Privacy van gegevens | Regelgeving | Wetten | Kaders
Data & Mores Complice Service (DMCS) ondersteunt een breed scala aan wettelijke kaders. Van de Europese GDPR over de Canadese PIPEDE tot de Chinese PIPL. Aan de basis van alle gegevensprivacy ligt de aanname dat gegevens toebehoren aan individuen en dat organisaties slechts beheerders van gegevens zijn. Met dat begrip wordt het duidelijk dat alle Persoonsgegevens een bewaartermijn moeten hebben - en moeten worden verwijderd voordat het illegaal wordt om ze te bewaren.
GDPR was de eerste grote wetgeving op het gebied van gegevensprivacy die, vanwege haar algehele reikwijdte, invloed heeft gehad op bijna alle wereldwijde wetgeving op het gebied van gegevensprivacy. Zoals hieronder vermeld, is het echter essentieel om op te merken dat GDPR geworteld is in het Handvest van de grondrechten van de Europese Unie.
Hieronder hebben we tien regulator retention frameworks beschreven die het DMCS out of the box ondersteunt.
1. EU: General Data Protection Regulation (GDPR):
Onder de GDPR is het bewaren van gegevens een cruciaal aspect van compliance. Organisaties moeten een duidelijk dataretentiebeleid opstellen dat bepaalt hoe lang persoonlijke gegevens mogen worden bewaard. Het principe van dataminimalisatie wordt benadrukt, wat betekent dat persoonlijke gegevens niet langer bewaard mogen worden dan nodig is voor het gespecificeerde doel. Organisaties moeten hun bewaartermijnen documenteren en personen informeren over de duur van de opslag van hun gegevens. De GDPR verplicht organisaties ook om passende beveiligingsmaatregelen te nemen om bewaarde gegevens tijdens de opslag te beschermen.
2. VS: California Consumer Privacy Act (CCPA):
De CCPA geeft consumenten het recht om te vragen om verwijdering van hun persoonlijke gegevens die door bedrijven worden bewaard. Als gevolg hiervan moeten organisaties een gegevensbewaringsbeleid opstellen dat op deze rechten is afgestemd. Hoewel de CCPA geen specifieke bewaarperiode voorschrijft, benadrukt het de noodzaak voor organisaties om personen te informeren over hun gegevensbewaringspraktijken. Bedrijven moeten de categorieën van verzamelde persoonlijke gegevens, het doel van de verzameling en de periode gedurende welke de gegevens worden bewaard, bekendmaken. Naleving van het gegevensbewaringsbeleid en tijdige verwijdering van gegevens op verzoek is cruciaal om aan de vereisten van de CCPA te voldoen.
https://oag.ca.gov/privacy/ccpa
3. Canada: Personal Information Protection and Electronic Documents Act (PIPEDA):
PIPEDA vereist dat organisaties een duidelijk en redelijk beleid hebben voor het bewaren van gegevens. Het benadrukt het belang om het bewaren van persoonlijke informatie te beperken tot wat nodig is om de geïdentificeerde doeleinden te vervullen. Organisaties moeten specificeren hoe persoonlijke gegevens worden verzameld en bewaard en deze doeleinden communiceren aan personen. Verder schrijft PIPEDA voor dat organisaties richtlijnen en procedures moeten hebben voor het vernietigen of anonimiseren van persoonlijke informatie wanneer deze niet langer nodig is voor de vastgestelde doeleinden.
4. Brazilië: Algemene wet gegevensbescherming (LGPD):
De LGPD erkent het belang van een dataretentiebeleid om de bescherming en privacy van persoonsgegevens te waarborgen. Het verplicht organisaties om specifieke doeleinden voor gegevensverwerking vast te stellen en gegevens te bewaren voor de duur die nodig is om deze doeleinden te bereiken. Organisaties moeten personen informeren over de bewaartermijn en de criteria die worden gebruikt om de duur van de gegevensopslag te bepalen. Daarnaast benadrukt de LGPD de noodzaak van passende beveiligingsmaatregelen om bewaarde gegevens te beschermen en ongeautoriseerde toegang of openbaarmaking te voorkomen.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
5. Singapore: Wet bescherming persoonsgegevens (PDPA):
Onder de PDPA moeten organisaties een gegevensbewaringsbeleid opstellen dat is afgestemd op het doel van de verzameling. Persoonsgegevens mogen niet langer worden bewaard dan nodig is om de gestelde doelen te bereiken en organisaties moeten hun bewaartermijnen documenteren. De PDPA benadrukt ook het belang van het implementeren van passende beveiligingsmaatregelen om bewaarde gegevens te beschermen tegen ongeautoriseerde toegang, openbaarmaking of verlies.
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
6. Australische privacywet: (APA)
Hoewel de Australische Privacy Act niet expliciet specifieke bewaartermijnen voor gegevens vastlegt, benadrukt hij het principe van gegevensminimalisatie. Van organisaties wordt verwacht dat ze een dataretentiebeleid opstellen dat ervoor zorgt dat persoonlijke informatie niet langer wordt bewaard dan nodig is om de geïdentificeerde doeleinden te vervullen. Bovendien benadrukt de wet dat organisaties passende beveiligingsmaatregelen moeten treffen om bewaarde gegevens te beschermen tegen ongeoorloofde toegang, misbruik, verstoring, verlies of openbaarmaking.
https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act
7. US Health Insurance Portability and Accountability Act (HIPAA):
HIPAA bevat bepalingen met betrekking tot het bewaren van gegevens in de gezondheidszorg. Covered entities en business associates zijn verplicht om beschermde gezondheidsinformatie (PHI) gedurende een bepaalde periode te bewaren om te voldoen aan wettelijke en zakelijke vereisten. HIPAA geeft geen specifieke bewaartermijn, maar benadrukt de noodzaak om beleid en procedures te implementeren voor het bewaren en verwijderen van gegevens. Organisaties moeten rekening houden met staats- en federale wetten bij het opstellen van beleid voor het bewaren van PHI.
https://www.hhs.gov/hipaa/index.html
8. UK: Wet bescherming persoonsgegevens:
De Data Protection Act 2018, in combinatie met de GDPR, vereist dat organisaties een beleid hebben voor het bewaren van gegevens. Persoonsgegevens mogen niet langer worden bewaard dan nodig is voor de gespecificeerde doeleinden. De wet benadrukt dat organisaties personen moeten informeren over de bewaartermijnen en de criteria die worden gebruikt om de duur van de gegevensopslag te bepalen. Daarnaast moeten er passende beveiligingsmaatregelen worden genomen om de bewaarde gegevens te beschermen.
9. China: Wet bescherming persoonsgegevens (PIPL):
De PIPL in China verplicht organisaties om een beleid op te stellen voor het bewaren van gegevens ten behoeve van de gegevensverwerking. Persoonlijke gegevens mogen niet langer worden bewaard dan nodig is om de gespecificeerde doeleinden te vervullen. Organisaties moeten personen informeren over de bewaartermijn en de criteria die worden gebruikt om de duur van de gegevensopslag te bepalen. De wet verplicht organisaties ook om beveiligingsmaatregelen te treffen om bewaarde gegevens te beschermen tegen ongeoorloofde toegang, openbaarmaking of verlies.
http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
India: Wetsvoorstel bescherming persoonsgegevens (PDPB):
De voorgestelde VOB in India benadrukt het belang van een gegevensbewaringsbeleid. Organisaties moeten en bewaartermijnen vaststellen op basis van de doeleinden van de gegevensverwerking. Persoonsgegevens mogen niet langer worden bewaard dan nodig is om de gespecificeerde doeleinden te vervullen. De VOB verplicht organisaties om personen te informeren over de bewaartermijnen en passende beveiligingsmaatregelen te nemen om de bewaarde gegevens te beschermen.
Zoals altijd, lees de bronnen - ga voor nul vertrouwen