Effectbeoordeling gegevensbescherming

Projectnaam: Gamban

Datum van beoordeling: 02/11/2024

Beoordelaar(s): Nick Michalopoulos

Deze DPIA is noodzakelijk vanwege wijzigingen in de omgang met gegevens, meer specifiek doordat klantgegevens worden geclassificeerd als Gevoelige Categorie Gegevens. Dit creëert de noodzaak voor een gegevensbeschermingseffectbeoordeling (DPIA) voor elke vorm van verwerking die waarschijnlijk een hoog risico met zich meebrengt.

Welke gegevens worden verwerkt?

• Identiteitsgegevens: omvatten gebruikersnaam;
• Contactgegevens: omvatten het e-mailadres en telefoonnummer van de gebruiker;
• Apparaatgegevens: omvatten informatie over de verschillende apparaten die onze blokkeringslicentie dekt.
• Marketinggegevens: voorkeuren van gebruikers met betrekking tot het ontvangen van onze nieuwsbrief.
• Profielgegevens: omvatten gokverslavingsstatus, waaronder het niveau van gokken, tijdstip van de laatste goksessie, gebruikersnaam.
• Technische gegevens: omvatten internetprotocol (IP)-adres, browsertype en -versie, tijdzone-instelling en locatie, browserplug-ins, besturingssysteem en platform, en andere technologie op de apparaten die gebruikers gebruiken om toegang te krijgen tot de Gamban-website.
• Transactiegegevens: omvatten details over betalingen van en aan de gebruiker en andere details van de gekochte diensten.
• Gebruiksgegevens: omvatten informatie over onze website en productgebruikstrends.

Doel van de gegevensverwerking:

• Softwarediensten
• Belangrijke meldingen over het product, helpdeskfuncties en wanneer het abonnement bijna afloopt
• Onderhoud van interne administratie
• Statistische analyse voor productontwikkelingsdoeleinden

Wie krijgt toegang tot de gegevens:

• Regelgevende instanties
• Wettelijke instanties
• De politie
• Elke andere bevoegde autoriteit die specifieke functies heeft zoals voorgeschreven door de wet
• Derden waarmee de gebruiker uitdrukkelijk heeft ingestemd dat wij hun persoonlijke gegevens mogen delen
• Zakelijke partners en dienstverleners

Gegevensstroom:

1. Gegevensverzameling: Gebruikersgegevens worden verzameld wanneer individuen zich aanmelden via de Gamban-website of -app.
2. Gegevenstransmissie: Gegevens worden veilig verzonden via HTTPS naar de servers van Gamban. Apparaatspecifieke gegevens worden gecommuniceerd tussen het apparaat van de gebruiker en het systeem van Gamban om de blokkeringsfunctionaliteit mogelijk te maken.
3. Gegevensopslag: Verzamelde gegevens worden opgeslagen in versleutelde databases die worden gehost op Azure (Microsoft Corporation).
4. Gegevensgebruik: Gegevens worden verwerkt zoals eerder beschreven.
5. Gegevensdeling: Gegevens worden niet gedeeld met derden, tenzij gebruikers hier expliciet mee instemmen of dit wettelijk vereist is.
6. Gegevensverwijdering: Gebruikers kunnen gegevensverwijdering aanvragen via de app of ondersteuning. Verwijderde gegevens worden permanent verwijderd van actieve servers en back-ups binnen 12 maanden.

Waar worden de gegevens verwerkt?

• Primaire gegevensverwerkingslocaties: Gegevens worden verwerkt en opgeslagen op servers die worden gehost door Azure in het VK en de EU. Lokale gegevensverwerking vindt plaats op gebruikersapparaten om de blokkeringsfunctionaliteit mogelijk te maken.
• Back-up- en herstel-locaties: Versleutelde back-ups worden opgeslagen in het VK en de EU.
• Derden: Beperkte gegevens (bijv. voor e-mailmeldingen of gebruikersondersteuning), of platformspecifieke gegevens kunnen worden verwerkt door vertrouwde externe leveranciers:
  • Zendesk, Inc.
  • Braintree (een PayPal-bedrijf)
  • Apple Inc.
  • Google LLC, met hun locatie en verwerkingsvoorwaarden zoals vermeld in elk van hun gegevensverwerkingsovereenkomsten.

Gamban vertrouwt op de volgende wettelijke grondslagen voor het verwerken van gebruikersgegevens:

• Toestemming (Artikel 6(1)(a) en Artikel 9(2)(a)): Gebruikers geven expliciete toestemming voor de verwerking van hun persoonlijke en speciale categorie gegevens bij het registreren voor de dienst.
• Uitvoering van een contract (Artikel 6(1)(b)): Gegevensverwerking is noodzakelijk om de contractuele verplichting na te komen om een gokblokkeringsdienst te leveren.
• Aanzienlijk publiek belang (Artikel 9(2)(g)): De verwerking van speciale categoriegegevens ondersteunt het volksgezondheidsdoel om gokgerelateerde schade te verminderen, in overeenstemming met nationale wetgeving.

Gegevensverwerking is essentieel om de kernfunctionaliteit van Gamban te bieden: het blokkeren van gokgerelateerde inhoud op de apparaten van gebruikers. Bijvoorbeeld:

• Persoonsgegevens: E-mailadressen en apparaat-ID’s zijn nodig om gebruikers te verifiëren, apparaat specifieke blokkeringen in te stellen en ondersteuning te bieden.
• Speciale categoriegegevens: Gedragsgegevens gekoppeld aan gokzelfuitsluiting zorgen ervoor dat de dienst is afgestemd op het aanpakken van gokgerelateerde schade.

Zonder deze gegevens kan Gamban zijn diensten niet effectief leveren of zijn missie ondersteunen om gokgerelateerde schade te verminderen. De verzamelde gegevens worden tot het noodzakelijke minimum beperkt om het doel van de dienst te bereiken. Maatregelen omvatten:

• Alleen essentiële gegevens: Gamban verzamelt geen overmatige persoonlijke of gevoelige gegevens.
• Anonimisering: Geaggregeerde en geanonimiseerde gegevens worden waar mogelijk gebruikt voor analyses.

Gamban zorgt voor naleving van de UK GDPR door robuuste maatregelen te implementeren om de rechten van betrokkenen te waarborgen, waaronder:

Recht op inzage (Artikel 15):

• Gebruikers kunnen via e-mail of de app toegang tot hun persoonlijke gegevens aanvragen.
• Gamban verstrekt een kopie van de gegevens, meestal binnen een maand, in een duidelijk en gangbaar formaat.

Recht op rectificatie (Artikel 16):

• Gebruikers kunnen verzoeken om correcties van onjuiste of onvolledige persoonlijke gegevens.
• Wijzigingen worden snel doorgevoerd, en gebruikers worden geïnformeerd zodra de rectificatie is voltooid.

Recht op gegevenswissing (Artikel 17):

• Gebruikers kunnen verzoeken om verwijdering van hun gegevens wanneer deze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, of als zij hun toestemming intrekken.
• Na ontvangst van een geldig verzoek worden gegevens permanent verwijderd van actieve systemen en back-ups binnen [gespecificeerde termijn, bijvoorbeeld 30 dagen].

Recht op beperking van de verwerking (Artikel 18):

• Gebruikers kunnen verzoeken dat Gamban de verwerking van hun gegevens tijdelijk beperkt terwijl problemen zoals nauwkeurigheid of juridische claims worden opgelost.
• Gegevens blijven opgeslagen maar worden niet actief verwerkt totdat de beperking is opgeheven.

Recht op gegevensoverdraagbaarheid (Artikel 20):

• Gebruikers kunnen een kopie van hun gegevens aanvragen in een gestructureerd, machineleesbaar formaat om over te dragen aan een andere dienst.

Recht om bezwaar te maken (Artikel 21):

• Gebruikers kunnen bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen of direct marketing.
• In gevallen van bezwaar stopt Gamban met de verwerking, tenzij er dwingende gerechtvaardigde gronden zijn.

Recht om toestemming in te trekken (Artikel 7(3)):

• Gebruikers kunnen hun toestemming op elk moment intrekken via accountinstellingen of door contact op te nemen met ondersteuning.

Geautomatiseerde besluitvorming (Artikel 22):

• Gamban doet niet aan geautomatiseerde besluitvorming of profilering die juridische of vergelijkbaar significante gevolgen heeft.

Om deze rechten te faciliteren, heeft Gamban de volgende maatregelen geïmplementeerd:

• Privacybeleid en cookiebeleid: Duidelijke instructies over hoe gebruikers hun rechten kunnen uitoefenen.
• Gebruikersondersteuning: Een toegewijd ondersteuningsteam helpt bij verzoeken en vragen over rechten.
• Gegevensbeschermingsbeleid: Interne processen zorgen voor tijdige en conforme afhandeling van verzoeken.

• Zijn belanghebbenden geraadpleegd tijdens de DPIA? Ja
• Wie is er geraadpleegd?
  • Jack Symons: Medeoprichter
  • Matt Zarb-Cousin: Medeoprichter
  • Nick Michalopoulos: Functionaris Gegevensbescherming
• Samenvatting van de consultatie: Tijdens het DPIA-proces zijn Jack Symons, Matt Zarb-Cousin en Nick Michalopoulos geraadpleegd om inzichten te bieden in de gegevensverwerkingsactiviteiten van Gamban en de afstemming van deze processen met de missie van het bedrijf om gokgerelateerde schade te verminderen. Hun feedback hielp:
  • Belangrijkste risico’s bij het omgaan met speciale categorieën gegevens te identificeren.
  • De noodzaak van gegevensverzameling en -verwerking voor het leveren van kernservices te valideren.
  • Bestaande maatregelen voor gegevensbescherming te beoordelen en verbeteringen voor te stellen waar nodig.
  • Zorgen dat de DPIA de inzet van Gamban weerspiegelt voor gebruikersprivacy en naleving van de UK GDPR-vereisten.

Hun bijdrage is van cruciaal belang geweest bij het vormgeven van een uitgebreide en effectieve DPIA.

De DPIA is als acceptabel beoordeeld met de voorgestelde risicobeperkingen en is goedgekeurd door het management. Op dit moment zijn er geen resterende hoge risico’s die niet kunnen worden gemitigeerd door de voorgestelde maatregelen. Mocht er in de toekomst toch een risico ontstaan, dan zullen de volgende stappen worden ondernomen om deze op te lossen of te beperken:

• Verbeterde beveiligingsmaatregelen: Implementeren van extra encryptie of vaker uitvoeren van kwetsbaarheidsscans.
• Regelmatige beoordelingen: Periodieke evaluaties van gegevensverwerkingspraktijken uitvoeren, vooral bij de introductie van nieuwe diensten of functies.
• Gebruikersmelding: Als een hoog-risico situatie wordt vastgesteld, zullen gebruikers onmiddellijk worden geïnformeerd en zullen passende herstelmaatregelen worden genomen.

Afrondingsdatum: 14/11/2024

Beoordeeld door (management): Jack Symons

Boekhouding: Nick Michalopoulos

• www.gamban.com/privacy
• www.gamban.com/privacy/cookies
• www.gamban.com/terms
• www.gamban.com/eula