Op 25 mei 2018 treedt de belangrijkste Europese wetgeving inzake gegevensbescherming sinds 20 jaar in werking. De EU General Data Protection Regulation (GDPR) vervangt de 1995 EU Data Protection Directive. De GDPR versterkt de rechten van particulieren met betrekking tot hun persoonlijke gegevens en streeft naar het bundelen van de Europese wetten ter bescherming van gegevens, ongeacht waar de gegevens worden verwerkt. In de Nederlandse vertaling heet de wet Algemene Verordening Gegevensbescherming (AVG).
Wat betekent de GDPR voor jouw organisatie?
De GDPR is al op 24 mei 2016 aangenomen. Organisaties en bedrijven hebben tot 25 mei 2018 de tijd gekregen om de manier waarop zij omgaan met persoonsgegevens in overeenstemming te brengen met de nieuwe wetgeving. Na die datum kunnen organisaties worden aangesproken op de naleving van de GDPR en kunnen bij niet naleven boetes worden opgelegd.
Misschien heb je jezelf afgevraagd of deze nieuwe wetgeving ook voor jouw bedrijf of organisatie gevolgen heeft. Het antwoord daarop is vrij simpel: jazeker, ook jouw bedrijf of organisatie zal iets moeten doen om aan de voorwaarden van GDPR te kunnen voldoen! Mocht je toch denken dat het allemaal wel meevalt dan gebruik je vast één of meer van onderstaande mythes als argument. Lees verder om te ontdekken waarom ook jouw organisatie zich moet verdiepen in de voorwaarden van de GDPR.
- 25 mei 2018 is nog ver weg, ik heb nog ruim de tijd om hier aandacht aan te besteden.
Tijd heeft de neiging sneller te gaan dan je zou willen. Over minder dan een half jaar moet jouw organisatie persoonsgegevens verwerken in overeenstemming met de GDPR! - Voor kleinere organisaties gelden andere regels.
Dat is een misvatting, de regels zijn voor alle organisaties hetzelfde. Wel geldt dat organisaties groter dan 250 medewerkers, organisaties die gevoelige gegevens verwerken (zoals zorg- en verzekeringsorganisaties) en overheidsorganisaties verplicht zijn om ook een verwerkingsregister bij te houden, waarin wordt bijgehouden welke gegevens worden verzameld, waar ze voor worden gebruikt en hoe lang ze worden bewaard. - Wij verwerken geen gegevens van consumenten dus voor ons is de AVG niet relevant.
Ook als je alleen B2B (business-to-business) activiteiten doet verwerk je waarschijnlijk persoonsgegevens, zoals gegevens van werknemers of van contactpersonen bij klanten en leveranciers. En daarvoor gelden dezelfde regels! - Wij delen nooit privacygevoelige informatie met anderen.
Het wordt vaak onderschat hoe privacygevoelig sommige informatie is. Zo kunnen foto’s van een bedrijfsuitje op de website van het bedrijf privacygevoelige informatie bevatten omdat medewerkers herkenbaar zijn op de foto’s. - Onze systeembeheerder heeft alles goed beveiligd.
Zelfs als dat zo zou zijn blijft het zaak om ook zelf steeds alert te blijven op de manier waarop persoonsgegevens binnen het bedrijf beschermd worden. Vaak is het een kwestie van gezond verstand en zorgen dat iedereen binnen het bedrijf bewust omgaat met gevoelige informatie.
Wat zijn de basisprincipes van de GDPR?
In de GDPR zijn een aantal basisprincipes geformuleerd waaraan een organisatie getoetst kan worden wanneer het gaat om de verwerking van persoonsgegevens.
- transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten.
- doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
- gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
- juistheid: de persoonsgegevens moeten correct zijn en blijven
- bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
- integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
- verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen
Hoe kun je jouw organisatie voorbereiden op de GDPR?
De Autoriteit Persoonsgegevens heeft 10 stappen beschreven waarmee je jouw organisatie kunt voorbereiden op de GDPR.
Stap 1: Bewustwording – Toetsen en aanpassen van de huidige processen, diensten en goederen.
Stap 2: Rechten van betrokkenen – Waarborgen van recht op inzage, recht op correctie en verwijdering, recht op dataportabiliteit.
Stap 3: Overzicht verwerkingen – Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Bij bedrijven met meer dan 250 werknemers geldt een documentatieplicht.
Stap 4: Privacy Impact Assessment (PIA) – Verplicht PIA uit te voeren bij waarschijnlijk hoog privacyrisico.
Stap 5: Privacy by design & privacy by default – Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default standaard: alléén persoonsgegevens verwerken die noodzakelijk zijn. Bijvoorbeeld door op de website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
Stap 6: Functionaris voor de gegevensbescherming – Mogelijk geldt er een verplichting om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dit is van kracht wanneer je organisatie van meer dan 5.000 personen per jaar gegevens verwerkt, en alle overheidsorganisaties hebben deze verplichting. Het verdient sowieso aanbeveling om iemand in het bedrijf verantwoordelijk te maken voor de bescherming van persoonsgegevens, ook als de verplichting er niet is.
Stap 7: Meldplicht datalekken – Alle datalekken moeten worden gedocumenteerd en gemeld aan de Autoriteit Persoonsgegevens. Dat geldt ook wanneer je bedrijf is gehackt of bijvoorbeeld te maken heeft met een ransomware infectie.
Stap 8: Bewerkersovereenkomsten – Is er gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Zijn de overeengekomen maatregelen voor gegevensbescherming in bestaande contracten met bewerkers nog steeds toereikend?
Stap 9: Leidende toezichthouder – Heeft je bedrijf vestigingen of vindt er gegevensverwerking plaats in meerdere EU-lidstaten? Dan moet er toch één privacytoezichthouder zijn.
Stap 10: Toestemming – Je moet kunnen aantonen dat je organisatie geldige toestemming van personen heeft gekregen om hun gegevens op te slaan. Het moet voor die personen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.
Wat zijn de risico’s wanneer jouw organisatie niet aan de voorwaarden van de GDPR voldoet?
De boetes wanneer je niet voldoet aan de voorwaarden van de GDPR zijn niet mals. Ze kunnen oplopen tot wel 20 miljoen euro of 4% van de wereldwijde jaaromzet (afhankelijk van welk bedrag hoger uitvalt). Let op, deze boetes gelden per overtreding! Daarnaast kunnen er nog extra kosten komen wanneer een consument je aansprakelijk stelt of gaat procederen over mogelijke (gevolg)schade.
Wat kan Circumflex Automatisering voor jouw organisatie betekenen wanneer het gaat over de GDPR?
Circumflex Automatisering kan:
- advies geven over de beveiliging van persoonsgegevens
- een verantwoorde en veilige back-up procedure instellen
- encryptie van gevoelige informatie implementeren
- twee-wegverificatie instellen (bijvoorbeeld inloggen via een extra code op de telefoon)
- het afdwingen van veilige wachtwoorden instellen
- ervoor zorgen dat alleen vertrouwde apparaten op het netwerk mogen
- zorgen voor goede anti-virussoftware
- bijtijds patches & updates van software installeren
- vermoedens van een inbreuk op de beveiliging analyseren
- bij een onverhoopte hack of virusbesmetting de schade zoveel mogelijk beperken
- een seminar cybersecurity organiseren voor je medewerkers/collega’s
Heb je na het lezen van deze informatie behoefte aan een vrijblijvend adviesgesprek? Neem dan contact met Circumflex Automatisering op via onderstaande gegevens:
Joris van Baars
tel: 030-2990300 ^ mobiel: 06-21524652
joris@circumflex.com