Salesforce streeft ernaar om onze klanten te helpen te voldoen aan de AVG dankzij onze uitstekende bescherming van privacy en beveiliging. Sinds 25 mei 2018 biedt de Algemene Verordening Gegevensbescherming (AVG) de inwoners van de Europese Unie (EU) meer privacyrechten, en hebben alle organisaties die persoonlijke gegevens in de EU verkopen, bijhouden of verwerken meer verplichtingen.
Wat is AVG?
De AVG is een uitgebreide wet voor gegevensbescherming in de EU voor aanvullende bescherming van persoonsgegevens in deze wereld waarin technologie zich razendsnel ontwikkelt, globalisering toeneemt en steeds complexere internationale stromen aan persoonsgegevens plaatsvinden. Met de AVG worden de huidige nationale wetten voor gegevensbescherming vervangen door één verzameling aan regels die direct in elke EU-lidstaat kan worden afgedwongen.
De AVG reguleert de verwerking (waaronder de verzameling, opslag, overdracht en het gebruik) van persoonsgegevens van inwoners van de EU. Deze wet is van toepassing op alle organisaties die persoonsgegevens van inwoners van de EU verwerken, waaronder het bijhouden van online activiteiten, ongeacht of de organisatie een fysieke vestiging in de EU heeft. Het is belangrijk om te weten dat het concept 'persoonsgegevens' volgens de AVG erg breed is en betrekking heeft op alle gegevens die zijn gerelateerd aan een geïdentificeerd of identificeerbaar individu (ook wel 'betrokkene' genoemd).
Beveiligingsmaatregelen en vereisten voor rapportage
Organisaties moeten de juiste technische en organisatorische beveiligingsmaatregelen treffen om persoonsgegevens te beschermen tegen ongeautoriseerde verwerking en onbedoelde openbaarmaking, toegang, verlies, vernietiging en wijziging. Afhankelijk van de specifieke gebruiksscenario en de verwerkte persoonsgegevens, wordt het gebruik van gegevenssegregatie, versleuteling, pseudonimisering en anonimisering aanbevolen en in sommige gevallen is dit zelfs verplicht, om te helpen om persoonsgegevens te beschermen.
Het is belangrijk om op te merken dat de verwerkingsverantwoordelijken volgens de AVG alle datalekken zo snel mogelijk bij hun gegevensbeschermingsautoriteit moeten melden. Deze melding moet binnen 72 uur na ontdekking van het datalek worden gemaakt, tenzij het onwaarschijnlijk is dat het datalek leidt tot negatieve gevolgen voor de betrokkenen. Als er een groot risico op negatieve gevolgen is, moeten de verwerkingsverantwoordelijken het datalek zo snel mogelijk aan de betrokkenen melden. Gegevensverwerkers moeten verwerkingsverantwoordelijken ook zo snel mogelijk op de hoogte stellen van een datalek.
Welke beveiligingsmaatregelen moet ik treffen naar aanleiding van de AVG?
Versleuteling
Hoewel het volgens de wet niet verplicht is, wordt het gebruik van versleuteling aangemoedigd als een effectieve manier om de bescherming en vertrouwelijkheid van persoonsgegevens te garanderen.
Pseudonimisering
De AVG moedigt organisaties aan om pseudonimisering te gebruiken als een op risico's gebaseerde maatregel om gegevensbeveiliging te garanderen en de rechten van individuen te beschermen.
Anonimisering
Anonimisering gaat nog een stapje verder dan pseudonimisering en is de meest veilige manier om persoonsgegevens te beschermen. Gegevens worden als volledig anoniem beschouwd wanneer het onmogelijk is om de identiteit van een individu af te leiden uit de gegevens aan de hand van verdere verwerking of het combineren van gegevens met andere informatie.
Verantwoordelijkheid
Volgens de AVG is een verwerkingsverantwoordelijke verantwoordelijk voor het implementeren van maatregelen om ervoor te zorgen dat de persoonsgegevens worden verwerkt in overeenstemming met de AVG. Hieronder valt het aanwijzen van een Functionaris gegevensbescherming, het opleggen van contractuele verplichtingen aan verwerkers en het gebruik van de principes van 'privacy by design' en 'privacy by default'. Bovendien moet een verwerkingsverantwoordelijke zijn naleving kunnen aantonen, waaronder aan de hand van records van verwerkingsactiviteiten en het uitvoeren van beoordelingen over de impact van privacy.
EU Trailhead: Krijg meer informatie over de AVG en hoe u deze naleeft
Doe de module Basisprincipes van de privacywetgeving in de EU om te leren wat de belangrijkste principes van de AVG zijn en hoe u een AVG-nalevingsprogramma implementeert.
US Trailhead: Krijg meer informatie over privacywetgeving in de VS en hoe u deze naleeft
Doe de module Basisprincipes van de privacywetgeving in de VS en krijg meer informatie over privacybescherming in de VS voor de gezondheidszorg, financiële sector en de wetgeving voor elke staat.
California Consumer Privacy Act
De California Consumer Privacy Act (CCPA) is een uitgebreide privacywet die van kracht is sinds 1 januari 2020. Hoewel we de overtuiging hebben dat federale wetgeving essentieel is, omdat de privacy van een individu niet afhankelijk mag zijn van waar hij/zij woont, zien we de CCPA als een positieve ontwikkeling voor vereisten van gegevensbescherming in de Verenigde Staten. Deze wet biedt Salesforce de mogelijkheid om onze toewijding aan privacy en gegevensbescherming te versterken.