POPIA 101: De grondbeginselen van de nieuwe Zuid-Afrikaanse privacywet

De Zuid-Afrikaanse wet op de bescherming van de persoonlijke levenssfeer (POPIA) is een van de nieuwste toevoegingen aan de groeiende trend van wetgeving inzake gegevensprivacy, in navolging van de General Data Privacy Regulation (GDPR) van Europa en de California Consumer Privacy Act (CCPA). Hoewel er belangrijke verschillen zijn tussen de GDPR, de CCPA en de POPIA, zijn ze allemaal gebaseerd op dezelfde basisbeginselen: verantwoordingsplicht, transparantie, beveiliging, gegevensminimalisering en de rechten van de betrokkenen. POPIA geeft individuen veel meer controle over hun persoonsgegevens door bedrijven te dwingen te verantwoorden wat ze ermee doen, hoe lang ze het bewaren en hoe ze het beschermen.[1]

De POPIA werd door het parlement van kracht op 1 juli 2020 en organisaties kregen een respijtperiode van één jaar om vóór 1 juli 2021 aan de eisen te voldoen. Nu we meer dan halverwege die respijtperiode zijn, zouden de meeste Zuid-Afrikaanse organisaties goed op weg moeten zijn om volledig aan de eisen te voldoen.

POPIA 101

POPIA verleent burgers afdwingbare rechten met betrekking tot hun persoonsgegevens (bv. recht op toegang, recht op correctie, recht op het wissen van gegevens), stelt acht minimumeisen vast voor een rechtmatige verwerking en geeft een ruime definitie van persoonsgegevens voor een uitgebreide bescherming van de betrokkenen.

In tegenstelling tot GDPR is POPIA niet extraterritoriaal. Dat betekent dat POPIA alleen van toepassing is op organisaties die in Zuid-Afrika gevestigd zijn en/of daar gegevens verwerken. Binnen het land is POPIA echter ruimer wat betreft op wie het van toepassing is. GDPR beschermt alleen levende personen, terwijl POPIA ook bedrijven en organisaties als rechtspersonen beschermt.

Bij de verordeningen wordt ook de Regulator Informatie opgericht, een onafhankelijk orgaan dat zal fungeren als belangrijkste handhaver en toezichthouder van de wet. Wie de POPIA niet naleeft, kan worden gestraft met boetes tot 10 miljoen Rand en/of tot 10 jaar gevangenisstraf.[2]

Organisaties lopen ook het risico van collectieve rechtszaken in het kader van de POPIA. Hoewel collectieve rechtszaken relatief nieuw zijn in Zuid-Afrika, biedt de POPIA betrokkenen de mogelijkheid een civiele vordering tot schadevergoeding in te stellen tegen organisaties, ongeacht de intentie van de organisaties.[3] Deze collectieve rechtszaken kunnen door de informatieregelgever worden vergemakkelijkt zonder het normale juridische zware werk van een typische collectieve rechtszaak, waardoor ze waarschijnlijk waarschijnlijk waarschijnlijker zullen worden. Om nog maar te zwijgen van het risico van ernstige reputatieschade voor bedrijven die niet aan de voorschriften blijken te voldoen.

De belangrijkste POPIA-begrippen definiëren

Wie vertrouwd is met GDPR, herkent wellicht de termen voor de verwerking verantwoordelijke, gegevensverwerker en betrokkene. POPIA is opgebouwd rond dezelfde rollen, maar met een iets andere terminologie:[4]

• Verantwoordelijke: Een openbare of particuliere instantie die het doel van en de middelen voor de verwerking van persoonsgegevens van een betrokkene vaststelt.
• Exploitant: Een partij die namens de verantwoordelijke persoonsgegevens verwerkt. Mimecast is een voorbeeld van een exploitant.
• Betrokkene: Eenieder op wie de persoonsgegevens betrekking hebben.

POPIA verwijst naar de "persoonlijke informatie" van een datasubject, terwijl GDPR verwijst naar "persoonlijk identificeerbare informatie". De twee zijn vergelijkbare concepten, hoewel persoonlijke informatie ruimer alle persoonsgegevens betreffende een menselijk individu of een rechtspersoon omvat.

Dit omvat, maar is niet beperkt tot, informatie over ras, geslacht, opleiding, burgerlijke staat, strafrechtelijk verleden, arbeidsverleden, medische gegevens en politieke gezindheid. POPIA wijst een aparte categorie aan voor "bijzondere persoonsgegevens", zoals godsdienstige overtuiging, vakbondslidmaatschap of seksuele geaardheid, en heeft speciale voorschriften voor de verwerking van persoonsgegevens van een kind.[5]

Krachtens de POPIA krijgen de betrokkenen negen rechten met betrekking tot de verwerking van hun gegevens. Dit omvat het recht om te worden geïnformeerd wanneer en hoe gegevens worden verzameld, het recht op toegang tot die gegevens, en het recht om informatie te corrigeren of te wissen.[6]

Inspraak van de betrokkene is slechts een van de acht voorwaarden van POPIA[7] voor de rechtmatige verwerking van gegevens, die hieronder worden opgesomd:

1. Verantwoordingsplicht
2. Verwerkingsbeperking
3. Specificatie van het doel
4. Verdere verwerkingsbeperking
5. Kwaliteit van de informatie
6. Openheid
7. Veiligheidswaarborgen
8. Deelname van de betrokkenen

Van deze acht voorwaarden is het belangrijk de beveiliging te benadrukken als misschien wel de meest risicovolle voor organisaties, aangezien deze betrekking heeft op hun vermogen om zich te beschermen tegen inbreuken op gegevens. Volgens hoofdstuk 3, afdeling 19, van de POPIA moeten de verantwoordelijke partijen passende maatregelen nemen om "(a) verlies, beschadiging of ongeoorloofde vernietiging van persoonsgegevens te voorkomen; en (b) onrechtmatige toegang tot of verwerking van persoonsgegevens te voorkomen." [8]

Het is van cruciaal belang op te merken dat bepaling b) het traditionele concept van een datalek uitbreidt tot meer dan alleen gegevensexfiltratie. Elke ongeoorloofde toegang tot persoonsgegevens vormt een inbreuk, zelfs als de cybercrimineel of de werknemer niets met die gegevens doet.

Indien er "redelijke gronden zijn om aan te nemen dat onbevoegden toegang hebben verkregen tot de persoonlijke informatie van een betrokkene of deze hebben verkregen", moeten de verantwoordelijke partijen de informatieregulator en de betrokkenen "zo spoedig als redelijkerwijs mogelijk na de ontdekking van de compromittering" hiervan in kennis stellen. [9]

POPIA-conform worden

Krachtens de POPIA kunnen verantwoordelijke partijen nog steeds als conform worden beschouwd als ze het slachtoffer worden van een datalek - zolang ze maar kunnen bewijzen dat ze alle juiste POPIA-stappen hebben genomen om datalekken te voorkomen. Het is dan ook belangrijk dat uw organisatie de lat hoog legt op het vlak van compliance, aangezien een succesvolle compliance zowel gegevensverlies als juridische gevolgen zal helpen voorkomen.

Naleving houdt in dat de verantwoordelijke partijen moeten voldoen aan een aantal minimumeisen voor de rechtmatige verwerking van gegevens - zoals documentatie, beveiliging en vertrouwelijkheid - en ervoor moeten zorgen dat de eindgebruikers hun recht op toegang tot en bijwerking en verwijdering van eerder verzamelde gegevens kunnen uitoefenen.

"De grootste hindernis is dat mensen hopen op snelkoppelingen, en er zijn echt geen snelkoppelingen", zegt Brian Pinnock, Senior Director of Sales Engineering MEA bij Mimecast. "Je moet een proces van meerdere stappen doorlopen, en de eerste stap is uitzoeken welke informatie je hebt en hoe je die verwerkt. Dat is een enorme uitdaging op zich."

Wat is dan een goed startpunt voor organisaties?

"Pinnock raadt aan om zeker hulp te zoeken. "Je kunt sommige processen stroomlijnen door gebruik te maken van gerenommeerde leveranciers zoals Mimecast of gelijkwaardige leveranciers om aspecten van je gegevens te beheren. Bouw je technologiestapel niet vanaf nul op - gebruik bedrijven die al aan bepaalde normen voldoen." Naast het inschakelen van cyberbeveiligingsleveranciers kunnen organisaties juridische specialisten met compliance-programma's inschakelen om het proces te helpen begeleiden.

De kern van de zaak

POPIA versterkt de rechten van de betrokkenen door organisaties verantwoordelijk te stellen voor de verantwoorde bewaring van hun persoonlijke informatie. De verordening creëert ook nieuwe risico's voor organisaties, die ze scherp in de gaten moeten houden om te voorkomen dat gegevens in gevaar komen of dat ze worden gestraft - het is dus van het grootste belang dat de verantwoordelijke partijen correct naleven. De komende maanden zullen we op deze blog dieper ingaan op POPIA om veelvoorkomende misvattingen te ontkrachten, de nuances van de wet te verkennen, organisaties tips te geven en nog veel meer.

[1] "POPIA Compliance: Zuid-Afrika's versie van GDPR," NetApp

[2] "Hoofdstuk 11, afdeling 107: Sancties," POPIA

[3] "Bedrijven die klantgegevens niet beschermen, kunnen civiele schadevergoeding of zelfs collectieve rechtszaken tegemoet zien," Independent Online

[4] "Hoofdstuk 1, afdeling 1: Definities", POPIA

[5] "Wat wordt onder persoonsgegevens verstaan?" Michalsons

[6] "Hoofdstuk 2, afdeling 5: Rechten van de betrokkenen", POPIA

[7] "South Africa's Protection of Personal Information Act, 2013, Goes into Effect July 1," National Law Review

[8] "Hoofdstuk 3, afdeling 17: Beveiligingsmaatregelen met betrekking tot de integriteit en vertrouwelijkheid van persoonsgegevens", POPIA

[9] "Hoofdstuk 3, afdeling 22: Kennisgevingen van inbreuken op de beveiliging", POPIA