer u nieuwe technologieën toepast die data verwerken.
  • One-stop-shop. Als je vestigingen hebt in meerdere EU-landen, moet je beschikken over een leidende toezichthoudende autoriteit voor een centraal handhavingspunt.
  • Bewaarplicht. Je moet gegevensbestanden bewaren als je regelmatig gegevens verwerkt, gevoelige informatie verzamelt en als de gegevens die je verzamelt een bedreiging vormen voor de rechten en vrijheid van mensen.
  • Gegevensoverdracht buiten de EU. Je moet extra afspraken maken bij het overbrengen van gegevens naar landen die niet zijn goedgekeurd door EU-autoriteiten.

Er zijn veel checklists online verschenen om organisaties te helpen aan de AVG te voldoen. De Autoriteit Persoonsgegevens heeft bijvoorbeeld een nuttige 10 stappen AVG-checklist gemaakt.

Je lokale gegevensbeschermingsautoriteit houdt toezicht op naleving, die op EU-niveau wordt gecoördineerd. De kosten van niet-naleving zijn hoog. Het zal resulteren in waarschuwingen, berispingen, opschorting van gegevensverwerking en boetes tot € 20 miljoen of tot 4% van je wereldwijde jaaromzet. Met andere woorden; organisaties kunnen het zich niet veroorloven om de wetgeving te negeren en het moet de prioriteit van iedereen zijn om naleving te garanderen.


V.S. Data Richtlijnen en Wetten

Een lappendeken van wetten inzake gegevensprivacy

Er is geen allesomvattende wet die het gebruik en de verzameling van persoonlijke gegevens in de Verenigde Staten regelt. Het is het best te omschrijven als een lappendeken, waarbij verschillende federale en staatswetten elkaar overlappen en soms zelfs tegenstrijdig zijn. Onder de staats- en federale wetten zijn er veel zelfregulerende richtlijnen ontwikkeld door branchespecifieke groepen en overheidsinstanties. Hoewel deze niet door de wet worden afgedwongen, worden ze wel gezien als 'best practices'.

De advertentie-industrie heeft bijvoorbeeld een programma ontwikkeld om online gedragsadvertenties zelfregulerend te maken. Het zorgt ervoor dat leden in de reclamebranche voldoen aan de richtlijnen.

Federale privacywetten

Er zijn verschillende federale wetten die het verzamelen en gebruiken van privégegevens reguleren. Sommigen van hen zijn van toepassing op informatiecategorieën (zoals financiën of gezondheid) en anderen op het gebruik van persoonlijke informatie door e-commerce en telemarketing. Bovendien zijn er verschillende wetten voor consumentenbescherming die niet specifiek bedoeld zijn voor privacy en gegevens, maar die misleidende praktijken voorkomen bij het delen van persoonlijke gegevens.

De meeste privacy- en privacywetten zijn echter alleen van toepassing op 'covered entities' die 'beschermde gezondheidsinformatie' bevatten. Met andere woorden: er worden nogal wat vage termen in de wetgeving gebruikt. Bovendien erkennen federale regelgevers dat de meeste burgers in de VS niet weten wanneer hun informatie door de wet wordt beschermd of niet, en wanneer beveiligingsnormen van toepassing zijn.

Enkele van de belangrijkste federale privacywetten zijn:

  • The Federal Trade Commision Act (FTC). Dit is een wet op consumentenbescherming die de oneerlijke en misleidende praktijken op het gebied van privacy en gegevensbeveiliging verbiedt.
  • The Financial Services Modernization Act (GLB). Deze wet regelt het gebruik, de verzameling en de openbaarmaking van financiële informatie door financiële instellingen (zoals banken, verzekeringsmaatschappijen, etc.) en organisaties die financiële producten en diensten aanbieden.
  • The Health Insurance Portability and Accountability Act (HIPAA). Deze wet is verantwoordelijk voor het reguleren van medische informatie en is breed van toepassing op zorgaanbieders, apotheken en andere organisaties die medische informatie verwerken.
  • The Fair Credit Reporting Act. Deze wet regelt het delen en verzamelen van consumenten data door consumenten-rapporterende instanties (zoals creditcardbedrijven).
  • The Electronic Communications Privacy Act and the Computer Fraud and Abuse Act. Deze handelingen reguleren het onderscheppen van computer hacking en elektronische communicatie.

Er zijn andere nog verscheidende, overige regelingen en wetten.

Staat privacywetten

Er zijn wetten op staatsniveau die zowel het gebruik als het verzamelen van persoonlijke gegevens regelen en het aantal wetten hierin blijft gestaag groeien. Deze wetten hebben echter vaak zeer uiteenlopende en incompatibele richtlijnen over het type persoonlijke informatie dat bescherming vereist (zoals de wet 'security breach notification'). En ook de definitie van een inbreuk op de privacy verschilt. Over het algemeen hebben de meeste staten al een vorm van gegevensprivacyregulering, waarbij Californië duidelijk het voortouw neemt.

Californië heeft verschillende wetten met betrekking tot privacy geïmplementeerd die landelijk effect hebben gehad. Hun wet op het melden van beveiligingsincidenten, die iedereen dwingt die beschikt over geautomatiseerde gegevens om gebruikers te informeren over inbreuken op gegevensbeveiliging, heeft het hele land geïnspireerd om hetzelfde te implementeren. Vanaf 28 maart 2018 vereisen nu alle staten de melding van inbreuken op de beveiliging van persoonsgegevens.


AVG (GDRP) versus Data Wetten in de VS

In de AVG is een aantal zeer strikte regels voor de bescherming van persoonlijke gegevens opgenomen. De Verenigde Staten heeft nog niet te maken met dergelijke, strengere gegevensverordeningen. Dit is hoe de AVG zich verhoudt tot verschillende datawetten in de VS:

Regelt de VS correcte verwerking van gegevens door data controllers?
Er zijn slechts een paar wetten die organisaties en hun beleid voor de verwerking van persoonsgegevens reguleren. Hoewel de FTC geen organisaties vereist om een privacybeleid te hebben, zorgt het ervoor dat organisaties die zich niet aan hun eigen privacybeleid houden wanneer ze dit hebben, worden aangeklaagd. De GLB-wet beschermt de privacy van consumenten door te beperken wanneer organisaties persoonlijke informatie kunnen vrijgeven, en organisaties moeten gebruikers op de hoogte stellen wanneer zij de informatie bekendmaken en een optie aanbieden om niet deel te nemen.

Wordt gebruikers om toestemming gevraagd voordat hun persoonsgegevens worden verwerkt? (Toestemming)
Hoewel er wetten zijn die ervoor zorgen dat gebruikers om toestemming wordt gevraagd, is deze alleen van toepassing op gevoelige persoonlijke gegevens, zoals informatie over gezondheid, financiën en sociale zekerheid. De FTC suggereert dat website-eigenaren toestemming moeten hebben voordat ze gevoelige persoonlijke gegevens gebruiken. De GLB-wet vereist dat financiële instellingen ten minste jaarlijks toestemming moeten ontvangen. Ook vereist HIPAA dat medische instellingen schriftelijke toestemming verkrijgen voordat medische gegevens worden gedeeld.

Zijn er specifieke rechten voor gebruikers? (Gegevenstoegang en draagbaarheid)
De meeste Amerikaanse privacywetgeving biedt gebruikers over het algemeen geen specifieke toegangsrechten tot hun eigen gegevens. De FTC vereist dat organisaties hun privacyprocedure op zijn minst delen en delen hoe gebruikers kunnen weigeren om gegevens te delen als ze dat willen. De HIPAA vereist dat medische instellingen vertellen hoe gebruikers toegang hebben tot hun informatie.

Kunnen gebruikers hun gegevens verwijderen? (Het recht om 'vergeten te worden')
In de Verenigde Staten hebben gebruikers momenteel geen rechten als het gaat om het verwijderen van hun gegevens onder federale wetgeving. De wet die het dichtst in de buurt komt van deze wet is HIPAA, waarmee gebruikers onnauwkeurige of onvolledige informatie kunnen wijzigen (hoewel de organisatie er niet aan wordt gehouden om de voorgestelde wijzigingen daadwerkelijk over te nemen).


Privacy Maatregelen binnen Open Social

Privacy door ontwerp

Open Social heeft een gebruikersgericht ontwerp, waarbij keuze vrijheid, privacy en veiligheid van de gebruiker de belangrijkste pijlers vormen van onze ontwerpkeuzes. Dit betekent dat we vanaf het startpunt voldoen aan de meeste AVG richtlijnen. Profielvelden op Open Social zijn bijvoorbeeld optioneel en gebruikers kunnen kiezen met wie zij hun profielinformatie willen delen.

 

GDPR Privacy Settings

 

Ook kunnen gebruikers bij het toevoegen van elk type inhoud aan het platform, zoals een blog of tijdlijn post, de zichtbaarheid van de inhoud kiezen: openbaar, alleen voor community of alleen voor groepsleden.

 

GDPR Profile Visibility

 

Bovendien hebben gebruikers altijd het recht om hun account te verwijderen en hun gegevens ongepubliceerd of anoniem te maken in Open Social. Om ervoor te zorgen dat groepen niet al hun inhoud verliezen wanneer een gebruiker ervoor kiest om hun gegevens te verwijderen, heeft Open Social een speciale functie die groepen toewijst aan platformbeheerders. Op deze manier wordt alleen de inhoud van de vertrekkende gebruiker verwijderd.

 

GDPR Cancel Account
Gebruikers kunnen hun inhoud anoniem maken of de publicatie ongedaan maken en hun account verwijderen van ons communityplatform.

 

AVG Features en Roadmap

In termen van AVG-naleving zijn er enkele fundamentele factoren. Deze zijn als volgt gedefinieerd voor Open Social:

 

Data Triangle

 

De Data Controller: Open Social klanten. Dit is de entiteit die de middelen, het doel en de verwerking van de gegevens bepaalt.

 

De Data Processor: Open Social en de werkmaatschappij GoalGorilla NV. Dit is de entiteit die de persoonlijke gegevens namens de controller verzamelt en verwerkt.

 

De Data Subject: Eindgebruikers van de Open Social online communities. Dit is wie de wet uiteindelijk bescherming biedt.


 

Om volledige naleving te waarborgen, heeft Open Social haar externe en interne processen herzien. We hebben geconstateerd dat we moeten werken aan het volgende:

  • Verbeterde communicatie over wat er gebeurt met de gegevens van onze gebruikers.
  • Sitebeheerders de mogelijkheid geven om het verzamelen van persoonlijke gegevens te minimaliseren.
  • Versleutel standaard persoonlijke gegevens.
  • Sta gebruikers toe om hun gegevens te exporteren vanuit Open Social.
  • Wijs een functionaris voor gegevensbescherming (DPO) toe.
  • Het bereik van onze beveiligingscontroles bepalen met behulp van een framework.

We zijn al begonnen met het voldoen aan AVG en het aanpassen van de Open Social-software op de bovenstaande punten. We ontwikkelen momenteel functionaliteiten gericht op:

  • Gebruikers vragen om toestemming om persoonlijke gegevens te delen.
  • Duidelijk communiceren over welke gegevens er achterblijven wanneer een account wordt verwijderd.
  • Ervoor zorgen dat een sitemanager profielvelden kan verwijderen.
  • Gebruikers toestaan om al hun gegevens van het communityplatform te exporteren.

Deze functies en toevoegingen worden medio mei vrijgegeven voor zowel de Distro- als de SaaS-versie van onze software. In mei blijven we werken aan het toestaan dat gebruikers hun gegevens kunnen exporteren. U kunt de voortgang bijhouden van onze roadmap-tool Receptive.

We documenteren ook onze processen, die een beter begrip en overzicht geven van onze strategieën voor gegevensbeheer. Om het belang van privacy te benadrukken, is onze mede-oprichter Taco Potze aangesteld als 'Data Protection Officer'. Ons einddoel is om te zorgen dat Open Social voldoet aan de AVG en twee, dat de datacontrollers (onze klanten) over de middelen beschikken om ook aan de AVG te voldoen.

Dit wordt nog vervolgd met:

  • Juridische documentatie
  • Herziening via kritieke beveiligingscontroles (CSC) van CIS

Waarom is dit belangrijk?

Veel organisaties moeten hun privacy-, beveiligings- en marketingbeleid aanpassen, maar we hebben een goede voorsprong om volledig te voldoen aan de AVG en een goed begrip van de voorschriften en wetten in de VS. We erkennen ook dat de nieuwe regelgeving verschillende voordelen biedt voor zowel klanten als organisaties. Dit zijn belangrijkste:

  1. Meer transparantie tussen organisaties en eindgebruikers. Zodra alle organisaties de AVG naleven, zullen EU-burgers veel meer controle en transparantie hebben over de manier waarop hun gegevens worden gebruikt.
  2. Meerwaarde voor organisaties en eindgebruikers. Op de lange termijn zal de component voor toegang en portabiliteit van AVG de waarde verhogen van services die de gegevens van hun eindgebruikers mogen verwerken. Dit zal pas effect hebben als de wet is geïnterpreteerd door de rechtbanken en is geïmplementeerd door de meeste softwareoplossingen.

Zowel onze klanten uit de VS als EU worden op de hoogte gesteld van eventuele wijzigingen die worden aangebracht in de functionaliteit of het gebruik van Open Social. Deze pagina wordt ook de komende maanden bijgewerkt, dus kom gerust terug voor de laatste updates.

Lees meer


Binnenkort: EU ePrivacy Richtlijnen

Hoewel de AVG veel aandacht krijgt, is er al nieuwe EU-wetgeving in de maak en zal deze naar verwachting in 2019 van kracht worden. Het heet momenteel 'Directive on Privacy and Electronic Communications' (Richtlijn 2002/58 / EG en de update van 2009). , Richtlijn 2009/136). De nieuwkomer is de ePrivacy-verordening en heeft tot doel het ePrivacy wettelijke kader van de EU bij te werken. De nieuwe verordening zal de AVG aanvullen en streeft op vergelijkbare wijze naar uniformering van de regelgeving in de EU. Omdat online privacy en beveiliging een onderwerp is dat voortdurend moet worden verbeterd, zullen we Open Social zo veel mogelijk in overeenstemming met de toepasselijke wetgeving brengen. Lees meer over de ePrivacy-verordening.

850+ communities gebruiken Open Social

Lees ons blog (Engels)

Nov 13, 2018 - Open Source

Project Moss: Software Testing in Shining Armour

Learn how our software testing project increased Open Social's software quality, flexibility, and reduced time spent on testing.

geplaatst door Bram
Oct 08, 2018 - Product Center

Push Notifications Re-Engage Your Community Members

Push notifications are easy to use and bring members back to your community. Need we say more? Learn how to use this feature!

geplaatst door Natasha
Oct 02, 2018 - News Room

Gamification on the blockchain; creating real value

We recently wrote about why Gamification is dead. We'd like to show you the solution using our own blockchain solution as an example: THX!

geplaatst door Taco