Corporate Nederland [wijzigen]
Corporate
Over Huawei, pers, events en meer
Consumenten
Telefoons, pc's, tablets, wearables en meer
Zakelijke markt
Producten, oplossingen en diensten voor ondernemingen en (semi-)overheid
Telecomaanbieders
Producten, oplossingen en diensten voor telecomaanbieders
Huawei Cloud
Products and solutions based on Huawei cloud services

Selecteer een land of regio

Privacy Protection

Transparantie

Privacybescherming en naleving van de AVG

De algemene verordening gegevensbescherming (AVG) van de EU geldt sinds 25 mei 2018. De AVG regelt de manier waarop bedrijven die General Data Protection Regulation (GDPR) toepassen, de persoonsgegevens van hun klanten en werknemers verzamelen en beheren. De AVG is niet alleen van toepassing op organisaties binnen de EU, maar ook op organisaties daarbuiten. Mits deze goederen of diensten aanbieden aan personen of bedrijven in Europa. Of hun gedrag volgen

Als leverancier van ICT-infrastructuur en slimme apparaten hechten we groot belang aan privacybescherming en de bijbehorende verantwoordelijkheden . Alle vereisten voor privacybescherming zijn opgenomen in de processen van onze dagelijkse zakelijke activiteiten.

Zo brengen we de GDPR in de praktijk

Ons bedrijf hanteert de wereldwijd geldende privacywetten, waaronder de GDPR. Al onze relevante activiteiten voldoen aan de geldende GDPR-vereisten.

  1. Nauwe, interne samenwerking

    Om ervoor te zorgen dat de eisen voor privacybescherming effectief worden toegepast, werken onze afdelingen nauw samen. Onze Global Cyber Security and User Privacy Protection Committee (GSPC) is de hoogste beheerorganisatie voor zakelijke cyberveiligheid en privacybescherming van gebruikers. De Global Cyber Security & Privacy Officer (GSPO) is verantwoordelijk naar de CEO toe. Al onze bedrijfsonderdelen hebben een speciale privacy-gerelateerde rol of organisatie. Volgens de GDPR-vereisten hebben we ook een Data Protection Officer (DPO) voor de EU aangesteld.

  2. Hulpteam in startblokken

    Op het gebied van privacybescherming volgen we door de branche erkende aanpakken en activiteiten. Om onze klanten te helpen bij het identificeren en beperken van privacyrisico's bij hun zakelijke activiteiten, introduceerden we de PIA-aanpak. Met PIA kunnen onze klanten onze producten en diensten beoordelen.

    Passend binnen het GDPR- bedrijfsscenario werken we met een inventaris van persoonlijke gegevens om de dataverwerking bij te houden en hebben we een noodhulpmechanisme voor geval er wat misgaat - een inbreuk op iemands privacy. Mocht zich onverhoopt zo’n situatie voordoen dan is per direct een incidentresponsteam actief. Zo zullen we het verlies minimaliseren en ervoor zorgen dat personen die getroffen worden door datalekken goed, snel en afdoende worden geïnformeerd.

    Leveranciers

    Aanvullend hierop hanteren we de privacybeschermingsvereisten voor persoonlijke gegevensverwerking van leveranciers die onderworpen zijn aan de AVG. We hebben deze geactualiseerd en geoptimaliseerd, en met de nalevingsvereisten opgenomen in het beheerproces van onze leveranciers.

  3. Bewust van belangen

    Onze medewerkers volgen trainingen in privacy-compliance. Daarmee verhogen we het brede bewustzijn van de AVG-compliance binnen ons bedrijf . Elke medewerker en partner die betrokken is bij de AVG, begrijpt de juridische principes van gegevensbescherming in relatie tot zijn of haar specifieke werk en functie, en voert processen uit volgens deze regels.

  4. Internationale certificeringen en accreditaties

    We maken ons sterk voor het verkrijgen van internationale certificeringen en accreditaties. Voorbeelden zijn ISO 27001, CSA STAR en ePrivacy Seal.

  5. Evalueren en verbeteren

    Om naleving van onze privacybescherming te garanderen, heeft onze afdeling Internal Audit een uitgebreide evaluatie van technologieën en processen voltooid. De uitkomsten worden ingezet voor verdere verbetering.

In onze ogen is GDPR-naleving slechts een deel van privacybescherming. Privacybescherming raakt ons ook op onze sociale verantwoordelijkheid als aanbieder van ICT-infrastructuur en leverancier van slimme apparaten. Daarom zullen we onze producten en diensten voortdurend verbeteren en optimaliseren om de veiligheid en privacy te waarborgen en de risico's voor de privacybescherming van klanten en gebruikers te verminderen. Overal waar dat kan.

White Papers

Het is onze gewoonte om ideeën en ervaringen op het gebied van privacybescherming met anderen te delen. Ook in Nederland. Daarmee willen we bijdragen aan de discussie over veiligheid.

Onze White Papers zijn hier te vinden:

Ons bedrijf, cyberveiligheid en relatie met China

Met de komst van 5G is er veel aandacht in de media en de Tweede Kamer voor de mogelijke dreiging van spionage vanuit China. Ons bedrijf wordt geregeld in deze discussie genoemd of betrokken. Met dit position paper willen we informatie delen die relevant kan zijn voor de politieke discussie en de beelden nuanceren die over ons bedrijf in de media bestaan.

Bekijk White Paper >>

Hoe het radio- en kernnetwerk bij 5G gescheiden zijn

Er leeft nogal wat misverstand over de veiligheid van 5G. Zo zou er – in tegenstelling tot 4G – geen duidelijk onderscheid zijn tussen het radio- en kernnetwerk. Dat is niet juist. Maar hoe zit het dan wel?

Bekijk White Paper >>

Onze white paper over onze AI-beveiliging (Engelstalig) >>

Onze white paper over AI, privacy en de consumentenmarkt (Engelstalig) >>

Verantwoorden

Iedereen heeft recht op privacy aangaande zijn datagegevens. Zo staat het in de wet en zo kenmerkt het ook onze waarden als bedrijf. Iedere gebruikers moet op een passende manier kunnen bepalen hoe zijn of haar gegevens worden gebruikt. Daar zijn heldere regels voor.

Hoe wij de privégegevens van onze gebruikers beschermen, hebben we vastgelegd in ons privacybeleid - de zogeheten Huawei General Privacy Protection Policy. Met regelmatige updates zorgen we ervoor dat we voortdurend voldoen aan de geldende wet- en regelgeving voor privacy en bescherming van persoonsgegevens in landen waar we actief zijn. We specificeren hierin ook de verantwoordelijkheden van onze relevante afdelingen op het gebied van GDPR-compliance.

Hoe we de privacywet naleven

Ons bedrijf hanteert de wereldwijd geldende privacywetten, waaronder de General Data Protection Regulation (GDPR). Al onze activiteiten voldoen aan de relevante GDPR-vereisten.

Zo beoordelen we de privacy impact (PIA)

We gebruiken de privacy impact assessment (PIA)-benadering om privacyrisico's van onze producten en diensten te beoordelen en te beperken. Al onze projectteams beoordelen hiervoor of een project betrekking heeft op de verwerking van persoonsgegevens; ze maken een inventaris van persoonsgegevens en stellen een stroomschema van gegevens vast. Elk identificeert zijn rol bij de gegevensverwerking. Als wij de gegevensbeheerder zijn en het gegevensverwerkingsscenario een hoog risico vormt, voert het projectteam een gegevensbeschermingseffectbeoordeling (DPIA) uit. Deze is strenger is dan PIA.

Wat de DPIA verder inhoudt, lees je in deze Engelstalige tekst:

Huawei complies with globally applicable privacy laws, including the GDPR. Huawei will ensure that relevant businesses comply with applicable GDPR requirements.

Privacy Impact Assessment (PIA)

We use the privacy impact assessment (PIA) approach to assess and mitigate privacy risks in products and services. In the PIA process, we require each project team to fully assess whether the project involves personal data processing, determine the personal data inventory and data flow diagram, and identify the role of Huawei in data processing. If Huawei is a data controller and the data processing scenario is of a high risk, the project team must perform data protection impact assessment (DPIA), which is stricter than PIA, to assess the impact of privacy risks.

  1. Fully assess whether personal data is involved in the project. PIA is not required for projects that do not involve personal data.
  2. If personal data is involved, create a data inventory and data flow diagram.
  3. Analyze the role of Huawei in data processing. If Huawei is a data controller, determine whether to perform DPIA. If Huawei is a data processor, determine whether to perform PIA. If Huawei is neither a data controller nor a data processor, comply with the Privacy Protection Guideline.
  4. After performing DPIA or PIA, output a report.

report

Toch een gegevenslek? Dat pakken we zo aan!

Elke inbreuk op de privacy is er een te veel. Om ze vóór te zijn, hanteren we strenge regels. Mocht er onverhoopt toch wat voorkomen, dan treedt ons noodmechanisme in werking. Te beginnen met een incidentresponsteam dat met onmiddellijke ingang alles op alles zet om het verlies als gevolg van de inbreuk te minimaliseren. Ook zorgen we ervoor dat personen die het aangaat adequaat worden geïnformeerd.

Lees meer over het categoriseren van datalekken in deze Engelstalige tekst:

(1) Formula for assessing personal data breach severity

Risk level (R) = Data processing context (DC) x Ease of identification (EI) + Circumstances of breach (CB). Detailed description is as follows:

  • Data processing context (DC): Data is divided into non-sensitive personal data (basic score: 1 point) and sensitive personal data (basic score: 2 points).
    1) If a large amount of personal data that belongs to one data subject is leaked or the personal special features are obvious, the score can increase accordingly (no more than 4 points).
  • Ease of Identification (EI): Data is divided into ciphertext data (basic score: 1 point) and plaintext data (basic score: 2 points) based on how easy it will be to identify the data subject using the leaked personal data.
    1) If the strongest and secure crypto algorithms are used to encrypt personal data and the key is kept confidential so that the personal data involved in the breach cannot be restored to plaintext data, the item scores 0.25 points.
    2) If the leaked plaintext data or cracked ciphertext data can hardly be used to identify a data subject, this score can be reduced accordingly (no less than 0.25 points).
  • Circumstances of breach (CB):
    A1 Loss of confidentiality: personal data breaches brought by incorrect permission configuration
    A2 Loss of integrity: personal data being tampered with or replaced, affecting data subjects' interests
    A3 Loss of availability: personal data unable to be normally accessed, damaging data subjects' interests
    A4 Personal data breaches brought by malicious behavior

The scores of all CB items are supplementary to DC and EI, and will be added to the final score. The following table lists detailed description of each item and provides some examples.

The scores of all CB items

Data Breach Category Score Description Example A1 0.25 Personal data is leaked to some known incorrect receivers. (1) Emails containing personal data are sent to some known receivers who should not receive the emails. (2) Incorrect permission setting enables some users to access personal data of others. 0.5 Personal data is leaked to some unknown receivers. (1) Personal data is incorrectly uploaded to public web pages. (2) Incorrect configuration enables an arbitrary user to access all personal data on the website. A2 0.25 Personal data is changed and incorrectly or unlawfully used, affecting data subjects; however, the altered data can be restored. Some account passwords stored in the system are changed. As a result, the affected accounts cannot be normally logged in to within a specific period of time. However, the changed data can be restored. 0.5 Personal data is changed and incorrectly or unlawfully used, affecting data subjects. The changed data cannot be restored. Some account passwords stored in the system are changed, and the changed data cannot be restored. As a result, the affected accounts cannot be logged in to any more. A3 0.25 Personal data cannot be accessed, but the data can be restored. Due to the mal-operations of the maintenance personnel, the accounts of online service users are lost. However, the accounts can be re-created through other databases. 0.5 Personal data cannot be accessed or restored. The database of a forum is damaged, and all stored forum user activity records are lost. The lost data has no backup and cannot be re-provided by the users. A4 0.5 Personal data breaches are brought by malicious behavior that adversely affects enterprises or individuals. (1) Employees share customers' personal data on external websites. (2) Employees sell customers' personal data to third parties. (3) External hackers break into the corporate IT system and steal personal data.

(2) According to risk rating, personal data breach events can be classified into the following levels:

level

Een beroep op je privacy-recht

Iedere Nederlander heeft het recht om het gebruik van zijn of haar persoonsgegevens onder controle te houden. Wil je van een bedrijf weten wat er over jou bekend is of hoe je gegevens worden gebruikt of eventueel wat wijzigen, dan kun je dat te allen tijde aangeven. Dat heet: een verzoek van betrokkene.

Hoe jouw rechten zijn beschermd

Jouw privacy rechten zijn in Nederland vastgelegd in de Algemene verordening gegevensbescherming (AVG) ook wel bekend onder Engelse naam General Data Protection Regulation (GDPR). In de EU geldt dezelfde privacywetgeving. Ons bedrijf onderschrijft de acht rechten zonder enig voorbehoud. Wat dat betekent, lees je hieronder.

Jouw rechten vertaald naar de praktijk:

  • Recht op inzage.
    Je hebt het recht om bijvoorbeeld een kopie te ontvangen van de persoonsgegevens die ons bedrijf van jou verwerkt.
  • Recht op vergetelheid.
    Je hebt het recht om ‘vergeten’ te worden. Al is wat eenmaal online staat, niet altijd volledig meer te wissen.
  • Recht op rectificatie en aanvulling.
    Je hebt het recht om jouw persoonsgegevens die ons bedrijf verwerkt te laten wijzigen.
  • Recht op dataportabiliteit.
    Hiermee kun je jouw persoonsgegevens overdragen aan een andere partij.
  • Recht op beperking van de verwerking.
    Het recht om minder gegevens te laten verwerken.
  • Recht rond geautomatiseerde besluitvorming en profilering.
    Je hebt het recht dat ons bedrijf persoonlijk (met een menselijke blik) naar een besluit kijkt.
  • Recht van bezwaar tegen de gegevensverwerking.
  • Recht op duidelijke informatie over wat ons bedrijf met jouw persoonsgegevens doet. Ook daaraan zijn voor ons spelregels verbonden.

Je recht gebruiken?

Je kunt je aanvraag op drie manieren bij ons plaatsen:

  1. via onze Nederlandse of algemene Huawei website, onder Privacy en vervolgens kopje Personal Data Management Request. Je vindt daar een invulformulier.

    URL: Personal Data Management Request >>

  2. via onze consumenten website, onder Privacy en vervolgens onderaan Privacy Statement. Onder ‘Let us know’ krijg je een invulformulier.

    URL: Privacy Questions >>

  3. via onze HiCare app op je smartphone; klik op Privacy Issues om je verzoek te doen.