De GDPR-wetgeving bevat strenge regels voor gegevensbescherming. Als je drones gebruikt voor werkzaamheden in de EU, hebben we hieronder enkele overwegingen die je helpen om deze wet na te leven.
Want het is een feit: het gebruik van drones voor commerciële doeleinden is de afgelopen jaren exponentieel gestegen. Inspecties – zowel intern als extern – zijn één van de toepassingen die het snelst gegroeid zijn. Maar het gebruik van drones is ook toegenomen in verschillende andere sectoren zoals surveillance, landbouw, bezorging en meer.
Hiermee zijn echter zorgen over de privacy ontstaan. En zoals in elk bedrijf is het belangrijk om op de hoogte te zijn van de privacywetgeving, ook als je drones voor jouw professionele doeleinden gebruikt. Het is daarom belangrijk om te begrijpen hoe GDPR een invloed heeft op jouw bedrijf en hoe je de naleving ervan kan waarborgen.
Belangrijke GDPR-principes die gevolgd moeten worden bij het gebruik van drones
Om de naleving van de GDPR-wetgeving te waarborgen, zijn er maar liefst 4 principes die je in gedachten moet houden wanneer je drones voor jouw bedrijf inzet.
1. Begrijp persoonsgegevens en gegevensrechten
In GDPR-termen verwijzen privé- of persoonsgegevens naar informatie over een identificeerbaar individu. Dit kunnen foto’s, video’s en audio zijn waarmee je betrokkenen die door jouw drone vastgelegd zijn, kan identificeren.
Het is hierbij belangrijk om te weten welke rechten individuen hebben op deze gegevens. Zo hebben ze bijvoorbeeld recht op toegang tot foto’s en video’s van hen die drones van een andere organisatie vastgelegd hebben. En ze kunnen verzoeken om alle persoonlijke gegevens die jij als bedrijf in bezit hebt te wissen
2. Minimaliseer het verzamelen en opslaan van gegevens
Wil je deze wetgeving zo goed mogelijk naleven? Dan moet je de verzameling en opslag van gegevens minimaliseren of zelfs anonimiseren.
Idealiter zouden bedrijven alleen privégegevens moeten verzamelen wanneer dit noodzakelijk is voor de bedrijfsvoering. Maar als je een drone-operatie uitvoert, is het nogal moeilijk om voorbijgangers toestemming te laten geven voor het verzamelen en gebruiken van hun gegevens. Toch heeft de Federal Aviation Administration enkele vliegregels waardoor je het verzamelen van gegevens kan minimaliseren.
- Vermijd het vliegen over groepen mensen.
- Vervaag kentekens en gezichten.
- Probeer in het algemeen het verzamelen van identificerende informatie zo veel mogelijk te vermijden
3. Implementeer gegevensbeschermingsprocessen
Foto’s, video’s en audio met identificerende informatie moeten veilig opgeslagen worden en ontoegankelijk gemaakt worden voor onbevoegden of derden. De belangrijkste manieren waarop je dit kan doen zijn: gegevenscodering, het gebruik van sterke wachtwoorden en/of twee-factor-authenticatie. Vergeet hier zeker een solide back-up plan niet!
4. Beschik over een officieel privacybeleid
Het hebben van een officieel privacybeleid waarin je al deze processen documenteert, is een ander cruciaal element in het naleven van de GDPR-wetgeving. Publiceer dit op jouw website en andere relevante locaties. Het kan jouw bedrijf beschermen mocht er een geschil over persoonsgegevens ontstaan.
In dat beleid vermeld je welk type gegevens jouw drones vastleggen en hoe die gebruikt, opgeslagen en gedeeld worden. Beschrijf ook welke rechten de betrokkenen hebben en hoe ze je kunnen bereiken als ze vragen of zorgen hebben over hun privégegevens.
Gaat GDPR-compliance alleen over het naleven van de wet?
Helemaal niet! Naleving van de GDPR kan jouw bedrijf op verschillende manieren ten goede komen. Er zijn maar liefst drie voordelen die het naleven van de GDPR je kan opleveren.
1. Meer vertrouwen van klanten
Door deze wetgeving na te leven, bewijs je aan jouw klanten dat jouw bedrijf hun privégegevens veilig kan opslaan en beschermen. De wetgeving verplicht bedrijven om een functionaris voor gegevensbescherming aan te stellen die toezicht houdt op de gegevensbeschermingsprocessen en regelmatige audits van de verwerkingsactiviteiten uitvoert.
2. Verlaag de onderhoudskosten
Door GDPR-compliance na te streven kan je jouw bedrijfskosten op vele manieren verlagen. In eerste instantie ga je jouw gegevensopslag consolideren. Dit betekent dat jouw gegevensinventaris continu bijgewerkt zal zijn. Zo moet je minder geld besteden aan het onderhoud ervan, zowel in termen van infrastructuur, onderhoud en arbeidsuren.
GDPR laat je echter ook toe om je enkel bezig te houden met geïnteresseerde klanten. Dankzij het verplichte opt-in beleid, waarbij betrokkenen toestemming geven om hun persoonlijke gegevens te verstrekken, communiceer je enkel met relevante leads die uitdrukkelijk gevraagd hebben om met jouw bedrijf in zee te gaan.
3. Afstemming op evoluerende technologie
Een ander aspect van GDPR-naleving is de eis dat organisaties hun netwerk- en applicatiebeveiliging verbeteren.
Door hierbij de nieuwste technologieën zoals IoT, cloud computing en virtualisatie te gebruiken, kan jouw bedrijf groeiende hoeveelheden gegevens nog beter beheren en klanten bijgevolg een nog betere service bieden. Bovendien blijf je zo ook waakzaam voor mogelijke datalekken, die steeds vaker voorkomen en geavanceerder worden. Deze tools houden namelijk loggegevens bij en gegevens die buiten jouw netwerk overgedragen worden. Ze bewaken ook de integriteit van jouw eindpuntapparaten, toepassingen en het hele netwerk, inclusief de cloud, en sturen waarschuwingen wanneer ze een anomalie detecteren.
Hoe GDPR-naleving te handhaven in de olie- en gassector – en daarbuiten
De General Data Protection Regulation (GDPR) werden op 25 mei 2018 van kracht en vervingen de voorgaande Data Protection Act van 1998 als reactie op een toename van het aantal wereldwijde datalekken en de komst van het dagelijks gebruik van het internet.
Na de goedkeuring ervan moesten alle organisaties die persoonsgegevens van EU-ingezetenen opslaan, doorgeven en verwerken, voldoen aan de nieuwe, strengere voorschriften inzake gegevensbescherming.
Maar GDPR-compliant worden, is geen gemakkelijke opgave. GDPR is een van de strengste privacywetten ter wereld, en om aan de eisen te voldoen moeten bedrijven diep ingaan op hun verwerkingsactiviteiten, communicatie met derden, toegang voor klanten en bescherming van persoonsgegevens. En het proces houdt niet op als je eenmaal compliant bent. Daarom enkele interessante tips.
1. Voer voortdurend audits uit
Je moet voortdurend audits uitvoeren op jouw gegevensverwerkingsactiviteiten om de GDPR-naleving te handhaven.
Een cruciaal aspect van het uitvoeren van regelmatige audits is het uitvoeren van een gegevensbeschermingseffectbeoordeling. Deze beoordelingen kunnen organisaties helpen bepalen hoe aangewezen werknemers gevoelige informatie behandelen en verwerken, zoals gegevens over klantgedrag, locatie, gezondheid en zelfs religie.
2. Stel een functionaris voor gegevensbescherming aan
Volgens artikel 37 van de GDPR moeten bedrijven en organisaties een functionaris voor gegevensbescherming (DPO) aanstellen die toezicht houdt op hun gehele gegevensbeschermingsstrategie. Dit is vooral het geval als je gegevens verwerkt op gezag van de overheid, die verzamelt via systematisch toezicht en die op grote schaal verwerkt. Helaas geeft de GDPR geen exacte definitie van “grootschalige” gegevens. Wil je op veilig spelen? Dan is het aanstellen van een DPO een must. Die persoon zal
- Controllers en processen voortdurend adviseren over GDPR-nalevingspraktijken en updates in de gegevensregelgeving.
- Toezicht houden op gegevensverwerking om GDPR-naleving te waarborgen.
- Zorgen voor nauwkeurige effectbeoordelingen van gegevensgescherming.
- Vragen over gegevensverwerking regelen.
- Optreden als tussenpersoon tussen GDPR-regelgevers en het bedrijf.
- Alle potentiële risico’s in verband met verschillende gegevensverwerkingsactiviteiten evalueren.
3. Zorg voor een uitgebreide en voortdurende opleiding van het personeel
Voortdurende personeelsopleiding is een andere manier waarop je de GDPR-naleving kan handhaven.
Helaas is 88% van de datalekken – een enorme meerderheid – het gevolg van al dan niet opzettelijke fouten van werknemers. Daarom moet je jouw werknemers op de hoogte houden van best practices op het gebied van gegevensveiligheid door:
- Medewerkers in te lichten over de belangrijkste gegevensprivacy- en GDPR-concepten en het belang ervan.
- Uit te leggen hoe dagelijkse taken kunnen leiden tot datalekken.
- Ervoor te zorgen dat werknemers geen persoonlijke apparaten gebruiken voor werkgerelateerde activiteiten.
- Dataprivacy- en beveiligingstrainingen uit te voeren op nieuwe werknemers (en te overwegen opfriscursussen te doen voor bestaande werknemers).
4. Meld datalekken onmiddellijk
Het onmiddellijk melden van datalekken is verplicht onder GDPR. Met name artikel 33 vereist dat voor de verwerking verantwoordelijken en verwerkers incidenten van datalekken binnen 72 uur melden. Het melden van datalekken moet als volgt hiërarchisch gebeuren:
- Verwerkers moeten inbreuken op gegevens melden aan de verantwoordelijken voor verwerking.
- De verantwoordelijken voor verwerking melden het aan een toezichthoudende autoriteit of vereniging voor gegevensbescherming. Zij zijn verantwoordelijk voor de handhaving en het toezicht op de naleving. Ze zijn ook het eerste aanspreekpunt voor GDPR-vragen in een organisatie. Bevinden deze zich in een EU-staat? Dan kunnen zij boetes aan verwerkingsverantwoordelijken en verwerkers opleggen bij niet-naleving van de wet.
5. Controleer de leeftijd van gebruikers die toestemming geven voor de verwerking van persoonsgegevens
GDPR staat organisaties toe om gegevens te verzamelen en te verwerken voor personen boven de 16 jaar. Om legaal persoonsgegevens van jongeren te verzamelen, moet je toestemming vragen aan de ouders, voogd of personen die belast zijn met de ouderlijke verantwoordelijkheid van het kind. Als EU-burgers onder de 16 jaar interactie zullen hebben met jouw site, moet je een optie voor leeftijdscontrole opnemen om hun leeftijd te verifiëren voordat je persoonsgegevens verzamelt.
6. Beoordeel regelmatig de risico’s van derden
Onder GDPR ben je verantwoordelijk voor de manier waarop bedrijven van derden persoonsgegevens voor jouw organisaties verzamelen, bewaren en delen. Als zodanig moet je ervoor zorgen dat externe bedrijven GDPR-naleving handhaven in al hun praktijken voor het verzamelen van gegevens. Indien nodig moet je contracten bijwerken om compliance maatregelen te voorzien.
7. Werk jouw privacybeleid bij
Volgens de GDPR moeten organisaties een gedetailleerd en gemakkelijk toegankelijk privacybeleid op hun website hebben. Evenzo moet je jouw klanten via e-mail op de hoogte stellen wanneer er een update doorgevoerd wordt. Idealiter zou het privacybeleid moeten beschrijven hoe privégegevens verzameld worden, hoe ze opgeslagen en gebruikt worden. Je moet juridisch advies inwinnen wanneer je een privacybeleid opstelt.