Hoe we de privacywet naleven

Ons bedrijf hanteert de wereldwijd geldende privacywetten, waaronder de General Data Protection Regulation (GDPR). Al onze activiteiten voldoen aan de relevante GDPR-vereisten.

Zo beoordelen we de privacy impact (PIA)

We gebruiken de privacy impact assessment (PIA)-benadering om privacyrisico's van onze producten en diensten te beoordelen en te beperken. Al onze projectteams beoordelen hiervoor of een project betrekking heeft op de verwerking van persoonsgegevens; ze maken een inventaris van persoonsgegevens en stellen een stroomschema van gegevens vast. Elk identificeert zijn rol bij de gegevensverwerking. Als wij de gegevensbeheerder zijn en het gegevensverwerkingsscenario een hoog risico vormt, voert het projectteam een gegevensbeschermingseffectbeoordeling (DPIA) uit. Deze is strenger is dan PIA.

Wat de DPIA verder inhoudt, lees je in deze Engelstalige tekst:

Huawei complies with globally applicable privacy laws, including the GDPR. Huawei will ensure that relevant businesses comply with applicable GDPR requirements.

Privacy Impact Assessment (PIA)

We use the privacy impact assessment (PIA) approach to assess and mitigate privacy risks in products and services. In the PIA process, we require each project team to fully assess whether the project involves personal data processing, determine the personal data inventory and data flow diagram, and identify the role of Huawei in data processing. If Huawei is a data controller and the data processing scenario is of a high risk, the project team must perform data protection impact assessment (DPIA), which is stricter than PIA, to assess the impact of privacy risks.

1. Fully assess whether personal data is involved in the project. PIA is not required for projects that do not involve personal data.
2. If personal data is involved, create a data inventory and data flow diagram.
3. Analyze the role of Huawei in data processing. If Huawei is a data controller, determine whether to perform DPIA. If Huawei is a data processor, determine whether to perform PIA. If Huawei is neither a data controller nor a data processor, comply with the Privacy Protection Guideline.
4. After performing DPIA or PIA, output a report.

Toch een gegevenslek? Dat pakken we zo aan!

Elke inbreuk op de privacy is er een te veel. Om ze vóór te zijn, hanteren we strenge regels. Mocht er onverhoopt toch wat voorkomen, dan treedt ons noodmechanisme in werking. Te beginnen met een incidentresponsteam dat met onmiddellijke ingang alles op alles zet om het verlies als gevolg van de inbreuk te minimaliseren. Ook zorgen we ervoor dat personen die het aangaat adequaat worden geïnformeerd.

Lees meer over het categoriseren van datalekken in deze Engelstalige tekst:

(1) Formula for assessing personal data breach severity

Risk level (R) = Data processing context (DC) x Ease of identification (EI) + Circumstances of breach (CB). Detailed description is as follows:

• Data processing context (DC): Data is divided into non-sensitive personal data (basic score: 1 point) and sensitive personal data (basic score: 2 points).
  1) If a large amount of personal data that belongs to one data subject is leaked or the personal special features are obvious, the score can increase accordingly (no more than 4 points).
• Ease of Identification (EI): Data is divided into ciphertext data (basic score: 1 point) and plaintext data (basic score: 2 points) based on how easy it will be to identify the data subject using the leaked personal data.
  1) If the strongest and secure crypto algorithms are used to encrypt personal data and the key is kept confidential so that the personal data involved in the breach cannot be restored to plaintext data, the item scores 0.25 points.
  2) If the leaked plaintext data or cracked ciphertext data can hardly be used to identify a data subject, this score can be reduced accordingly (no less than 0.25 points).
• Circumstances of breach (CB):
  A1 Loss of confidentiality: personal data breaches brought by incorrect permission configuration
  A2 Loss of integrity: personal data being tampered with or replaced, affecting data subjects' interests
  A3 Loss of availability: personal data unable to be normally accessed, damaging data subjects' interests
  A4 Personal data breaches brought by malicious behavior

The scores of all CB items are supplementary to DC and EI, and will be added to the final score. The following table lists detailed description of each item and provides some examples.

Data Breach Category Score Description Example A1 0.25 Personal data is leaked to some known incorrect receivers. (1) Emails containing personal data are sent to some known receivers who should not receive the emails. (2) Incorrect permission setting enables some users to access personal data of others. 0.5 Personal data is leaked to some unknown receivers. (1) Personal data is incorrectly uploaded to public web pages. (2) Incorrect configuration enables an arbitrary user to access all personal data on the website. A2 0.25 Personal data is changed and incorrectly or unlawfully used, affecting data subjects; however, the altered data can be restored. Some account passwords stored in the system are changed. As a result, the affected accounts cannot be normally logged in to within a specific period of time. However, the changed data can be restored. 0.5 Personal data is changed and incorrectly or unlawfully used, affecting data subjects. The changed data cannot be restored. Some account passwords stored in the system are changed, and the changed data cannot be restored. As a result, the affected accounts cannot be logged in to any more. A3 0.25 Personal data cannot be accessed, but the data can be restored. Due to the mal-operations of the maintenance personnel, the accounts of online service users are lost. However, the accounts can be re-created through other databases. 0.5 Personal data cannot be accessed or restored. The database of a forum is damaged, and all stored forum user activity records are lost. The lost data has no backup and cannot be re-provided by the users. A4 0.5 Personal data breaches are brought by malicious behavior that adversely affects enterprises or individuals. (1) Employees share customers' personal data on external websites. (2) Employees sell customers' personal data to third parties. (3) External hackers break into the corporate IT system and steal personal data.

(2) According to risk rating, personal data breach events can be classified into the following levels:

Een beroep op je privacy-recht

Iedere Nederlander heeft het recht om het gebruik van zijn of haar persoonsgegevens onder controle te houden. Wil je van een bedrijf weten wat er over jou bekend is of hoe je gegevens worden gebruikt of eventueel wat wijzigen, dan kun je dat te allen tijde aangeven. Dat heet: een verzoek van betrokkene.

Hoe jouw rechten zijn beschermd

Jouw privacy rechten zijn in Nederland vastgelegd in de Algemene verordening gegevensbescherming (AVG) ook wel bekend onder Engelse naam General Data Protection Regulation (GDPR). In de EU geldt dezelfde privacywetgeving. Ons bedrijf onderschrijft de acht rechten zonder enig voorbehoud. Wat dat betekent, lees je hieronder.

Jouw rechten vertaald naar de praktijk:

• Recht op inzage.
  Je hebt het recht om bijvoorbeeld een kopie te ontvangen van de persoonsgegevens die ons bedrijf van jou verwerkt.
• Recht op vergetelheid.
  Je hebt het recht om ‘vergeten’ te worden. Al is wat eenmaal online staat, niet altijd volledig meer te wissen.
• Recht op rectificatie en aanvulling.
  Je hebt het recht om jouw persoonsgegevens die ons bedrijf verwerkt te laten wijzigen.
• Recht op dataportabiliteit.
  Hiermee kun je jouw persoonsgegevens overdragen aan een andere partij.
• Recht op beperking van de verwerking.
  Het recht om minder gegevens te laten verwerken.
• Recht rond geautomatiseerde besluitvorming en profilering.
  Je hebt het recht dat ons bedrijf persoonlijk (met een menselijke blik) naar een besluit kijkt.
• Recht van bezwaar tegen de gegevensverwerking.
• Recht op duidelijke informatie over wat ons bedrijf met jouw persoonsgegevens doet. Ook daaraan zijn voor ons spelregels verbonden.

Je recht gebruiken?

Je kunt je aanvraag op drie manieren bij ons plaatsen:

1. via onze Nederlandse of algemene Huawei website, onder Privacy en vervolgens kopje Personal Data Management Request. Je vindt daar een invulformulier.

   URL: Personal Data Management Request >>

2. via onze consumenten website, onder Privacy en vervolgens onderaan Privacy Statement. Onder ‘Let us know’ krijg je een invulformulier.

   URL: Privacy Questions >>

3. via onze HiCare app op je smartphone; klik op Privacy Issues om je verzoek te doen.