Iubenda logo
Aan de slag

Documentatie

Inhoud

Wat is de LGPD en hoe kun je er aan voldoen?

Gids over de Braziliaanse wetgeving inzake gegevensbescherming (LGPD)

Wat is de LGPD, welke invloed heeft de LGPD op jou en hoe kun je eraan voldoen? In de onderdelen hieronder zetten we het uiteen in eenvoudige, begrijpelijke termen.

In het kort

Wat is de LGPD en wat vereist deze van jou?

De Braziliaanse wet inzake gegevensbescherming, de “Lei Geral de Proteção de Dados Pessoais” (LGPD), is in zekere zin de Braziliaanse versie van de AGV. Er zijn veel overeenkomsten met de Europese wetgeving, maar ook belangrijke verschillen. De wet is bedoeld om het huidige versnipperde juridische landschap (van meer dan 40 federale sector-georiënteerde normen) te vervangen door of aan te vullen met één belangrijk regelgevend kader.

De LGPD beoogt een nieuw rechtskader te scheppen voor het gebruik van persoonsgegevens in Brazilië, zowel online als offline, in de particuliere en publieke sector.

In het algemeen vereist de LGPD dat je alleen persoonsgegevens verwerkt voor gerechtvaardigde, specifieke, expliciete en duidelijk gecommuniceerde doeleinden. Net als bij de AVG zijn bij de LGPD ook de beginselen van transparantie en gegevensminimalisering (gebruik alleen de gegevens die je nodig hebt) van toepassing.

Ondanks een eerder voorstel om de datum van de inwerkingtreding van de LGPD uit te stellen tot december, is het voorstel tot uitstel, na een stemming in de Senaat, geschrapt uit het wetsontwerp inzake de conversie (PLV) 34/2020. De president van Brazilië heeft de wet bekrachtigd en de LGPD is op 18 september 2020 in werking getreden. In dit verband is een besluit uitgevaardigd om een Nationale Autoriteit voor Gegevensbescherming in het leven te roepen, de Autoridad Nacional de Protección de Datos (ANPD).

Speciale definities die worden gebruikt
  • Onder “gebruiker” wordt verstaan een natuurlijke persoon wiens persoonsgegevens worden verwerkt door een verwerkingsverantwoordelijke of verwerker (formeel bekend als de houder of betrokkene).
  • Onder “verwerkingsverantwoordelijke” wordt verstaan elke natuurlijke persoon of publiek- of privaatrechtelijke rechtspersoon, die betrokken is bij het bepalen van het doel en de wijze van verwerking van persoonsgegevens.
  • Onder “gegevensverwerker” of “operator” wordt verstaan elke persoon of rechtspersoon die namens de verwerkingsverantwoordelijke betrokken is bij het verwerken van persoonsgegevens.
  • De term Gegevensbeschermingsautoriteit verwijst in deze tekst naar de Nationale Autoriteit voor Gegevensbescherming in Brazilië (ANPD)

Bijvoorbeeld, een internetbedrijf kan gebruikersinformatie verzamelen via hun website en deze opslaan met behulp van een clouddienst van een derde. In dit scenario is het internetbedrijf de verwerkingsverantwoordelijke en de organisatie die de clouddienst exploiteert de gegevensverwerker.

Waar is de LGPD van toepassing? (Territoriale werkingssfeer van de LGPD)

Net als de AVG heeft ook de LGPD een territoriale werkingssfeer die zich tot buiten Brazilië uitstrekt. Dit betekent dat je wellicht aan de voorschriften moet voldoen, zelfs als jij of je bedrijf niet in Brazilië zijn gevestigd. In de praktijk betekent dit dat de LGPD op jou van toepassing is wanneer:

  • je gegevensverwerkingsactiviteiten worden uitgevoerd in Brazilië (bv. je gebruikt servers die in Brazilië staan);
  • je goederen of diensten aanbiedt of levert aan personen die in Brazilië zijn gevestigd, ongeacht hun nationaliteit; of
  • je gegevens verwerkt die betrekking hebben op personen die in Brazilië zijn gevestigd (zelfs als de persoon alleen in Brazilië was op het moment dat de gegevens werden verzameld en sindsdien van locatie is veranderd).

Over het algemeen kun je ervan uitgaan dat de LGPD op jou van toepassing is als je de persoonsgegevens verwerkt van mensen die zich in Brazilië bevinden of van iedereen, ongeacht nationaliteit, binnen het grondgebied van Brazilië.

Uitzonderingen op de toepasselijkheid

Er bestaan enkele uitzonderingen op de toepasselijkheid van de LGPD, zelfs wanneer de verwerkingsverantwoordelijke binnen de territoriale werkingssfeer van de wet valt. Deze uitzonderingen worden hieronder opgesomd. De LGPD is niet van toepassing als:

  • het verwerken van de persoonsgegevens wordt uitgevoerd door een natuurlijke persoon, enkel en alleen voor privé- en niet-commerciële doeleinden; of
  • de persoonsgegevens uitsluitend voor een van de volgende doeleinden worden verwerkt:
    • journalistieke of artistieke expressie,
    • wetenschappelijk onderzoek,
    • openbare veiligheid,
    • landsverdediging en binnenlandse veiligheid,
    • onderzoek en vervolging van strafbare feiten.

Wat zijn persoonsgegevens volgens de LGPD?

De LGPD hanteert een ruime definitie van persoonsgegevens. Net als bij de AVG zijn persoonsgegevens volgens de LGPD alle gegevens die kunnen worden gekoppeld aan een geïdentificeerde of identificeerbare persoon. In wezen worden alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon als persoonsgegevens beschouwd. Hiertoe behoren ook gegevens die met andere informatie kunnen worden gecombineerd om deze tot een persoon te herleiden.

Hoe zit het met de LGPD en geanonimiseerde gegevens?

Daadwerkelijk geanonimiseerde gegevens (gegevens die redelijkerwijs niet direct of indirect tot de identificatie van een persoon kunnen leiden) vallen buiten het toepassingsgebied van de LGPD. Als het anonimiseringsproces echter kan worden teruggedraaid of als de gegevens voor gedragsprofilering worden gebruikt, blijft de LGPD van toepassing.

Voorbeelden van persoonsgegevens zijn onder andere (maar niet uitsluitend) basisidentiteitsgegevens, zoals namen, gezondheids-, genetische en biometrische gegevens, internetgegevens, zoals IP-adressen, persoonlijke e-mailadressen, politieke opvattingen, en gegevens over seksuele geaardheid.
Bij voorbeelden van niet-persoonsgebonden gegevens kun je denken aan registratienummers van bedrijven, algemene e-mailadressen van bedrijven, zoals info@company.com en geanonimiseerde gegevens.

Een speciale opmerking over gevoelige gegevens in het kader van de LGPD

De LGPD onderscheidt “gevoelige” gegevens van “gewone” persoonsgegevens en past op deze categorie van persoonsgegevens speciale regels toe. Gevoelige gegevens zijn gegevens met betrekking tot etnische afkomst, geloofsovertuiging, politieke opvattingen, gezondheid of seksleven; of gegevens die de eenduidige en blijvende identificatie van de gebruiker mogelijk maken, zoals genetische en biometrische gegevens.

Omdat bij de verwerking van gevoelige gegevens de kans groter is dat de gebruiker het risico loopt op discriminatie, moeten gevoelige gegevens met extra beveiligingslagen worden verwerkt en moeten er zeer specifieke rechtsgronden voor de verwerking aanwezig zijn.

In het algemeen kun je alleen gevoelige gegevens verwerken als de gebruiker (of, wanneer de gebruiker minderjarig is, een ouder of wettelijke voogd) toestemming heeft gegeven voor die specifieke verwerking. Er zijn echter enkele uitzonderingen.

💡 Tip: je kunt het zwevende menu aan de linkerkant gebruiken om naar de onderdelen te gaan die je vervolgens wilt lezen (bv. “hoe je aan de voorschriften voldoet”)

BELANGRIJKSTE LGPD-VEREISTEN EN HOE JE AAN DE LGPD VOLDOET

Kernbegrippen van de LGPD

Principes van gegevensverwerking

De principes voor het verwerken van gegevens zijn in grote lijnen dezelfde als die van de AVG. In het bijzonder:

  • Er moet een doel zijn voor de verwerking. Dit houdt in dat elke gegevensverwerkingsactiviteit moet worden uitgevoerd voor gerechtvaardigde, specifieke, expliciete en duidelijk gecommuniceerde doeleinden – je mag onder geen beding extra verwerkingen uitvoeren die niet in overeenstemming zijn met de meegedeelde oorspronkelijke doeleinden.
  • Adequaatheid Zowel de wijze van gegevensverwerking als de verwerkte gegevens zelf moeten op een verantwoorde manier in overeenstemming zijn met de doeleinden van de verwerking.
  • Doelbeperking. Dit is vergelijkbaar met het concept van gegevensminimalisering onder de AVG en betekent gewoonweg dat je alleen gegevens mag verwerken die noodzakelijk zijn voor de verwezenlijking van de door jou aangegeven verwerkingsdoeleinden.
  • Vrijheid bij de uitoefening van rechten en vrije toegang tot informatie. Gebruikers moeten hun rechten onder de LGPD vrij kunnen uitoefenen en ongehinderd en gemakkelijk kosteloos toegang hebben tot alle informatie over het verwerken van hun persoonsgegevens.
  • Gegevensintegriteit/kwaliteit. Jij, de verwerkingsverantwoordelijke, moet de juistheid van de verwerkte gegevens garanderen en deze actueel en relevant houden, overeenkomstig het doel van de verwerking ervan.
  • Transparantie. Informatie over jouw gegevensverwerking moet duidelijk, nauwkeurig en gemakkelijk beschikbaar zijn voor de gebruikers. Gebruikers moeten ook toegang kunnen krijgen tot informatie over derden waarmee hun gegevens worden gedeeld.
  • Beveiliging. Zowel de verwerkingsverantwoordelijke als eventuele verwerkers (operators) moeten alle technische en organisatorische maatregelen hebben getroffen om persoonsgegevens te beschermen tegen onbevoegde toegang, vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, wijziging en ongeoorloofde communicatie of verspreiding.
  • Preventie. Het is de verantwoordelijkheid van zowel de verwerkingsverantwoordelijke als de verwerker technische en organisatorische maatregelen te nemen om te voorkomen dat door de verwerking van persoonsgegevens schade wordt veroorzaakt;
  • Verbod van discriminatie. Gegevensverwerking mag nooit voor discriminerende doeleinden plaatsvinden.
  • Verantwoordingsplicht. Als verwerkingsverantwoordelijke moet je de wet naleven en moet je dat kunnen bewijzen.

Rechtsgrond voor verwerking in de zin van de LGPD

Overeenkomstig de LGPD mogen gegevens alleen worden verwerkt als daar ten minste één rechtsgrond voor is.

De rechtsgronden zijn:

  • Toestemming van de gebruiker
  • De nakoming van een verplichting uit wet- of regelgeving die van toepassing is op de verwerkingsverantwoordelijke.
  • De uitvoering van overheidsbeleid (wanneer dit beleid wordt ondersteund door wet- en regelgeving of overeenkomsten)
  • De uitvoering van studies door onderzoeksinstellingen – waarbij de anonimisering van de gebruikte persoonsgegevens, waar mogelijk, wordt gewaarborgd*
  • De uitvoering van een overeenkomst waaraan de gebruiker deelneemt (of de daaraan voorafgaande activiteiten)
  • De normale uitoefening van rechten in gerechtelijke, bestuurlijke of arbitrageprocedures*
  • De bescherming van het leven of fysieke veiligheid van de gebruiker of een derde
  • De bescherming van de gezondheid – in procedures die door beroepsbeoefenaren, gezondheidsdiensten en de gezondheidsautoriteit worden uitgevoerd*
  • De gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, behalve wanneer de belangen, rechten en vrijheden van de gebruiker prevaleren.
  • Kredietbescherming, met inbegrip van de bepalingen van de relevante wetgeving*

*Niet als rechtsgrond opgenomen in de AVG.

Toestemming overeenkomstig de LGPD

Omdat toestemming zo’n essentieel onderwerp is en vaak heel belangrijk is als het gaat om online verwerking, bekijken we hieronder de specifieke vereisten voor toestemming overeenkomstig de LGPD.

De LGPD bepaalt dat de toestemming “vrij, geïnformeerd en ondubbelzinnig” moet zijn. Dit betekent dat de toestemming niet mag worden afgedwongen, dat duidelijk moet zijn welke handelingen gebruikers moeten ondernemen voor de toestemming en dat gebruikers naar behoren moeten worden geïnformeerd voordat zij toestemming geven. Ook voor een specifiek doel moet toestemming worden gegeven en het moet voor gebruikers altijd mogelijk zijn om hun toestemming in te trekken.

De LGPD bepaalt dat de toestemming vrij, geïnformeerd en ondubbelzinnig moet zijn.

Voor kinderen jonger dan 12 jaar ben je verplicht om specifieke en duidelijke toestemming van een ouder of voogd te krijgen. Kinderen van 13 tot 18* jaar kunnen zelf toestemming geven, op voorwaarde dat de verwerking van hun persoonsgegevens in hun belang gebeurt. Je moet redelijkerwijs al het mogelijke doen (door gebruik te maken van de beschikbare technologie) om na te gaan of de persoon die toestemming geeft daadwerkelijk de ouderlijke verantwoordelijkheid voor het kind draagt.

*Let op: In Brazilië is de erkende leeftijd voor volledige handelingsbekwaamheid 18 jaar.

Openbaar beschikbare gegevens

Op grond van de wetgeving van vóór de LGPD mochten bedrijven om welke reden dan ook persoonsgegevens verzamelen en verwerken die via het internet of een andere openbare bron openbaar waren gemaakt; onder de LGPD is dit echter niet langer toegestaan.

Volgens de richtlijnen van de LGPD mogen openbare persoonsgegevens slechts op twee manieren worden verzameld en gebruikt:

  • voor hetzelfde doel als waar de gegevens oorspronkelijk voor zijn verwerkt – in dat geval is toestemming van de gebruiker niet vereist; of
  • voor een ander doel, uitsluitend wanneer jij, de verwerkingsverantwoordelijke, op rechtmatige wijze een geldige rechtsgrond voor de verwerking kunt aanvoeren (meer hieronder).

Opmerking: Als gevolg van het bovenstaande zal “scraping” of het op andere wijze verzamelen van openbaar beschikbare gegevens voor marketing enz. onder de LGPD waarschijnlijk worden beperkt.

Gevoelige gegevens

Als het gaat om de verwerking van gevoelige gegevens kan toestemming alleen worden vermeden als de verwerking absoluut noodzakelijk is voor:

  • de naleving van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • gedeelde verwerking die nodig is voor de overheidsadministratie om wettelijk of regelgevend overheidsbeleid uit te voeren;
  • de uitvoering van studies door onderzoeksinstelllingen – waarbij de gevoelige persoonsgegevens, waar mogelijk, worden geanonimiseerd;
  • de bescherming van het leven of de fysieke veiligheid van de gebruiker of een derde;
  • de bescherming van de gezondheid – uitsluitend in procedures die door beroepsbeoefenaren, gezondheidsdiensten of een gezondheidsautoriteit worden uitgevoerd;
  • toezicht op de gezondheid – in een procedure die door beroepsbeoefenaren of gezondheidsinstellingen wordt uitgevoerd;
  • de normale uitoefening van rechten – met inbegrip van contractuele, gerechtelijke en bestuurlijke rechten en rechten die via arbitrageprocedures zijn verleend; of
  • fraudepreventie en de beveiliging van de gebruiker (bv. voor identificatie en verificatie van de registratie in elektronische systemen) – zolang de rechten van de gebruikers worden beschermd en tenzij de rechten en vrijheid van de gebruiker prevaleren.

Gegevens van kinderen

De uitzonderingen die overeenkomstig de LGPD van toepassing zijn op het toestemmingsvereiste voor de verwerking van gegevens van kinderen gelden alleen als de verwerking nodig is om contact op te nemen met de ouders of wettelijke voogden of om het kind te beschermen. De gegevens mogen slechts eenmaal worden gebruikt en mogen niet worden opgeslagen of met derden worden gedeeld zonder de juiste toestemming.

Rechten van gebruikers op grond van de LGPD

Volgens de LGPD hebben gebruikers (“betrokkenen”) de volgende rechten:

  • Bevestiging. Gebruikers hebben het recht op bevestiging van het bestaan van de gegevensverwerking.
  • Inzage. Gebruikers hebben het recht op inzage van hun gegevens die door de verwerkingsverantwoordelijke worden verwerkt.
  • Overdraagbaarheid van gegevens. Gebruikers hebben het recht op overdraagbaarheid van hun gegevens naar een andere dienstverlener of productaanbieder, op uitdrukkelijk verzoek, in overeenstemming met de regelgeving van de nationale autoriteit, met uitzondering van commerciële en industriële geheimen.
  • Rectificatie. Gebruikers hebben het recht hun persoonsgegevens te laten rectificeren als deze onnauwkeurig of onvolledig zijn.
  • Anonimisering. Gebruikers hebben het recht op anonimisering, blokkering of verwijdering van onnodige of overtollige persoonsgegevens, of van gegevens die niet in overeenstemming met de LGPD worden verwerkt.
  • Verwijdering. Gebruikers hebben het recht hun persoonsgegevens te laten verwijderen als de verwerking van die gegevens op toestemming was gebaseerd.
  • Informatie. Gebruikers hebben het recht geïnformeerd te worden over subverwerkers en andere derden die toegang hebben tot hun persoonsgegevens of deze verwerken. Gebruikers hebben ook het recht geïnformeerd te worden over de keuzes die ze hebben bij toestemming en over de gevolgen als zij toestemming weigeren.
  • Intrekking. Gebruikers hebben het recht om hun toestemming in te trekken.
  • Een klacht indienen. Gebruikers hebben het recht een klacht in te dienen bij de Gegevensbeschermingsautoriteit.
  • Bezwaar maken. Gebruikers hebben het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens wanneer de wettelijke bepalingen niet worden nageleefd.
  • Verzoek om herziening. Gebruikers hebben het recht om herziening te verzoeken van beslissingen die uitsluitend zijn genomen op basis van geautomatiseerde verwerking van persoonsgegevens en die hun belangen raken. Dit omvat beslissingen die zijn gebruikt om hun persoonlijke of professionele profiel, hun consumenten- en kredietprofiel of aspecten van hun persoonlijkheid te definiëren.

Verplichtingen van de verwerkingsverantwoordelijke en de gegevensverwerker overeenkomstig de LGPD

Grensoverschrijdende gegevensverwerking

Als je door de LGPD beschermde gegevens buiten Brazilië wilt doorgeven, zijn er enkele richtlijnen die je in gedachten moet houden. De LGPD staat de grensoverschrijdende doorgifte van persoonsgegevens toe, indien er een adequaat beschermingsniveau wordt geboden.

In de praktijk betekent dit dat de doorgifte wordt toegestaan als het ontvangende land wordt geacht over wetgeving te beschikking die een adequaat beschermingsniveau biedt. De beoordeling van het adequaatheidsniveau van het ontvangende land of de internationale organisatie wordt uitgevoerd door de Gegevensbeschermingsautoriteit.

Als het adequaatheidsniveau onvoldoende is, kunnen de gegevens toch naar het buitenland worden doorgegeven, wanneer aan een van de volgende voorwaarden is voldaan:

  • de verwerkingsverantwoordelijke ontvangt voorafgaand de geïnformeerde en uitdrukkelijke toestemming van de gebruiker, die moet worden gescheiden van de andere verwerkingsdoeleinden en -aanvragen;
  • de verwerkingsverantwoordelijke zorgt voor naleving van de LGPD via een specifiek gedeelte in de overeenkomst, standaardcontractbepalingen of wereldwijd geldende bedrijfsvoorschriften;
  • de doorgifte van gegevens voldoet aan de middels geldige certificaten en gedragscodes vastgestelde normen die periodiek worden goedgekeurd door de Gegevensbeschermingsautoriteit;
  • de Gegevensbeschermingsautoriteit geeft rechtstreeks toestemming voor de doorgifte;
  • de doorgifte is nodig voor de internationale juridische samenwerking tussen inlichtingen-, onderzoeks- en vervolgingsinstanties van de overheid (overeenkomstig het internationaal recht);
  • de doorgifte is nodig voor de bescherming van het leven of de fysieke veiligheid van de gebruiker of een derde;
  • de doorgifte is nodig voor de handhaving van overheidsbeleid;
  • de doorgifte vloeit voort uit een in een internationale samenwerkingsovereenkomst aangegane verbintenis;
  • de doorgifte is essentieel om aan een wettelijke verplichting van de verwerkingsverantwoordelijke te voldoen of is noodzakelijk voor de uitoefening van rechten in gerechtelijke of arbitrageprocedures; of
  • de doorgifte is nodig om een overeenkomst met de gebruiker na te komen.

Gegevensverwerkingsregisters

De LGPD verplicht zowel verwerkingsverantwoordelijken als gegevensverwerkers hun verwerkingsactiviteiten van persoonsgegevens te registreren – met name wanneer de verwerking is gebaseerd op gerechtvaardigde belangen. Alle verwerkingsverantwoordelijken en gegevensverwerkers moeten – ongeacht de omvang en de frequentie van de verwerking of het soort gegevens dat wordt verwerkt – aan deze registratieplicht voldoen. De Gegevensbeschermingsautoriteit kan echter vrijstellingen verlenen.

Alle verwerkingsverantwoordelijken en gegevensverwerkers moeten aan deze registratieplicht voldoen.

Gegevensbeschermingseffectbeoordeling

Een gegevensbeschermingseffectbeoordeling is in essentie een proces dat wordt gebruikt om de verwerkingsverantwoordelijke te helpen zich aan de regels inzake gegevensbescherming te houden – en ervoor te zorgen dat de belangrijkste beginselen daadwerkelijk worden nageleefd.

Overeenkomstig de LGPD bevat de documentatie met betrekking tot gegevensbeschermingseffectbeoordelingen doorgaans een beschrijving van de verwerkingsactiviteiten van persoonsgegevens die risico’s voor de burgerrechten en de burgerlijke vrijheden kunnen opleveren, evenals maatregelen, waarborgen en mechanismen om dat risico te beperken.

De gegevensbeschermingseffectbeoordeling moet in ieder geval het volgende bevatten:

  • een beschrijving van de categorieën van verwerkte gegevens;
  • de methoden die zijn gebruikt om de gegevens te verzamelen;
  • de beveiligingsmaatregelen die zijn genomen; en
  • een beschrijving van de maatregelen die zijn genomen om de risico’s, die aan de verwerking van persoonsgegevens zijn verbonden, te beperken.

De wet vermeldt niet uitdrukkelijk wanneer een gegevensbeschermingseffectbeoordeling is vereist, maar de Gegevensbeschermingsautoriteit kan te allen tijde verzoeken dat een dergelijke beoordeling wordt uitgevoerd en door de verwerkingsverantwoordelijke wordt verstrekt.

Aanstelling van een functionaris voor gegevensbescherming

De LGPD schrijft voor dat jij, de verwerkingsverantwoordelijke, een functionaris voor gegevensbescherming moet aanstellen. Er zijn geen uitzonderingen op deze regel. Functionarissen voor gegevensbescherming zijn personen die verantwoordelijk zijn voor:

  • het in ontvangst nemen van klachten en mededelingen van gebruikers, het verschaffen van informatie en het treffen van passende maatregelen;
  • het adviseren van de werknemers en contractanten van de verwerkingsverantwoordelijke over de maatregelen die moeten worden genomen om de verwerkte persoonsgegevens te beschermen;
  • het ontvangen van mededelingen van de Gegevensbeschermingsautoriteit en het nemen van de nodige maatregelen; en
  • het verrichten van alle andere taken “zoals door de verwerkingsverantwoordelijke bepaald of in aanvullende voorschriften vastgelegd”.

Gegevensbeveiliging en datalekken

Overeenkomstig de LGPD moeten verwerkingsverantwoordelijken en gegevensverwerkers of elke andere agent die betrokken is bij de verwerking van persoonsgegevens beveiligings-, technische en administratieve maatregelen treffen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, vernietiging, hetzij per ongeluk, hetzij onrechtmatig, verlies, wijziging, mededeling of enige andere vorm van onrechtmatige verwerking.

Elk veiligheidsincident dat risico’s of schade voor de gebruikers kan veroorzaken, moet binnen een redelijke termijn aan de Gegevensbeschermingsautoriteit worden gemeld.

De kennisgeving moet ten minste het volgende bevatten:

  • een beschrijving van de aard van de betrokken persoonsgegevens;
  • informatie over de betrokken gebruikers;
  • informatie over de technische en beveiligingsmaatregelen die worden genomen om de gegevens te beschermen – met inachtneming van de commerciële en industriële geheimhouding;
  • de risico’s in verband met het incident;
  • de redenen voor een eventuele vertraging bij het melden van het incident aan de Gegevensbeschermingsautoriteit (in gevallen waarin de communicatie niet onmiddellijk plaatsvond); en
  • de maatregelen die zijn of zullen worden genomen om de gevolgen van de schade te beperken of ongedaan te maken.

Na kennisgeving van het datalek kan de Gegevensbeschermingsautoriteit de verwerkingsverantwoordelijke opdracht geven de media te waarschuwen of andere stappen te ondernemen om de schadelijke gevolgen van het incident te beperken.

Transparantie

Net als bij de AVG is transparantie ook een kernbeginsel van de LGPD. Volgens de LGPD hebben gebruikers het recht gemakkelijk toegang te krijgen tot informatie over de verwerking van hun persoonsgegevens – en deze moet op een duidelijke, adequate en leesbare manier beschikbaar worden gesteld.

Deze informatie moet het volgende bevatten:

  • het specifieke doel van de verwerking;
  • het type verwerking en de duur van de verwerking;
  • de identificatiegegevens van de verwerkingsverantwoordelijke;
  • de contactinformatie van de verwerkingsverantwoordelijke;
  • informatie over aan wie de gegevens worden meegedeeld, en waarom;
  • de verantwoordelijkheden van alle verwerkers of agenten die de verwerking uitvoeren;
  • de rechten van de gebruiker (betrokkene), met uitdrukkelijke vermelding van de gebruikersrechten zoals voorzien in artikel 18 van de LGPD (hierboven vermeld), hoe deze rechten kunnen worden uitgeoefend en of persoonsgegevens zullen worden verwerkt om gevolg te geven aan een verzoek tot uitoefening van die rechten.

Verantwoordingsplicht: gegevensbescherming door ontwerp en door standaardinstellingen

De LGPD bepaalt dat zowel de verwerkingsverantwoordelijken als de gegevensverwerkers interne processen en beleidsmaatregelen kunnen invoeren om naleving van de wet te waarborgen. Dit omvat een programma voor privacybeheer en maatregelen die de doeltreffendheid ervan aantonen.

Het beheerprogramma dient minimaal:

  • aan te tonen dat de verwerkingsverantwoordelijke erop toeziet dat de voorschriften en goede praktijken worden nageleefd;
  • van toepassing te zijn op de gehele reeks van persoonsgegevens onder beheer van een specifieke gegevensverwerker – ongeacht de middelen die zijn gebruikt om de gegevens te verzamelen;
  • te zijn afgestemd op de specifieke structuur, omvang en hoeveelheid van de activiteiten, en op de gevoeligheid van de gegevens die worden verwerkt;
  • passende beleids- en voorzorgsmaatregelen vast te stellen op basis van een proces van stelselmatige evaluatie van de gevolgen en risico’s voor de privacy.
  • tot doel te hebben om door middel van transparantie een vertrouwensrelatie met de gebruiker tot stand te brengen;
  • ervoor te zorgen dat mechanismen voor gebruikersdeelname in de algemene beheersstructuur van het programma worden geïntegreerd, en interne en externe toezichtmechanismen in te stellen en toe te passen;
  • te beschikken over plannen en oplossingen om op incidenten te reageren; en
  • voortdurend te worden bijgewerkt op basis van informatie die is verkregen uit continue monitoring en periodieke evaluaties.

De verwerkingsverantwoordelijke moet, indien nodig, de doeltreffendheid van hun programma voor privacybeheer kunnen aantonen – in het bijzonder wanneer de nationale autoriteit daarom verzoekt.

Gevolgen van niet-naleving

Als je de LGPD niet naleeft, kan dat leiden tot een boete die kan oplopen tot 2% van de jaaromzet van je bedrijf, met een maximum van 50 miljoen BRL (momenteel zo’n 8 miljoen EUR) – per inbreuk. Maar misschien net zo verontrustend zijn de mogelijke andere corrigerende maatregelen die genomen kunnen worden tegen overtreders.

Wanneer de LGPD niet wordt nageleefd, kan dit leiden tot boetes van 2% van de jaaromzet van je bedrijf, die kunnen oplopen tot 50 miljoen BRL (8 miljoen EUR).

De LGPD geeft de Braziliaanse Gegevensbeschermingsautoriteit corrigerende bevoegdheden, waaronder het uitdelen van waarschuwingen en boetes, het openbaar maken van de inbreuk en het blokkeren of verwijderen van de verwerkingsactiviteiten of persoonsgegevens waarop de inbreuk betrekking heeft. Dit betekent dat wanneer de inbreuk plaatsvond met betrekking tot het verzamelen van e-mailadressen, de inbreukmakende verwerkingsverantwoordelijke het risico loopt de gehele bijbehorende e-maillijst te verliezen. De Braziliaanse Gegevensbeschermingsautoriteit kan ook eisen dat de database waarmee het incident verband houdt gedeeltelijk voor maximaal 6 maanden wordt geschorst, waardoor alle andere activiteiten die van deze database gebruik zouden kunnen maken mogelijk worden gestopt.

Bovendien biedt de LGPD, net als de AVG, gebruikers de mogelijkheid om een civielrechtelijke schadevergoeding (voor geldelijke of morele schade) te eisen wegens schending van de privacywetgeving.

Naleving van de LGPD

Checklist voor naleving van de LGPD

Bepaal je rechtsgronden voor de verwerking van persoonsgegevens en leg deze vast. Verwerkingsverantwoordelijken moeten voor elke verwerkingsactiviteit een rechtsgrond definiëren en deze rechtsgrond vastleggen in hun verwerkingsregister.

Houd een register van de verwerkingsactiviteiten bij (vereist krachtens artikel 37). Hoewel de LGPD geen specifieke eisen bevat voor de vorm of inhoud van deze registers, zijn ze waarschijnlijk vergelijkbaar met het verwerkingsregister dat is vereist op grond van artikel 30 van de AVG. iubenda maakt het creëren en onderhouden van gegevensverwerkingsregisters gemakkelijk. Meer informatie vind je hier.

Neem de vereiste kennisgevingen op in je privacybeleid. Je bent verplicht (artikel 9) om te voldoen aan de LGPD-transparantievereisten. Lees hier over de LGPD-instelling voor informatievoorziening met één klik in onze Privacybeleid-generator.

Verzamel en beheer geldige bewijzen van toestemming (vereist in artikel 8). De LGPD legt, net als de AVG, de bewijslast van een geldige toestemming op jouw schouders, de verwerkingsverantwoordelijke. iubenda maakt het creëren en onderhouden van een toestemmingenregister ongelofelijk eenvoudig. Meer informatie vind je hier.

Stel een functionaris voor gegevensbescherming aan – vereist in artikel 41. De LGPD verplicht alle verwerkingsverantwoordelijken om een functionaris voor gegevensbescherming aan te stellen, die vervolgens wordt belast met de hier vermelde activiteiten. Momenteel vereist de wet niet dat de functionaris voor gegevensbescherming fysiek in Brazilië gevestigd moet zijn en laat verwerkingsverantwoordelijken de mogelijkheid om individuele externe adviseurs als hun functionaris voor gegevensbescherming aan te stellen.

Ontwikkel intern beleid en procedures met betrekking tot het honoreren van de rechten van gebruikers en het reageren op daarmee samenhangende verzoeken van gebruikers. Verwerkingsverantwoordelijken dienen in redelijkheid te reageren op verzoeken van betrokkenen, die op grond van de LGPD hun rechten willen uitoefenen, met inbegrip van de rechten van inzage, wijziging, anonimisering, verwijdering en overdraagbaarheid.

Implementeer een beveiligingsprotocol. Zowel verwerkingsverantwoordelijken als gegevensverwerkers moeten beveiligingsmaatregelen treffen om de bescherming van persoonsgegevens te waarborgen. De Gegevensbeschermingsautoriteit kan in de toekomst richtlijnen voor technische minimumnormen verstrekken. Andere Braziliaanse rechtskaders bieden aanvullende richtlijnen met betrekking tot bestaande normen, zoals het Braziliaanse rechtskader voor burgerrechten met betrekking tot internet, ook bekend als Marco Civil da Internet (waarin beginselen, garanties, rechten en plichten voor de gebruikers van internet in Brazilië zijn vastgelegd).

Stel een respons- en herstelplan voor incidenten op (overeenkomstig artikel 50). Verwerkingsverantwoordelijken en gegevensverwerkers moeten een respons- en herstelplan voor incidenten opstellen, om ervoor te zorgen dat de verwerkingsverantwoordelijke kan voldoen aan de voorschriften voor het verplicht melden van incidenten (zie hieronder).

Als een datalek een aanzienlijk risico of aanzienlijke schade voor gebruikers oplevert, moet je de Gegevensbeschermingsautoriteit en de gebruikers daarvan in kennis stellen (overeenkomstig artikel 50).

Voer gegevensbeschermingseffectbeoordelingen uit. Gegevensbeschermingseffectbeoordelingen kunnen verplicht zijn in situaties die als risicovol worden aangemerkt of, op verzoek van de autoriteit, wanneer de verwerking van gegevens op een gerechtvaardigd belang is gebaseerd.

Voer gegevensbescherming door standaardinstellingen en door ontwerp in. De LGPD schrijft voor dat je standaardmaatregelen treft, die de bescherming van persoonsgegevens waarborgen. Dit houdt in de praktijk in dat de standaardinstellingen het hoogste beschermingsniveau moeten garanderen.

Voldoe aan de vereisten voor grensoverschrijdende doorgifte van gegevens Zorg ervoor dat je op de hoogte bent van alle beperkingen die gelden voor grensoverschrijdende doorgifte van gegevens en voldoe aan de relevante voorschriften. Meer informatie.

Hoe iubenda je kan helpen om te voldoen aan de LGPD-vereisten

Een van de essentiële stappen ten aanzien van naleving is ervoor te zorgen dat je documenten in overeenstemming zijn met de wettelijke vereisten. Bij iubenda hanteren wij een allesomvattende aanpak met betrekking tot de naleving van de gegevensbeschermingswetgeving. Wij bouwen oplossingen die uitgaan van de strengste voorschriften en bieden je de mogelijkheid om alles aan jouw wensen aan te passen. We helpen je te voldoen aan je wettelijke verplichtingen, je risico op juridische procedures te beperken en je klanten te beschermen – en zo vertrouwen en geloofwaardigheid op te bouwen.

Dit heb je nodig om aan de slag te gaan voor volledige compliance:

Privacybeleid

Elk privacybeleid dat met iubenda wordt gegenereerd stelt je in staat om aan de LGPD te voldoen. Het bevat de mogelijkheid om de wettelijke normen van de LGPD gemakkelijk toe te passen op Braziliaanse gebruikers.

Met onze Privacybeleid- en Cookiebeleid-generator kun je privacybeleid maken dat er goed uitziet en juridisch klopt, en naadloos met je website of app is te integreren.. Met één klik op de knop kun je eenvoudig een van de vele vooraf opgestelde bepalingen toevoegen of je eigen aangepaste bepalingen schrijven met behulp van het ingebouwde formulier.

Met onze oplossing kun je zonder zorgen aan de LGPD-voorschriften voldoen, via activering met één klik voor:

  • het weergeven van de juiste vermeldingen, informatie en instructies , zoals dat door de LGPD wordt voorgeschreven; en
  • het automatisch bijwerken van je ingesloten privacybeleid met de LGPD-tekst zodra deze in de generator is geactiveerd – je hoeft geen code aan te passen op je website!

Je kunt in het privacybeleid een cookiebeleid opnemen (dat is noodzakelijk als je website of app gebruik maakt van cookies en EU-gebruikers heeft). Het privacybeleid kan aan je wensen worden aangepast en wordt op afstand beheerd door een internationaal juridisch team.

 

Meer informatie over privacybeleid.

Register van de gegevensverwerkingsactiviteiten

Het voldoen aan de LGPD-voorschriften kan in de praktijk technische uitdagingen opleveren. Dit geldt in het bijzonder voor het register van de gegevensverwerkingsactiviteiten.

Onze oplossing helpt je om op een gemakkelijke manier al je gegevensverwerkingsactiviteiten te beheren, zodat je eenvoudig aan de LGPD-voorschriften en je wettelijke verplichtingen kunt voldoen. Je kunt hiermee een register van je verwerkingsactiviteiten opstellen: voeg verwerkingsactiviteiten toe uit meer dan 1700 kant-en-klare opties, deel ze op per gebied (deelsectoren waarin de activiteiten inzake gegevensverwerking hetzelfde zijn), wijs gegevensverwerkers en andere deelnemers toe, en leg de rechtsgronden en andere gegevens vast die door de LGPD verplicht worden gesteld.

Klik hier of lees de gids voor een overzicht van alle functies van het Register van de gegevensverwerkingsactiviteiten.

Beheer van toestemmingen en bijhouden van gedetailleerde documentatie

Om te kunnen voldoen aan de privacywetgeving, zoals de LGPD en de AVG, moet je bewijsstukken bijhouden waarmee je kunt aantonen dat de toestemming op de juiste manier is verkregen.

Onze Consent Database vereenvoudigt dit proces door je te helpen bewijzen van toestemming op te slaan en toestemmingen en privacyvoorkeuren van elk van je gebruikers te beheren. Hiermee kun je elk aspect van de toestemming volgen (waaronder de juridische kennisgeving of privacyverklaring en het toestemmingsformulier dat de gebruiker te zien kreeg toen de toestemming werd verkregen) en de daaraan gerelateerde voorkeuren van de gebruiker.

Om deze te gebruiken, activeer je de Consent Database in je dashboard en krijg je de API-sleutel. Dan installeer je het programma via HTTP API of de JS-widget en je bent klaar; je kunt op elk moment toestemmingen opvragen en up-to-date houden.

Klik hier of lees de gids voor een overzicht van alle kenmerken van de Consent Database.

Privacy Controls and Cookie Solution
💡 Als je in Brazilië actief bent of gebruikers in Brazilië hebt, is het raadzaam een cookiebanner te tonen en je gebruikers toestemming te vragen, voordat je niet-technische cookies installeert.

Onze Privacy Controls and Cookie Solution is makkelijk te genereren! Maak een volledig aanpasbare cookiebanner, verzamel zonder omwegen toestemming, en pas voorafgaande blokkering met asynchrone heractivering toe.

Maak je website in een paar minuten LGPD-compliant.

Aan de slag

Houd er rekening mee dat wetgeving af en toe verandert. Het is dan belangrijk dat je beleid aan deze nieuwe voorschriften voldoet. Daarom sluiten we teksten in, in plaats van ze te kopiëren en te plakken. Alleen zo kun je er zeker van zijn dat je beleid bijgewerkt blijft en op afstand wordt bijgehouden door ons juridische team.

Zie ook