ARTIKEL
Bij gokken draait alles om het accepteren van risico’s. Maar effectief management van een succesvol gokbedrijf vereist precies het tegenovergestelde. Om de privacy van je spelers te beschermen en compliance met de AVG te waarborgen, moet je organisatie een aantal maatregelen nemen om het risico te minimaliseren dat gevoelige gegevens in verkeerde handen vallen. Het is niet altijd duidelijk hoe de AVG verwacht dat je dit doet. Er bestaat geen universele checklist, maar er zijn een paar belangrijke aspecten van de AVG die voor bijna elk gokbedrijf gelden. We zetten ze voor je op een rijtje.
Gokken is een sterk gereguleerde sector en de autoriteiten volgen de activiteiten van gokbedrijven op de voet. Elke overtreding van de AVG zal waarschijnlijk worden opgemerkt en tot boetes leiden. Bovendien is het in je eigen belang om de privacy van je spelers te beschermen: hun loyaliteit hangt mede af van jouw discretie en integriteit. Net als elk ander kader laat ook het wettelijke AVG-kader voor gegevensbescherming en privacy de nodige ruimte voor interpretatie. Het meest voorkomende antwoord op veelgestelde vragen over de AVG is dan ook: “Dat hangt ervan af”. De landen waarin je actief bent, de gegevens die je verzamelt en de servers die je gebruikt – al deze aspecten zijn van belang voor je AVG-checklist. Om je op weg te helpen, beschrijven we de belangrijkste regels voor gegevensoverdracht en risicoanalyse, plus de best practices voor het omgaan met datalekken. Door deze regels en richtlijnen te volgen, kun je jouw organisatie en je klanten zo goed mogelijk beschermen.
Volg de AVG-regels voor gegevensoverdracht
Bijna alle online gokbedrijven voeren internationale gegevensoverdrachten uit. Klantgegevens worden via datacenters over de hele wereld verstuurd en opgeslagen in de cloud. De AVG beschouwt elke situatie waarin gegevens de EU verlaten als een ‘gegevensoverdracht’. Zulke gegevensoverdrachten zijn alleen toegestaan als je gebruikmaakt van een zogeheten ‘overdrachtsmechanisme’. Om erachter te komen of een gegevensoverdracht is toegestaan volgens de AVG, moet je de volgende twee vragen beantwoorden:
1. Draagt mijn bedrijf gegevens over naar een goedgekeurd land?
De Europese Commissie heeft een lijst gemaakt van alle niet-EU-landen die beschikken over privacywetgeving met een ‘passend beschermingsniveau’. Dit overdrachtsmechanisme is het zogenaamde ‘Adequaatheidsbesluit’. De meest actuele lijst van adequaatheidsbesluiten is te vinden op deze Europese website.
2. Beschikt mijn bedrijf over Standaardcontractbepalingen (SCC’s)?
Er zijn vier SCC’s, die je als kant-en-klare contracten kunt gebruiken. Je hoeft niet zelf contacten op te stellen. Om gebruik te kunnen maken van de SCC-optie, moet je een Overdrachtseffectbeoordeling (TIA) uitvoeren. Deze beoordeling dient om de risico’s van de overdracht voor de betrokkenen te identificeren en om te bepalen welke maatregelen moeten worden genomen om die risico’s te beperken.
Sluit de juiste contracten af
Behalve dat je de AVG-regels voor gegevensoverdracht naleeft, is het ook belangrijk dat je contracten afsluit met alle partijen waarmee je gegevens uitwisselt. Deze contracten gaan over de uitwisseling van persoonsgegevens en dienen om de privacy van je spelers en klanten te beschermen. Welk type contract je nodig hebt, is afhankelijk van de locatie van je bedrijf en van je partners. Dit zijn de mogelijkheden:
• Jouw bedrijf en je partners zijn gevestigd in de Europese Economische Ruimte (EER): dan volstaat een eenvoudige Verwerkersovereenkomst (DPA). Voor deze overeenkomsten zijn allerlei modelcontracten beschikbaar.
• Je bent gevestigd in de EU en je partner in het Verenigd Koninkrijk (of andersom): gegevensoverdrachten tussen de EU en het VK vallen onder zowel de Adequaatheidsbesluiten van de Europese AVG als de Britse GDPR, dus geen probleem. Voor alle overige gegevensoverdrachten heb je de tegenhanger van SCC’s volgens de Britse GDPR nodig: International Data Transfer Agreements (IDTA’s).
• Je bent gevestigd in de EU en het VK en je partner is gevestigd in een land dat door geen van beide jurisdicties als adequaat wordt gezien – zoals de Verenigde Staten. Dan heb je SCC’s nodig waaraan een zogeheten UK Addendum is toegevoegd. Op deze manier voldoe je aan zowel de Europese AVG als de Britse GDPR.
Voer een effectbeoordeling gegevensbescherming uit om de risico’s te bepalen en te beheersen
Om te voorkomen dat gevoelige gegevens in verkeerde handen vallen, is het belangrijk dat je de risico’s van je gegevensverwerkingsactiviteiten in kaart brengt en minimaliseert. Voor een gokbedrijf is dit waarschijnlijk zelfs verplicht. Behalve dat ze persoonlijk identificeerbare informatie en betalingsgegevens verzamelen, zijn gokbedrijven vaak ook wettelijk verplicht om spelers te screenen bij een officiële database van personen die vanwege een verslaving niet mogen gokken. Dit type informatie geldt als ‘hoog privacyrisico’ voor de betrokken personen.
Elke verwerking van persoonsgegevens die een hoog privacyrisico met zich meebrengt, vereist dat je een effectbeoordeling gegevensbescherming (DPIA) uitvoert. Het Europees Comité voor gegevensbescherming (EDPB) hanteert de volgende criteria om te bepalen of een DPIA verplicht is:
1. Beoordeling van mensen op basis van persoonlijke kenmerken
Hieronder vallen de screening van spelers bij een gokverslavingsdatabase en het gebruik van hun persoonlijke gegevens voor profilering of prognostiek.
2. Geautomatiseerde beslissingen
Het gebruik van persoonsgegevens om automatische beslissingen te nemen die juridische of anderszins significante gevolgen hebben voor personen, zoals uitsluiting of discriminatie.
3. Systematische en grootschalige monitoring
Het observeren van publiek toegankelijke ruimtes, bijvoorbeeld met behulp van camera’s.
4. Gevoelige gegevens
De verwerking van privacygevoelige gegevens, zoals strafbladen, gegevens van elektronische communicatie, locatie-informatie en financiële gegevens.
5. Grootschalige gegevensverwerking
De verwerking van grote hoeveelheden gegevens over een groot aantal personen, binnen een groot geografisch gebied en gedurende langere tijd.
6. Koppeling van databases
Het combineren van anderszins niet-gerelateerde databases op een manier die redelijkerwijs niet zal worden verwacht door de mensen van wie de gegevens worden verwerkt.
7. Gegevens over kwetsbare personen
De verwerking van gegevens van mensen die niet vrijelijk hun toestemming kunnen geven of dat weigeren, zoals kinderen, patiënten en werknemers.
8. Gebruik van nieuwe technologieën
Het gebruik van nieuwe technologieën, die nog onbekende maar significante privacyrisico’s met zich meebrengen.
9. Uitsluiting van rechten, diensten of contracten
De verwerking van persoonsgegevens om mensen mogelijk uit te sluiten van het uitoefenen van rechten, het gebruiken van diensten of het aangaan van overeenkomsten.
Tijdens de uitvoering van de DPIA moet je kijken naar het complete traject, van input tot output. Vermeld in de DPIA over wie gegevens worden verwerkt, wat voor soort gegevens je verwerkt, hoe deze gegevens worden beveiligd en welke externe partijen hierbij zijn betrokken. Door je gegevensverwerkingsactiviteiten in kaart te brengen, krijg je inzicht in alle eventuele risico’s en de maatregelen die je moet nemen om die risico’s te minimaliseren.
Maak een protocol voor datalekken om je klanten en je bedrijf te beschermen
Een DPIA helpt om de risico’s te minimaliseren, maar elimineert ze niet. Daarom is het belangrijk dat je ook een datalekprotocol ontwikkelt. Bij een datalek is sprake van ongeoorloofde toegang tot persoonsgegevens, meestal als gevolg van een menselijke fout, een kwetsbaarheid in computersoftware of cybercriminaliteit. De gevolgen van een datalek kunnen desastreus zijn voor de klant en voor de organisatie.
Een datalekprotocol helpt bedrijven om de gevolgen van een datalek op een gecontroleerde manier te beheersen. Het protocol beschrijft de stappen die je moet ondernemen om aan de eisen van de AVG te voldoen en de impact te minimaliseren. In het protocol staat bijvoorbeeld of je het lek binnen de geldende termijn van 72 uur moet melden aan de toezichthouder en/of aan de betrokken personen. Om je op weg te helpen, hebben we een stappenplan gemaakt voor het opstellen van een protocol voor datalekken.
Aan de slag
Door de gegevensverwerkingsactiviteiten van je bedrijf te toetsen aan de regels voor gegevensoverdracht, door een effectbeoordeling gegevensbescherming (DPIA) uit te voeren en door een protocol voor datalekken op te stellen, geef je je bedrijf een solide fundament om aan de AVG-regels te voldoen en de risico’s voor gegevensbescherming en privacy te minimaliseren. Klaar voor de volgende stap? DPO Consultancy helpt je graag om aan alle voorwaarden te voldoen, zodat je je helemaal kunt richten op de verdere groei van je bedrijf.