Lusha and Autoriteit Persoonsgegevens Guidelines
Dutch version will be followed by the English version
Data scraping in line with the GDPR
Recently the Dutch data protection authority (Autoriteit Persoonsgegevens) issued guidelines on how companies can use data scraping in compliance with the GDPR (“Guidelines”). The Guidelines state that it does not view the development of scraping technologies as a negative nor rejects the use of data scraping techniques and data generated through these technologies, as long as GDPR requirements are met.
Lusha provides its services worldwide and can assure its customers that its practices are in line with the GDPR. Lusha considers the GDPR as a gold standard and voluntarily implements various measures to offer its services in line with the GDPR, including:
- Fair and Lawful Processing. We ensure that our data processing is fair and lawful, meeting the requirements to enable the processing lawfully. The specific legal bases for processing depend on the particular processing operation as set out in our Trust Center article but in general, we assess that Lusha’s processing of business profile information satisfies the “legitimate interest” basis for lawful processing. The Court of Justice of the European Union (CJEU) confirmed that a commercial interest can serve as a legitimate interest for data processing under the GDPR, as further detailed in this article.
- Data Protection Impact Assessment and Legitimate Impact Assessment. With the help of reputable law firms, we conducted a Data Privacy Impact Assessment (“DPIA”) and Legitimate Interest Assessment (“LIA”) that has led to the conclusion that Lusha’s processing of business contact profiles satisfies the legitimate interest grounds for processing and is not overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data.
- Transfer Impact Assessment. We completed a Transfer Impact Assessment in respect of our processing activities as a data processor, which is available here.
- Transparency. We have processes in place to inform data subjects that Lusha holds their personal data, including through our Privacy Notice. This notice provides the data subject with all relevant information as required by Article 14 of the GDPR, including informing the data subject of their right to opt-out.
- Data Subject Rights. Data subjects can exercise their rights at any time using Lusha’s self-service privacy center where they can exercise control over their personal data profile and are thereby in full control of their data. We have processes in place to enable compliance with data subject rights on subject access, rectification, erasure, restriction of processing, and data portability, and we honor requests made in accordance with applicable law.
- Data Minimization. We follow data minimization principles. Our core data set consists of categories of data that are strictly required to provide the services and is limited to basic business profile information and we are in the process of achieving ISO31700 Privacy by Design certification
- Security. We have implemented a robust security program that includes encryption, confidentiality, and access control measures, as well as SOC2, ISO 27001, and ISO 27018 certifications. Although not required, Lusha practices are being audited on an annual basis by two impartial third parties auditors: a German privacy auditor and an ISO27701 auditor.
We take a serious and comprehensive approach to privacy compliance. For more information about our privacy practices, please visit our Trust Center or download our full whitepaper (in English).
Data scraping in overeenstemming met de GDPR
Recentelijk heeft de Autoriteit Persoonsgegevens richtlijnen gepubliceerd over hoe bedrijven data scraping kunnen gebruiken in overeenstemming met de GDPR (“Richtlijnen“). De Richtlijnen bevestigen dat de Autoriteit Persoonsgegevens de ontwikkeling van scrapingtechnieken niet als iets negatiefs ziet, en ook wijst de Autoriteit Persoonsgegevens het gebruik van scrapingtechnieken en de daaruit gegenereerde gegevens niet af, zolang aan de eisen van de GDPR wordt voldaan.
Lusha biedt haar diensten wereldwijd aan en kan haar klanten verzekeren dat haar praktijken in lijn zijn met de Richtlijnen. Lusha beschouwt de GDPR als een ‘gold standard’ en implementeert vrijwillig verscheidene maatregelen om haar diensten in overeenstemming met de GDPR aan te bieden, waaronder:
- Behoorlijke en rechtmatige verwerking. Wij zorgen ervoor dat onze gegevensverwerking behoorlijk en legitiem is en voldoet aan eisen voor rechtmatige gegevensverwerking. De specifieke grondslag voor verwerking is afhankelijk van de betreffende verwerkingshandeling zoals uiteengezet in ons Trust Center artikel, maar in zijn algemeenheid beschouwen we dat de verwerking door Lusha van business profile informatie voldoet aan de “gerechtvaardigd belang” grondslag voor rechtmatige verwerking. Het Hof van Justitie van de Europese Unie (HvJEU) heeft bevestigd dat een commercieel belang kan dienen als gerechtvaardigd belang voor gegevensverwerking in de zin van de AVG, zie voor meer details dit artikel.
- Data Protection Impact Assessment en Legitimate Impact Assessment. Met de hulp van gerespecteerde advocatenkantoren hebben wij een Data Privacy Impact Assessment (“DPIA”) en een Legitimate Interest Assessment (“LIA”) uitgevoerd die hebben geresulteerd in de conclusie dat Lusha’s verwerking van business contact profiles voldoet aan de gerechtvaardigd belang grondslag voor rechtmatige verwerking en niet wordt overschreden door de belangen of fundamentele rechten en vrijheden van de betrokkenen die bescherming van hun persoonsgegevens behoeven.
- Transfer Impact Assessment. We hebben een Transfer Impact Assessment voltooid met betrekking tot onze verwerkingsactiviteiten als verwerker, die hier beschikbaar is.
- Transparantie. Wij hanteren processen om betrokkenen erover te informeren dat Lusha persoonsgegevens over hen houdt, waaronder via onze Privacy Notice. Deze kennisgeving geeft betrokkenen alle relevante informatie als bedoeld in artikel 14 GDPR, met inbegrip van informatie over het recht van de betrokkene op opt-out.
- Rechten van betrokkenen. Betrokkenen kunnen hun rechten op elk moment uitoefenen met gebruik van het zelf-service privacy center waar zij controle kunnen uitoefenen over hun profiel en zijn daarmee volledig in controle zijn over hun persoonsgegevens. We hanteren processen om naleving van rechten van betrokkenen op inzage, rectificatie, verwijdering, beperking van de verwerking en dataportabiliteit mogelijk te maken, en we respecteren verzoeken die zijn ingediend in overeenstemming met het toepasselijke recht.
- Data Minimalisatie. We volgen de principes voor dataminimalisatie. Onze kern dataset bestaat uit gegevenscategorieën die strikt noodzakelijk zijn om de diensten te leveren en is beperkt tot basis business profile informatie, en we zijn bezig met het behalen van ISO31700 Privacy by Design-certificering.
- Beveiliging. We hanteren een robuust beveiligingsprogramma met maatregelen zoals encryptie, vertrouwelijkheid en toegangscontrole, alsmede SOC2, ISO 27001 en ISO 27018 certificering. Hoewel niet verplicht worden de praktijken van Lusha op jaarlijkse basis onderworpen aan een audit door 2 onpartijdige externe auditors: een Duitse privacy auditor en een ISO27701 auditor.
Wij hebben een serieuze en uitgebreide aanpak op het gebied van privacy compliance. Voor meer informatie over onze privacy praktijken, bezoek ons Trust Center of download ons volledige whitepaper (in het Engels).
We'll help you understand if Lusha can solve your business needs.
