Laatste nieuws
 
 
  Achtergrondartikelen  

Het is intussen welom bekend: op 25 mei 2018 is de General Data Protection Regulation (GDPR) in werking getreden in de EU. Onder deze privacywetgeving moeten burgers uit de EU hun toestemming geven voor de verwerking van hun persoonlijke gegevens. Data controllers moeten aan strikte voorwaarden voldoen om die toestemming te verkrijgen. Deze vereisten zijn grondig geherdefinieerd in vergelijking met de vorige Data Protection Directive. Bovendien bepaalt GDPR dat data controllers contracten moeten hebben met al hun data processors (bv. derde partijen die persoonlijke gegevens verwerken uit naam van de controller). Elektronische handtekeningen zijn een aangewezen manier om te voldoen aan GDPR.

GDPR geldt voor elk bedrijf dat goederen of diensten levert aan EU-burgers en dat persoonlijke data beheert als data controller of data processor. Het betreft bedrijven van elke grootte, locatie of bedrijfstak. Als een onderneming getroffen is door een datalek, kunnen de bedrijven die niet voldoen boetes opgelegd krijgen tot 20 miljoen euro of 4% van hun jaaromzet, afhankelijk van wat het hoogste bedrag is.

Toestemming verkrijgen
GDPR omschrijft toestemming als een “een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een actieve handeling de verwerking van diens persoonsgegevens aanvaardt.” De richtlijn voor toestemming voor GDPR van de Information Commissioner’s Office (ICO) stelt dat data controllers hun mechanismen om toestemming te verkrijgen moeten herzien, om er zeker van te zijn dat ze voldoen aan de volgende vereisten:

  1. Ongebundeld: Toestemmingsaanvragen moeten apart staan van de andere algemene voorwaarden. De toestemming mag geen voorwaarde zijn om in te tekenen op een dienst, behalve als ze noodzakelijk is voor die dienst.
  2. Actieve opt-in: Vooraf aangevinkte opt-in vakjes gelden niet. Gebruik niet-aangevinkte vakjes of een soortgelijke actieve opt-in methode.
  3. Verfijnd: Geef de keuze om apart toestemming te geven voor verschillende types van gegevensverwerking als dat aangewezen is.
  4. Benaming: Benoem uw organisatie en derde partijen die belang hebben bij de toestemming. Zelfs netjes benoemde categorieën van derde partijen worden niet aanvaard onder GDPR.
  5. Documenteer: Houd documenten bij om aan te tonen waartoe een individu toestemming gaf, evenals wat hen werd verteld, en wanneer en hoe hij instemde.
  6. Gemakkelijk om te herroepen: Vertel gebruikers dat ze het recht hebben om te allen tijde hun toestemming terug in te trekken, en hoe ze dat kunnen doen. Organisaties moeten hiervoor dus eenvoudige en effectieve mechanismes voorzien.

Dit zijn hoge eisen voor de GDPR-toestemming, maar ze helpen om vertrouwen op te bouwen, ze versterken het merk en de reputatie van een organisatie, en ze vermijden boetes.

Elektronische handtekening voor toestemming
Elke organisatie die zijn procedures voor de toestemming herbekijkt, zou het gebruik van elektronische handtekeningen moeten overwegen, zeker bij de behandeling van risicovolle data, zoals persoonlijke financiële of medische gegevens. Elektronische handtekeningen bieden een veilige, controleerbare en gebruiksvriendelijke oplossing om te voldoen aan de GDPRvereiste. Dankzij deze technologie kunnen data controllers het volgende:

  • Toestemming verkrijgen
  • Voldoen aan de vereiste van de actieve opt-in
  • De details tonen van hoe de toestemming verkregen werd, alsook wie er waar en wanneer instemde

Met elektronische handtekeningen kan een gebruiker toestemming geven vanaf elk soort toestel. Verschillende methodes zijn mogelijk, zoals “click-to-sign” waarbij men een vakje aanvinkt, of een geschreven handtekening op een touchscreen. Gebruiksvriendelijkheid ligt dus erg hoog. Elektronische handtekeningen zijn veel meer dan een manier om een handtekening te verkrijgen. Achter de schermen kan de technologie ook een zogenaamde “audit trail” vastleggen: een gedetailleerd overzicht van wat de gebruiker tekende, evenals wanneer en hoe ze hun toestemming gaf. Onder GDPR moet een  organisatie aantonen dat het voldeed aan de regelgeving. Op straffe van aanzienlijke boetes moet men dus kunnen bewijzen dat alle acties gerelateerd aan het verlenen van de toestemming, nauwkeurig werden bijgehouden.

Elektronische handtekeningen
die een audit trail bijhouden, zijn dus interessant voor teams die zich bezighouden met legal & compliance. In de gevallen waarbij de toestemming moet worden verkregen in combinatie met andere documenten, zoals de algemene voorwaarden, kunnen elektronische handtekeningen helpen. Daarbij kan men immers verschillende documenten apart ondertekenen, en dus tegemoet komen aan de vereiste dat de toestemmingsaanvragen ongebundeld moeten zijn. Ook kunnen verfijnde opties in het digitale document worden ingevoerd, aangaande verschillende toestemmingsaanvragen voor verschillende types van persoonlijke dataverwerking. Als een organisatie bovendien verandert van data controllers, is het dankzij elektronische handtekeningen gemakkelijk om een vernieuwing van de toestemming aan te vragen, mocht dat nodigzijn.

Conclusie
Een van de hoekstenen van GDPR is dat organisaties moeten aantonen dat ze de juiste methodes hebben om toestemming van een gebruiker te verkrijgen, op te slaan en te beheren. Elektronische handtekeningen zoals eSignLive by VASCO bieden die aanpak. Als ondernemingen eraan denken om elektronische handtekeningen breder dan enkel de GDPR-toestemming in te gaan voeren, kunnen ze maar beter een hele goede oplossing in huis halen, die kan worden opgeschaald om tegemoet te komen aan de groeiende toepassingen en ……… behoeften, zowel die van vandaag als die van morgen.

Door: Dirk Denayer
Business Solutions Manager
at Vasco Data Security

Plaats op:
Datum: 17 september 2018
Bron: AutoleaseWereld / Magazine Telematica, Big Data & Securityle
Gerelateerde artikelen  
22-02-2018 Nieuws Driekwart bedrijven niet klaar voor EU GDPR
16-10-2017 Nieuws Fair Data-keurmerk waakt over persoonlijke informatie
23-11-2017 Nieuws Begrip State of the Art uit GDPR-regelgeving zaait verwarring
25-04-2017 Achtergrondartikelen Waarom zij niet en wij wel?
26-09-2017 Achtergrondartikelen Wat moet je eigenlijk met de Algemene Verordening Gegevensbescherming?
 
 

- partners -

 
 
 
 
 
� 2005 - 2018 Vakwereld. All rights reserved Pagina geladen in 0,1 seconden.