De afgelopen decennia is het internet gegroeid tot een wereld die een weerspiegeling biedt van onze fysieke wereld. Dit heeft ervoor gezorgd dat net zoals mensen een fysieke identiteit hebben, ze nu ook een online identiteit hebben. Waar er echter in de fysieke wereld al veel wet- en regelgeving was om de identiteit te beschermen, bleef dit op het world wide web lange tijd achter. De laatste jaren zijn er echter diverse stappen gezet om ook online bescherming van persoonsgegevens te beschermen. Dat er internationaal verschillende regels zijn opgesteld, zorgt echter voor obstakels.
In Nederland en de EU: AVG (GDPR)
Binnen de EU is sinds 2018 de Algemene verordening gegevensbescherming (AVG) van kracht, waarvan de Engelse term General Data Protection Regulation (GDPR) is. Dit is een Europese verordening die heeft gezorgd voor een standaardisering van de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele EU. Hierbij gaat het om bescherming van alle persoonsgegevens die betrekking hebben op een individu, ongeacht of het gaat om zijn of haar privé-, beroeps- of openbare leven. Voorbeelden zijn een naam, een foto, een huisadres, bankgegevens, een e-mailadres, berichten op sociale netwerksites, medische informatie of het IP-adres van een computer.
Welke gegevens worden opgeslagen, op welke manier en voor hoelang dient vastgelegd te zijn in de privacy statement op je website. Heb je een internationale website en wil je zeker weten dat je privacy statement ook in een andere taal juridisch correct is? Laat deze dan vertalen door Vertaalbureau Fairlingo.
De verordening moet worden nageleefd door alle in de EU gevestigde organisaties die gegevens verzamelen van EU burgers en voor de verwerking verantwoordelijk zijn. Maar het geldt ook voor verwerkers zoals providers en cloud-dienstverleners, organisaties die gegevens verwerken namens voor de verwerking verantwoordelijke partij. De verordening is daarnaast ook van toepassing op buiten de EU gevestigde organisaties die persoonsgegevens verzamelen of verwerken van binnen de EU gevestigde personen.
Internationale data-uitwisseling buiten de EU
Dataverkeer houdt zich echter zelden aan de grenzen van de EU. Er vindt ook voortdurend data-uitwisseling plaats met landen daarbuiten. Dit vormt geen probleem zolang het volgens het adequaatheidsbesluit gaat om veilige landen. Maar wanneer bijvoorbeeld naar de VS wordt gekeken, geldt daar geheel andere wetgeving die niet als veilig is bestempeld. De Amerikaanse wetgeving staat de eigen overheidsdiensten namelijk bijvoorbeeld door onder andere het FISA 702-statuut toe om data binnen de private sector te verzamelen en te gebruiken.
Voldoen aan de juiste wetgeving
Om met een internationale website aan de juiste wet- en regelgeving te voldoen, is het nodig de datastromen goed in kaart te brengen. In welke landen staan datacentra van softwareleveranciers? En wie heeft er toegang tot deze datacentra? Heb je een website die zich richt op landen binnen de EU, dan is het raadzaam om zoveel mogelijk over te stappen op Europese bedrijven die zich bijvoorbeeld bezighouden met dataopslag of e-mail met datacentra hier. Is er ook sprake van dataverkeer van en naar andere landen buiten de EU of via datacentra die in handen zijn van partijen buiten de EU, dan kan data-uitwisseling alsnog legaal mogelijk worden gemaakt aan de hand van SCC’s (Standard Contractual Clauses).
