Heb je je verdiept in de zeven beginselen van de Algemene Verordening Gegevensbescherming (AVG), maar weet je niet goed hoe je die in jouw gokbedrijf moet toepassen? Goed nieuws: binnenkort is er een hulpmiddel beschikbaar. In een nieuwe gedragscode staan specifieke regels voor gegevensbescherming en privacybeheer bij online gokken, waarmee je jouw organisatie en spelers beter kunt beschermen.

In 2020 heeft het Europees Comité voor gegevensbescherming (EDPB), verantwoordelijk voor een consistente toepassing van de AVG, een ontwerp-gedragscode (de Code) voor gokbedrijven gepubliceerd. Deze code gaat verder dan de AVG en besteedt ook aandacht aan gegevensverwerking die specifiek is gericht op online gokken, zoals het gebruik van persoonsgegevens om probleemgokken tegen te gaan. De Code is nog niet goedgekeurd, maar dit is wel hét moment om in actie te komen. De ontwerp-code is misschien wel de duidelijkste handleiding voor naleving van de AVG die er bestaat. En nog belangrijker: de best practices van de EDPB helpen je om jouw bedrijf en spelers te beschermen.

Wat heb je nodig?

De Code schrijft voor dat online gokbedrijven een compliance-framework moeten opstellen om aan de volgende verplichtingen te voldoen:

• Je moet de persoonsgegevens die je verwerkt in kaart kunnen brengen en begrijpen.
• Je moet ervoor zorgen dat je gegevensverwerking voldoet aan de toepasselijke wet- en regelgeving.
• Je moet compliance-activiteiten kunnen aantonen en documenteren.

Een compliance-framework bevat de volgende onderdelen:

1. Datamapping: inventarisatie van gegevens
Door gegevens in kaart te brengen krijg je een volledig beeld van je activiteiten rond gegevensverwerking. Je datamap (verwerkingsregister) moet inzicht geven in welke persoonsgegevens je gebruikt, hoe je die gegevens hebt verkregen, waar ze worden opgeslagen, hoe de gegevensoverdracht binnen je organisatie verloopt en waarvoor de gegevens worden gebruikt. Je bepaalt zelf hoe je de verwerking van gegevens in kaart brengt en hoe je de informatie structureert. Er zijn wel enkele eisen waarmee je rekening moet houden, ongeacht het format dat je gebruikt (diagram, spreadsheet, sjabloon of nog een ander format).

1. Persoonsgegevens worden in de datamap op veldniveau vastgelegd. Zo moet het postadres van een speler bijvoorbeeld per regel worden vastgelegd en dus niet als één tekstblok. Je gebruikt voor elke regel een apart veld.

2. In de datamap staat precies waar persoonsgegevens zijn opgeslagen. Een voorbeeld: komt het e-mailadres van een speler in verschillende databanken, spreadsheets en documenten voor, dan moet je elke locatie vastleggen.

3. Persoonsgegevens die zijn gecodeerd of in versleutelde bestanden staan, moet ook vastgelegd worden.

4. De datamap biedt de mogelijkheid om snel (binnen 24 uur) inzicht te krijgen in waar/welke systemen persoonsgegevens zijn opgeslagen.

5. De datamap omvat de hele levenscyclus van persoonsgegevens, van het aanmaken of verzamelen van de gegevens tot gebruik ervan door het bedrijf en ook de uiteindelijke verwijdering van de gegevens. Meestal wordt hiervoor een stroomdiagram gebruikt. Hierin moet worden aangegeven waar persoonsgegevens gedurende de levenscyclus zijn aangevuld of verrijkt.

2. Analyse van rechtmatige verwerking
Heb je de datamap opgesteld, dan is het tijd om je verwerkingsactiviteiten te toetsen aan de zeven beginselen van de AVG. Om te bepalen of je voldoet aan het eerste beginsel van rechtmatigheid, behoorlijkheid en transparantie, schrijft de Code een analyse van rechtmatige verwerking voor. Op basis hiervan ben je verplicht om bij elke gegevensverwerkingsactiviteit in je datamap te kijken wat de rechtsgrondslag is. Is je bedrijf internationaal actief, dan moet je rekening houden met de wetgeving van elk land waarin je actief bent. De analyse vormt ook de basis voor het opstellen en aanpassen van je privacybeleid volgens de AVG.

3. Risicobeoordeling
Met een risicobeoordeling toets je je verwerkingsactiviteiten aan de beginselen van doelbinding, gegevensminimalisering, opslagbeperking en integriteit en vertrouwelijkheid. Doel ervan is om het recht op privacy van spelers te beschermen. Ook hier geldt dat de datamap de basis vormt voor je beoordeling. Voor elke verwerkingsactiviteit moet je bekijken of deze nodig en passend is. Ontdek je dat de persoonsgegevens die je verwerkt disproportioneel zijn of dat ze niet op een passende locatie worden opgeslagen, dan moet je de gegevens op een veilige manier verplaatsen of vernietigen. Het is ook belangrijk om na te gaan waarom de gegevens überhaupt werden verwerkt. Hanteert je bedrijf beleid of processen die leiden tot het onnodig of ongepast verzamelen van gegevens? Dan is het verplaatsen of vernietigen van de gegevens waarschijnlijk slechts een tijdelijke oplossing. Met een uitgebreide analyse krijg je inzicht in de onderliggende oorzaken. Zo kun je herhaling voorkomen.

4. Documentatie
Tot slot verplicht de Code je om documentatie op te stellen en bij te houden waaruit de naleving van het verantwoordingsbeginsel van de AVG blijkt. Verantwoording betekent dat je verantwoordelijkheid neemt voor wat je met de persoonsgegevens van je spelers doet. Met de inventarisatie van gegevens, analyse van rechtmatige verwerking en risicobeoordeling zorg je ervoor dat jouw bedrijf alle benodigde stappen neemt om ongeoorloofde toegang tot de gegevens van spelers te voorkomen. De autoriteiten willen de documentatie die hierbij is opgesteld kunnen inzien. Daarnaast willen ze zeker weten dat je naleving beschouwt als een permanente verantwoordelijkheid en niet als iets eenmaligs. Daarom moeten in je compliance-framework onder meer de volgende items zijn opgenomen:

• De datamap die je hebt opgesteld.
• Een administratie van verwerkingsactiviteiten conform artikel 30 van de AVG, die de toezichthoudende instantie verwacht.
• Een beleidsdocument waarin wordt beschreven hoe je bedrijf toezicht houdt op de eigen verwerkingsactiviteiten en deze controleert, en hoe de datamap en administratie van verwerkingsactiviteiten worden getoetst en bijgehouden.
• Een beleidsdocument waarin de betrokkenheid van de functionaris voor gegevensbescherming (DPO) wordt beschreven bij activiteiten die verband houden met de verwerking of overdracht van persoonsgegevens. Dan gaat het onder meer om uitleg over methodes of concepten die deze heeft geïmplementeerd, zoals ‘privacy by design’.

Verantwoordelijk zijn betekent ook dat je deze documenten regelmatig toetst en goedkeurt. De autoriteiten verwachten dat je processen hebt ingericht om continue naleving van de Code te waarborgen. Periodieke interne of externe audits zijn hierbij verplicht. Alle wijzigingen in de documentatie van je compliance-framework moeten via versiebeheer worden bijgehouden.

Permanent aandachtspunt

Er is een reden waarom de EBDP een gedragscode heeft opgesteld en niet heeft gekozen voor een nieuwe reeks vereisten. Gedrag impliceert dat je je blijft inzetten om aan de regels te voldoen. Dat betekent dat je gegevensbescherming en privacybeheer verankert in je strategische beslissingen en dagelijkse activiteiten. Gedrag is ook gebaseerd op waarden. Integriteit en het respect voor het recht op privacy van spelers zijn belangrijke waarden in online gokken. Deze zijn bepalend voor het succes van je organisatie. Als je het compliance-framework niet behandelt als een van de taken op je to-dolijst, maar inzet als een strategische tool weet je zeker dat je binnen de grenzen van de AVG handelt. Zo versterk je het vertrouwen van spelers in jouw bedrijf en maak je van compliance een concurrentievoordeel.