Een gegevensbeheerder is een persoon of organisatie die beheert hoe gegevens worden verwerkt en die verantwoordelijk is voor het naleven van gegevensbeschermingsregels. De verwerkingsverantwoordelijke, of het nu een persoon is of een heel bedrijf, is verantwoordelijk voor het schrijven van het privacybeleid van een organisatie, waarin wordt beschreven welke gegevens die organisatie verzamelt, hoe ze de gegevens gebruikt en waar ze de gegevens naartoe sturen. Gegevensbeheerders beheren gegevensverwerkers en dicteren hoe de organisatie persoonlijke gegevens zoals contactgegevens, adressen en identificatienummers analyseert en gebruikt.
De term gegevensbeheerder verwijst doorgaans naar de Algemene Verordening Gegevensbescherming (AVG) en de vereisten voor gegevensbescherming; deze rol is ontstaan vanuit de Europese wetgeving inzake gegevensbescherming. De AVG maakte verwerkingsverantwoordelijken noodzakelijk toen het in 2018 strenge eisen stelde aan het gebruik van persoonsgegevens.
Vereisten voor gegevensbeheerders onder de AVG
De AVG, die niet alleen van toepassing is op de hele Europese Unie, maar ook op alle landen met bedrijven of klanten in Europa, is specifiek ontworpen om individuen en hun persoonlijke gegevens te beschermen. Daarom is het buitengewoon streng voor organisaties. Bedrijven moesten zich haasten om aan de vereisten te voldoen, waaronder veel Amerikaanse bedrijven. Gegevensbeheerders hebben veel verantwoordelijkheden; dit zijn er maar een paar.
De AVG vereist dat bedrijven ten minste één goede reden hebben om iemands persoonlijke gegevens te verzamelen. De gegevensbeheerder van het bedrijf moet die goede reden kunnen aantonen. De zes redenen of “wettige grondslagen” voor het verzamelen van persoonlijke gegevens zijn:
- Toestemming, gegeven aan het bedrijf door het individu
- Contract dat wordt gesloten tussen een organisatie en een individu en waarvoor persoonlijke gegevens vereist zijn
- Voldoen aan een wettelijke verplichting (volgens de wet iemands gegevens aan de overheid moeten verstrekken)
- Bescherming van de vitale belangen van een individu
- Openbare taken waarvoor persoonlijke gegevens moeten worden verwerkt (een organisatie heeft een e-mailadres nodig om contact op te nemen met een klant over een specifieke dienst)
- Bescherming van het legitieme belang van de organisatie, doorgaans voor juridische doeleinden
Gegevensbeheerders moeten ook gedetailleerde registers bijhouden van de gegevens die ze verzamelen, waar ze deze naartoe sturen en hoe ze deze gebruiken. Ze moeten die gegevens schriftelijk beschikbaar hebben. Als ze gegevens aan derden verkopen, moeten ze precies documenteren wie en met welk doel. Individuen (of, zoals de AVG ze noemt, betrokkenen) moeten ook toegang hebben tot die informatie.
Gegevensbeheerders moeten hun contactgegevens ook direct beschikbaar stellen aan betrokkenen, die vervolgens contact kunnen opnemen met de gegevensbeheerder met vragen over hun persoonsgegevens en hoe deze worden gebruikt.
De AVG stelt eisen aan organisaties om een Data Protection Officer (DPO) aan te stellen: dit kan de verantwoordelijkheid zijn van een data controller. Een organisatie moet een functionaris voor gegevensbescherming aanstellen als ze grote hoeveelheden gevoelige gegevens verwerkt (zoals een grote medische faciliteit of financiële instelling) of regelmatig grote hoeveelheden gegevens verzamelt, inclusief regelmatige monitoring of bewaking.
AVG-vereisten voor Amerikaanse bedrijven
Een belangrijke opmerking voor bedrijven in de Verenigde Staten: als Amerikaanse bedrijven EU-klanten, EU-vestigingen, EU-werknemers of zelfs een aanwezigheid in EU-landen hebben, zijn de AVG-voorschriften inderdaad ook op hen van toepassing. De CCPA van Californië heeft vergelijkbare vereisten. Dit betekent dat de bovenstaande vereisten voor gegevensbeheerders en mogelijk gegevensbeschermingsfunctionarissen van toepassing zijn op Amerikaanse bedrijven, evenals op elk bedrijf met EU-klanten. Zelfs een bedrijf in de Verenigde Staten met een grote online aanwezigheid of een e-mailmarketingcampagne, zoals een warenhuis, valt waarschijnlijk onder de AVG, omdat het waarschijnlijk EU-klanten online heeft.