Drie veel voorkomende (en riskante) POPIA-mythen ontkracht

De Zuid-Afrikaanse wet op de bescherming van persoonsgegevens (POPIA) gaat in op 1 juli 2021, wat betekent dat de verantwoordelijke partijen tegen die datum volledig in overeenstemming met de regelgeving moeten zijn om een sanctie te vermijden. De POPIA heeft tot doel de verwerking en stroom van persoonsgegevens binnen Zuid-Afrikaanse organisaties te controleren, te beschermen en te reguleren, waarbij een rechtmatig gebruik van die gegevens wordt gewaarborgd.

In een eerdere blog van hebben we een spoedcursus POPIA 101 gegeven, waarin we de belangrijkste termen en de belangrijkste aspecten van de privacywet hebben uitgelegd. Hieronder bespreken we enkele van de meest voorkomende - en gevaarlijke - POPIA-mythes die uw organisatie in gevaar kunnen brengen.

Mythe #1: POPIA is gewoon GDPR 'Lite'

POPIA wordt om een paar redenen vaak gezien als GDPR-'lite'. De belangrijkste reden is dat de sancties voor POPIA op het eerste gezicht minder streng lijken dan die van GDPR. In Zuid-Afrika kunnen degenen die POPIA niet naleven, boetes tot 10 miljoen euro en/of tot 10 jaar gevangenisstraf krijgen.[1] Ter vergelijking: onder GDPR kunnen organisaties boetes tot 4% van de jaaromzet krijgen, en als je een miljardenbedrijf bent, kan die boete veel hoger zijn dan 10 miljoen euro. [2] In feite ging de grootste GDPR-boete van 2020 naar Google, die een boete van 50 miljoen euro moest betalen - dat is ruwweg R856,6 miljoen.[3]

POPIA is ook niet extraterritoriaal zoals GDPR of CCPA, wat betekent dat de wet alleen van toepassing is op organisaties die in Zuid-Afrika gevestigd zijn en/of daar gegevens verwerken, en niet op externe grondgebieden. Binnen deze grenzen is de wet echter ruimer in termen van op wie zij van toepassing is. Terwijl GDPR alleen menselijke personen beschermt, omvat POPIA ook bescherming voor rechtspersonen zoals bedrijven of trusts.

De kern van alle privacyregels wordt gevormd door de gegevens zelf, en zelfs op dat punt verschillen POPIA en GDPR van elkaar. GDPR verwijst naar "persoonlijk identificeerbare informatie", terwijl POPIA verwijst naar "persoonlijke informatie" - het verschil is dat POPIA's "persoonlijke informatie" veel ruimer is in zijn parameters. De wet is ruimer en omvat alle persoonsgegevens van een individu of een rechtspersoon, met inbegrip van maar niet beperkt tot zaken als geloofsovertuiging, vakbondslidmaatschap, seksuele geaardheid en politieke gezindheid.

Dus hoewel POPIA soms wordt gezien als een 'lichtere' versie van GDPR, moeten organisaties ze met dezelfde strengheid behandelen. "Als je het bekijkt vanuit het risicoperspectief, zijn er een aantal risico's. En de boetes en de gevangenisstraf zijn waarschijnlijk de minste van die risico's", zegt Brian Pinnock, Senior Director of Sales Engineering MEA bij Mimecast. Hij merkt op dat bedrijven op hun hoede moeten zijn voor reputatieschade en het verhoogde risico op collectieve rechtszaken dat POPIA mogelijk maakt.

Rekening houdend met deze factoren bedroegen de gemiddelde kosten van een datalek in Zuid-Afrika in 2020 R40 miljoen.[4] Daarmee moet een andere veel voorkomende mythe de wereld uit zijn: dat het simpelweg betalen van de boete goedkoper is dan de rompslomp van naleving.

In de volksmond noemen we POPIA "de GDPR van Zuid-Afrika", maar het is belangrijk dat we deze belangrijke verschillen begrijpen, zodat we ze niet door elkaar halen wanneer POPIA volledig van kracht wordt.

Mythe #2: gegevens moeten de organisatie verlaten om van een datalek te kunnen spreken

Van de acht voorwaarden van de POPIA voor rechtmatige verwerking wordt het waarborgen van de beveiliging als een van de belangrijkste beschouwd, omdat het gaat om het vermogen van een bedrijf om inbreuken op gegevens te voorkomen. Krachtens hoofdstuk 3, afdeling 19, van de POPIA moeten de verantwoordelijke partijen passende maatregelen nemen om "(a) verlies, beschadiging of ongeoorloofde vernietiging van persoonsgegevens te voorkomen; en (b) onrechtmatige toegang tot of verwerking van persoonsgegevens te voorkomen." [5]

Wanneer we aan een datalek denken, denken we traditioneel aan gegevensexfiltratie. Maar informatie hoeft uw organisatie niet te verlaten om als een datalek te worden beschouwd. Het is belangrijk op te merken dat bepaling b) de definitie van een datalek breder trekt dan alleen gegevens-exfiltratie. Elke ongeoorloofde toegang tot persoonsgegevens ( ) vormt een inbreuk, zelfs als de cybercrimineel of de werknemer niets met die gegevens doet.

De wereldwijde stijging van in ransomware voegt verhoogde risico's toe voor verantwoordelijke partijen, aangezien informatie die in de loop van een ransomware-aanval is versleuteld een datalek vormt. "Met dingen als ransomware is het technisch gezien een datalek als je gewoon de controle over iemands gegevens bent kwijtgeraakt. Er hoeft geen sprake te zijn van exfiltratie," zegt Pinnock.

Mythe 3: Verantwoordelijke partijen kunnen alle risico's en verantwoordelijkheid uitbesteden

Dit is misschien wel een van de gevaarlijkste mythes voor organisaties als het gaat om POPIA - dat ze al het werk en de verantwoordelijkheid en het risico dat de naleving met zich meebrengt, kunnen uitbesteden aan derden of verzekeringsagentschappen.

De mythe ontzenuwing is hier tweeledig. Ten eerste kan geen enkele oplossing van één leverancier u alleen millenniumbestendig maken. Hoewel sommige leveranciers, zoals Mimecast, organisaties op verschillende manieren in staat stellen om POPIA-compliant te worden ( ), zijn er nog heel wat andere bewegende onderdelen waaraan bedrijven aandacht moeten besteden om volledig compliant te zijn. Verantwoordelijke partijen kunnen verwachten dat hun juridische, compliance-IT- en beveiligingsteams het zware werk zullen moeten opknappen. "Het is ieders probleem," zegt Pinnock.

Ten tweede verzekert een cyberverzekering niet tegen opzettelijke nalatigheid of illegale handelingen. "Pinnock: "De primaire partij kan een deel van het risico uitbesteden aan de exploitant, maar niet het hele risico. "In Zuid-Afrika hangt je huisverzekering bijvoorbeeld af van hoe goed je je huis al hebt beschermd. Heb je een alarmsysteem? Andere obstakels en controles? Als je niet aan een aantal basisvereisten hebt voldaan en je huis wordt beroofd, zal de verzekering niet uitkeren. Cybersecurityverzekeringen werken op dezelfde manier." Verantwoordelijke partijen kunnen er dus niet op vertrouwen dat cyberverzekeringen hen dekken voor opzettelijke niet-naleving.

Een belangrijke opmerking: krachtens de POPIA kunnen verantwoordelijke partijen nog steeds als conform worden beschouwd - en een boete vermijden - als ze het slachtoffer worden van een datalek, zolang ze maar kunnen bewijzen dat ze alle redelijke stappen hebben ondernomen om dat te voorkomen. Het belangrijkste wat u dus kunt doen om juridische, financiële en reputatieschade te voorkomen, is u volledig en correct inzetten voor POPIA-naleving.

[1] "Hoofdstuk 11, afdeling 107: Sancties," POPIA

[2] "Wat zijn de GDPR-boetes?" GDPR

[3] "14 Grootste GDPR-boetes van 2020 en 2021 (tot nu toe)," Tessian

[4] "Cost of a Data Breach Report 2020," IBM/Ponemon

[5] "Hoofdstuk 3, afdeling 17: Beveiligingsmaatregelen met betrekking tot de integriteit en vertrouwelijkheid van persoonsgegevens," POPIA