Dankzij mobiele devices en de cloud zijn medewerkers in staat productiever en efficiënter te werken. Hierdoor en is data op vele manieren verbonden en is mogelijk te investeren in betere klantrelaties. Aan de andere kant zorgt deze digitale toekomst ook voor uitdagingen op het gebied van informatiebeveiliging en compliancy. In dit blog beantwoorden wij graag de vraag: hoe zorg je dat je klaar bent voor de GDPR?
Per 26-05-2018 wordt de GDPR, ofwel in Nederland de Algemene Verordening Gegevensbescherming (AVG), gehandhaafd. De Wet bescherming persoonsgegevens (Wbp) en de Europese richtlijnen zijn vanaf 26-05-2018 niet meer geldig en er is dan één privacywet in de hele Europese Unie.
Bent u al voorbereid op de nieuwe Europese wetgeving?
Alle organisaties die werken met gevoelige data krijgen te maken met de GDPR, of in het Nederlands de AVG. De wet is ontwikkeld omdat de Europese Unie een eenduidige en veilige Europese Digitale omgeving wil creëren. De nieuwe wet gaat op 26 mei 2018 van start en lijkt ver weg. Voor u is het nu tijd voor actie!
Wat is GDPR?
De General Data Protection Regulation is de nieuwe algemene verordening voor gegevensbescherming binnen de EU. Deze algemene verordening is een geheel aan regels om de gegevens van Europese burgers beter te beschermen. De wet is van toepassing op Europese organisaties die persoonsgegevens (laten) verwerken en voor organisaties die persoonsgegevens laten verwerken van Europese burgers zonder in de EU gevestigd te zijn.
Wat gaat er veranderen?
De GDPR is een herziening van de Europese wetgeving uit 1995; de Data Protection Directive. Die wetgeving werd door elke lidstaat op een willekeurige wijze geïnterpreteerd, wat zorgde voor veel onduidelijkheid. De GDPR zorgt ervoor dat bedrijven die persoonsgegevens verzamelen, volledig moeten voldoen aan de nieuwe set regels.
De Toepassing van de GDPR
Naast de wijzigingen in de wet is het begrip ‘persoonsgegevens’ ge-update naar ‘alle informatie over geïdentificeerde of identificeerbare natuurlijke persoon’. Dit wil zeggen: Wanneer een persoon met behulp van een tool geïdentificeerd kan worden, of juist geïsoleerd kan worden uit een groep. Een voorbeeld van een identificator is een naam, kenteken, ip-adres of nickname.
De voornaamste vernieuwingen in de GDPR zijn samen te vatten in de volgende zes onderdelen:
Toestemming van informatie
Toestemming tot informatie moet bestaan uit een duidelijk, actieve handeling. ‘Onbuddelzinnige’ wilsuiting. Geen vooraf aangevinkte hokjes meer, maar een duidelijke en begrijpelijke vraag die eenvoudig gepresenteerd wordt.
Verwerkingsbeginselen van persoonsgegevens
De nieuwe wet introduceert een aantal kerngebieden waaraan alle verwerkingen van persoonsgegevens aan moeten voldoen:
- Persoonsgegevens moeten op behoorlijk, rechtmatige en transparante manier worden verwerkt
- Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
- Alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwerkt;
- Gegevens moeten correct en actueel zijn;
- Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of geanonimiseerd;
- De persoonsgegevens mo eten worden beveiligd door middel van technische en organisatorische maatregelen.
Rechten van betrokkenen
Transparantie is erg belangrijk en de betrokkenen moet de informatie tot zijn of haar beschikking hebben over wat er met zijn gegevens gebeurt. Alles moet in eenvoudige en duidelijke taal worden gecommuniceerd. Naast de bestaande rechten (verzet, inzage en rectificatie) heeft de betrokkene onder de GDPR het recht om vergeten te worden, het recht op overdraagbaarheid van zijn data (dataportabiliteit) het recht de verwerking te beperken en het recht bezwaar te maken tegen verwerving van zijn gegevens voor direct marketing doeleinden.
Administratieplicht
Iedere organisatie moet kunnen aantonen te voldoen aan de verplichten die gesteld zijn, zoals de toestemming, gegeven informatie, rechten van betrokkenen, beveiliging van gegevens, minimalisatie van de verwerkingen en de afspraken met bewerkers.
Bewerker
Net zoals in de Wet bescherming persoonsgegevens is het onder de GDPR verplicht om een overeenkomst af te sluiten met bewerkers. De GDPR heeft een aantal nieuwe verplichte onderdelen van deze overeenkomst:
- Het doel van de verwerking;
- Het soort persoonsgegevens dat wordt verwerkt;
- De categorieën van betrokkenen
- Dat passende beveiligingsmaatregelen zullen worden genomen;
- Dat de bewerker meewerkt aan audits op operationele controle ten aanzien van de verplichtingen en na afloop van verwerking vernietiging of retourneren van de persoonsgegevens aan de verantwoordelijke;
Meldplicht datalekken
Sinds 01-01-2016 is in Nederland de meldplicht datalekken. De bewerker is verplicht een datalek te melden aan de verantwoordelijke (bijvoorbeeld de opdrachtgever) Deze melding hoeft pas gedaan te worden als er daadwerkelijk een lek heeft voorgedaan. Deze meldplicht blijkt wel strenger te worden zo blijkt uit een artikel uit in het FD: ‘Datalekken waarbij persoonsgegevens zijn verloren of gestolen, moeten sneller gemeld worden en we kunnen eerder boetes uitdelen’, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. ‘In de WBP moest er sprake zijn van opzet of grove schuld, deze bepaling verdwijnt.’
Sancties bij niet naleving
Bedrijven die de GDPR verzuimen kunnen zware repercussies verwachten. De Autoriteit Persoonsgegevens heeft de mogelijkheid om hoge boetes op te leggen. Wanneer de verzamelde data niet correct wordt beheerd, een serieus datalek niet wordt gemeld of een bedrijf geen risico-assessment houdt, kan de boete oplopen tot 2 procent van de jaarlijkse omzet. Voor ernstige misstappen kan dat bedrag stijgen tot maar liefst 4 procent van de omzet, met een maximum van 20 miljoen euro.
Wat kunt u op dit moment al gaan doen?
- Discover – Identificeer wat voor persoonlijke data u heeft;
- Control – Onderzoek hoe persoonlijke data gebruikt wordt en op welke manier toegang tot deze gegevens is geregeld;
- Protect – Neem beveiligingsmaatregelen om te voorkomen dat- en te reageren op kwetsbaarheden;
- Report – Monitor- en beheer verzoeken van betrokkenen;
- Review – Analyseer de data en systemen, blijf compliant en reduceer zoveel mogelijk risico’s.
Wat kunnen wij voor u betekenen?
GTS-Online is als kennisorganisatie erop gericht uw IT-omgeving te verbeteren door gebruik te maken van slimme bewezen technologieën. Een veelgehoord argument bij de GDPR is de complexiteit van inrichting. Om deze reden streeft GTS-Online naar eenvoud, wij willen u helpen door te starten met een Vulnerability Scan op uw IT-omgeving. Middels een Vulnerability Scan wordt uw ICT-infrastructuur gecontroleerd op kwetsbaarheden die door kwaadwillende personen gebruikt kunnen worden om toegang tot uw informatie of systemen te krijgen. Daarnaast wordt geadviseerd op welke wijze u, als organisatie beter om kunt gaan met maatregelen die voor de GDPR uitgevoerd moeten worden.