Europa en het Verenigd Koninkrijk bieden vele mogelijkheden tot groei voor SaaS-bedrijven die willen uitbreiden buiten hun binnenlandse markten. De markten voor massaconsumptie van het VK en de Europese gemeenschap hebben bestendige sectoren in de categorieën B2B (van bedrijf naar bedrijf) en B2C (van bedrijf naar consument).
- In het rapport van de Europese Commissie over de interne markt in 2023 wordt de totale omvang van de consumentenmarkt van de EU geschat op €8,6 biljoen
- In het rapport van de Britse Office for National Statistics over de laatste consumententrends wordt de Britse consumentenmarkt geschat op £1.8 biljoen
Maar een succesvolle expansie naar de EU en het VK is niet even simpel als het begrijpen van de dynamiek van de lokale markt en met succes weten te verkopen aan klanten. Het kan een aanzienlijke hindernis zijn dat men moet voldoen aan complexe regelgevingen. Daaronder vallen niet alleen regelgevingen die voor specifieke industrieën gelden, zoals de regelgeving rond biowetenschappen, maar ook regelgevingen die op veel verschillende industrieën betrekking hebben, en die gaan over de bescherming van consumentengegevens voor alle industrieën.
Aangezien de privacywetgeving voortdurend in ontwikkeling is, is het belangrijk dat u uw kennis over de laatste richtlijnen up-to-date houdt en dat u er altijd aan denkt dat het bijhouden van de bescherming van data niet een taak is van één moment, maar voortdurend uw aandacht vraagt.
We kijken hier naar de belangrijkste factoren waar SaaS-bedrijven aan moeten denken om te garanderen dat ze de gegevensbeschermingswetten van de EU en het VK naleven. Er zijn bepaalde verschillen tussen de AVG in de EU enerzijds en de AVG/GDPR in het VK anderzijds maar in deze tekst zullen we hier steeds ‘AVG’ als verzamelterm hanteren.
Omgaan met persoonsgegevens van ingezetenen van EU en VK: uw verantwoordelijkheden
De fundamentele taak van de AVG is het beschermen van de privacy en de gegevens van privépersonen.
Wat dit betekent voor SaaS-platformen: Als u de persoonsgegevens van inwoners van de EU of het VK verwerkt, moet u de 7 principes van de AVG naleven.
Het inrichten van een wettelijk kader
Voordat welke persoonsgegevens dan ook verzameld kunnen worden, moet uw grondslag daarvoor in orde zijn – de wettelijke grond die u hebt om iemands persoonsgegevens te verwerken.
Onder de AVG zijn er 6 grondslagen te onderscheiden.
De meest geschikte grondslag is afhankelijk van de specifieke bedoeling waarmee de gegevens verzameld worden. Dat verschilt per sector en type gegevensverwerking.
Bijvoorbeeld: Een geautomatiseerd payroll-bedrijf met SaaS-platform gebruikt legitieme belangen om persoonsgegevens te verwerken zoals gegevens over de bank van de werknemer en fiscale nummers. De meest geschikte grondslag is het legitieme belang, aangezien het bedrijf zorgdraagt voor de tijdige uitbetaling van salarissen.
U moet vanaf het begin de juiste keuze maken over uw grondslag, aangezien het lastig is om later in het proces over te gaan naar een andere.
De belangrijkste benodigde documenten
Om aan te tonen dat u zich houdt aan de AVG moet u bepaalde contracten, overeenkomsten en documenten kunnen tonen.
Contracten en overeenkomsten geven helderheid en zekerheid voor zowel bedrijf als klant doordat ze de juiste richtlijnen en voorwaarden geven voor het verwerken van persoonsgegevens.
Hier zijn enkele van de documenten waarvoor u dient te zorgen, en enkele van de contracten die u wellicht nodig hebt:
Richtlijnen inzake privacy en verordeningen
Verplichte clausules voor gegevensverwerking
Overeenkomsten voor het uitwisselen van gegevens
Overeenkomsten voor het doorgeven van data (TA)
Rapporten van verwerkingsactiviteiten (RoPA)
Deze lijst is niet uitputtend, en er zijn nog andere belangrijke documenten die u op orde dient te hebben, waaronder een beleid in het geval van een datalek en gegevensretentiebeleid. Een Functionaris Gegevensbescherming kan u advies geven over de inhoud van dergelijke documenten, al naar gelang de specifieke situatie van uw bedrijf.
Vergeet de DPIA niet
Een Data Protection Impact Assessment (DPIA) is een belangrijk hulpmiddel om aan te tonen dat u de AVG naleeft. Het assessment wordt gebruikt om de risico’s omtrent gegevensbescherming van een project of activiteiten van gegevensverwerking te analyseren, vast te stellen en te mitigeren.
DPIA’s zijn verplicht voor elke dataverwerkingsactiviteit met een hoog risico, zoals wanneer het gaat om gegevens van een speciale categorie.
Bijvoorbeeld: Een SaaS-platform biedt een systeem voor gezondheidszorgmanagement dat medische dossiers en genetische gegevens verwerkt. Dit soort gegevens wordt beschouwd als gevoelig en hoog risico. In het geval van een datalek, kan de impact daarvan op individuen aanzienlijk hoger zijn dan bij een ander type datalek vanwege de gevoelige aard van de informatie. Daarom is een DPIA in dit geval verplicht.
Maar zelfs als een DPIA niet expliciet vereist wordt door de AVG, is het een nuttig proces. DPIA’s kunnen u helpen om uw risico’s met betrekking tot de gegevensbescherming te identificeren en te beperken, door gelijk vanaf het begin de best practice gegevensbeschermingsprocessen in uw bedrijf te implementeren.
Lees meer over Privacy by Design
Eisen voor internationale gegevensoverdracht
De AVG legt strenge beperkingen op aan het overdragen van persoonsgegevens aan partijen buiten de EER (Europese Economische Ruimte) en het VK. Als u persoonlijke gegevens uit deze gebieden exporteert naar andere landen ( bekend als ‘derde landen’) dan moet u ervoor zorgen dat er bepaalde verplichte veiligheidsmaatregelen zijn genomen.
Aan een aantal landen is een predicaat toegekend van ”adequate maatregelen”, waarmee bedoeld wordt dat hun wetten omtrent gegevensbescherming in essentie gelijkwaardig zijn aan die van de EU en/of het VK en dat er geen aanvullende voorzorgen of toestemmingen nodig zijn.
De meest recente adequaatheidsbesluiten van de Europese Commissie
VK, adequaatheidsbesluiten van de Information Commissioner’s Office
Heeft u een Transfer Impact Assessment (TIA) of een Transfer Risk Assessment (TRA) nodig? En wat is het verschil?
Een TIA en een TRA zijn soortgelijke assessments voor de risico’s bij gegevensoverdracht. Een TIA wordt gebruikt voor overdracht van persoonsgegevens in de EU, en de TRA is de equivalent ervan voor het VK.
EU Transfer Impact Assessment (TIA) – Voor overdracht van persoonsgegevens vanuit de EER naar bepaalde derde landen met gebruik van Standaardcontractbepalingen (SCC) en bindende bedrijfsvoorschriften (BCR).
Organisaties die persoonsgegevens vanuit het VK naar derde landen overdragen, kunnen ook kiezen voor een TIA, en voor overdacht tussen het VK en de EU kan dit de beste keuze zijn. U moet echter controleren of de persoonsgegevens die u verzendt binnen het kader vallen van de EU AVG of de VK AVG en dan het assessment kiezen dat het meest geschikt is.
UK Transfer Risk Assessment (TRA) – Voor ‘beperkte overdracht’ van persoonsgegevens vanuit het VK naar bepaalde landen buiten het VK met gebruik van SCC’s met VK Addendum, VK BCR’s en de International Data Transfer Agreement (IDTA).
Wanneer is er geen TIA of TRA nodig?
Als een land is aangemerkt als adequaat, is een TIA of TRA niet vereist.
Artikel 49 van de AVG voorziet in enkele uitzonderingen, vrijstellingen genoemd, die toestaan dat persoonsgegevens zonder TIA of TRA naar derde landen worden overgedragen. Deze vrijstellingen gelden voor specifieke situaties en zijn niet bedoeld voor regulier gebruik of als standaardmethode voor overdracht.
Hier enkele voorbeelden van de meest voorkomende vrijstellingen:
- Expliciete toestemming- de betrokkene heeft expliciet toestemming gegeven voor de voorgestelde overdracht
- Contract – de overdracht is vereist voor het nakomen van een contract dat tevoren is overeengekomen tussen een organisatie en een betrokkene
Bijkomende overwegingen voor SaaS–platforms in de EU- en VK-markten
Afhankelijk van uw specifieke bedrijfsactiviteiten, moet u waarschijnlijk ook de regels van de EU en het VK naleven aangaande elektronische marketingcommunicatie en online tracking.
De EU-richtlijn voor ePrivacy is meer dan twintig jaar geleden, in 2002, ingevoerd. De richtlijn wordt vaak aangeduid als de “cookiewet” (het was immers het eerste stukje wetgeving dat het gebruik van cookies en online trackers moest reguleren) en bevat ook regels voor marketing via telefoongesprekken, e-mails, sms en fax en gidsen. Ieder bedrijf dat iets doet met deze marketingmethoden, of het digitaal tracken van EU-klanten, moet de Richtlijn voor ePrivacy naleven.
VOORBEELD: Een FinTech bedrijf in China biedt een online platform voor peer-to-peer geld lenen. Omdat het wil uitbreiden naar EU-markten, voert het bedrijf verschillende advertentiecampagnes en volgt het digitaal gedrag van potentiële klanten. Om dit te doen moet het bedrijf zich houden aan de EU AVG en de Richtlijn voor Privacy. Dat betekent dat het de 7 principes van de AVG moet naleven, de vertrouwelijkheid van de communicatie voor de EU-gebruikers moet waarborgen, en de regels voor tracken en monitoren moet naleven. Elke niet-essentiële cookie op de website moet een ‘opt-in’-keuze zijn.
Let op: Op het moment dat wij dit schrijven zijn het Europees Parlement en de Raad van Europa de onderhandelingen aan het afronden over de voorgestelde ePrivacy-verordening die de ePrivacy Richtlijn moet gaan vervangen. De nieuwe regeling voorziet in een bredere bevoegdheid met strengere regels voor bedrijven, in het bijzonder voor bedrijven die online actief zijn.
De Regelgeving voor Privacy en Elektronische Communicatie van het VK (Privacy and Electronic Communications Regulations, PECR) geeft ingezetenen van het VK specifieke rechten op het punt van privacy met betrekking tot marketing via telefoongesprekken, e-mails, teksten en faxen, cookies en soortgelijke technologieën en veiligheid bij elektronische communicatie.
Functionaris Gegevensbescherming (Data Protection Officers, DPO’s)
De beste manier om naleving van de EU en VK gegevensbeschermingswetten te bereiken en te behouden, is het aanstellen van een Functionaris Gegevensbescherming (DPO).
Deze functionarissen hebben een diepgaande kennis van en ervaring met betrekking tot de verschillende vereisten voor uw bedrijf ten behoeve van naleving van de AVG en de wetten voor elektronische communicatie.
Voor sommige bedrijven is de benoeming van een Functionaris Gegevensbescherming niet alleen aan te raden, maar ook een verplichte eis. Artikel 37 van de AVG stelt dat een functionaris vereist is als:
- De gegevensverwerking wordt uitgevoerd door een openbare instantie of orgaan
- Het regelmatig en systematisch op grote schaal monitoren van betrokkenen tot de kernactiviteiten van het bedrijf behoort
- Het op grote schaal verwerken van een speciale categorie (persoons)gegevens dat betrekking heeft op strafrechtelijke veroordelingen en overtredingen/misdaden tot de kernactiviteiten van het bedrijf behoort
Veel bedrijven kiezen er echter voor om een Functionaris Gegevensbescherming aan te stellen ook als dat niet wettelijk verplicht is.
Het opbouwen van een goede gegevensbeschermingscultuur binnen het bedrijf is de beste manier om proactief het vertrouwen van uw klanten en belanghebbenden te behouden. Dit is ook goed voor uw reputatie.
Diensten om uit te besteden aan een Functionaris Gegevensbescherming (DPO)
Vertegenwoordiger voor de AVG van de EU en het VK
Alle bedrijven die vallen onder de AVG en die niet fysiek aanwezig zijn binnen de EU of het VK moeten een AVG-vertegenwoordiger benoemen. Als u naar beide markten wilt uitbreiden heeft u zowel een EU AVG-vertegenwoordiger nodig als een voor de VK AVG.
Een AVG-vertegenwoordiger treedt op als contactpersoon voor de betrokkenen en de toezichthoudende autoriteiten.
De AVG-vertegenwoordiger is ook de contactpersoon voor betrokkenen die hun rechten onder de AVG willen uitoefenen. Daaronder valt het recht om de eigen persoonsgegevens in te zien, het recht om onzorgvuldige gegevens te corrigeren, het recht om gegevens te laten verwijderen, het recht om de gegevensverwerking te beperken, het recht die gegevens over te dragen en het recht om bezwaar te maken tegen verwerking.
Zie voor aanvullende informatie:
AVG-vertegenwoordiger: heeft u er een nodig?
AVG-vertegenwoordiger diensten
Samenvatting
Alle bedrijven die marketing willen inzetten voor individuen in het VK en de EU moeten de EU AVG, de VK AGV, de Richtlijn ePrivacy en de PECR naleven.
Het behouden van een sterke reputatie voor gegevensbescherming zorgt voor vertrouwen bij klanten en belanghebbenden, wat essentieel is voor commercieel succes.
De beste manier om die naleving te bereiken en behouden is het aanwijzen van een Functionaris Gegevensbescherming.
Deze functionaris beschikt over de expertise en kennis om u door het doolhof van regels en eisen te leiden. Ze kunnen u helpen bij het opstellen van de benodigde contracten en overeenkomsten, zorgdragen voor internationale gegevensoverdrachten en u op de hoogte houden van veranderingen binnen uw wetsgebied.
Als uw bedrijf geen kantoor heeft in de EU of het VK, moet u ook een EU of VK AVG-vertegenwoordiger aanwijzen, of beiden.
Als u hulp nodig heeft bij het naleven van de AVG, of als u erover denkt de gegevensbescherming uit te besteden, kan The DPO Centre u helpen. We hebben gewerkt met meer dan 850 organisaties wereldwijd en beschikken over een van de grootste teams van deskundige functionarissen.
Neem contact met ons op door het formulier hieronder in te vullen.