Techniek

GDPR wetgeving staat in Nederland ook wel bekend als AVG (Algemene Verordening Gegevensbescherming, vervanger van Wbp – wet bescherming persoonsgegevens). GDPR is namelijk de Europese opvolger hiervan en op 25 mei 2018 gaat deze nieuwe wet in. Wat houdt het in en voor wie is het? Hoe maak je, jouw organisatie compliant? In dit artikel lees je wat er van bedrijven en instanties binnen de EU wordt verwacht. Het gratis whitepaper met bijhorende checklist helpt je op weg.
Automatisering en digitalisering maken het (bedrijfs)leven een stuk gemakkelijker. Technologische ontwikkelingen volgen elkaar in rap tempo op. Anderzijds brengt dit ook risico’s met zich mee. Bijvoorbeeld op het vlak van security en privacy. Regelmatig komt het voor dat persoonlijke gegevens van bijvoorbeeld klanten of medewerkers op straat komen te liggen of in verkeerde handen komen.
Voor de landelijke overheid en ook de Europese Unie is bescherming van persoonlijke gegevens een belangrijk punt. Daarom wordt de huidige wetgeving vanaf volgend jaar aangescherpt en bovendien gehandhaafd. Dit heeft grote invloed op hetgeen van organisaties en haar werknemers wordt verwacht.
Tegenwoordig beschikt elke organisatie over privacygevoelige informatie. Denk je hierbij aan klantgegevens (ook zakelijke e-mailadressen), kopieën van legitimatiebewijzen, creditcard- en/of bankgegevens, werknemersgegevens, etc. Om ervoor te zorgen dat deze informatie adequaat wordt opgeslagen, gebruikt en beheerd zal er vanaf volgend jaar, te weten 25 mei 2018, een nieuwe wet van kracht worden genaamd GDPR: General Data Protection Regulation.
De nieuwe wet is in het leven geroepen om de persoonlijke gegevens van individuen binnen de EU beter te beschermen en afspraken hieromtrent te uniformiseren. Voor vrijwel alle instanties en bedrijven heeft dit effect op de manier van werken met documenteren van persoonsgegevens.
Maatregelen zijn allerminst vrijblijvend. Het gebrek aan een sluitend privacy beleid vergroot namelijk de kans op een datalek. De Autoriteit Persoonsgegevens (AP) kan deze datalekken bij nalatigheid fors bestraffen. De sancties variëren van waarschuwingen en bindende maatregelen, tot een maximale boete van 20 miljoen euro of 4% van de jaaromzet. Dit kan zelfs de draagkracht te boven gaan en leiden tot een faillissement.
Dit is echter niet de enige reden om te zorgen dat de organisatie voldoet aan de privacy wetgeving. Een datalek en vooral ook slecht beleid op dit vlak kunnen leiden tot zeer negatieve media aandacht en kritiek op je organisatie door de individuen waarvan de privacy gevoelige data op straat is komen te liggen.
De GDPR-wetgeving heet in Nederland AVG (Algemene Verordening Gegevensbescherming, vervanger van Wbp) en beslaat maar liefst 99 artikelen. In beginsel is er sprake van diverse basisprincipes die voor elke organisatie gelden:
Rechtmatigheid, eerlijkheid en transparantie – persoonlijke data dienen op een rechtmatige, eerlijke en transparante manier verwerkt te worden in relatie tot personen waar de data betrekking op hebben.
Integriteit en vertrouwelijkheid – er dient sprake te zijn van adequate beveiliging van persoonlijke data, inclusief maatregelen tegen ongeautoriseerde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Dataminimalisering – Alleen data opslaan en gebruiken die noodzakelijk is en uitsluitend beschikbaar is voor medewerkers die de data nodig hebben voor bedrijfsdoeleinden.
Afbakening van het doel – Persoonlijke data mogen uitsluitend worden gebruikt voor duidelijke en rechtmatige doelen.
Afbakening van de opslag – Persoonlijke data worden niet langer opgeslagen dan noodzakelijk is.
De nieuwe wet gaat enorme impact hebben op de werk- en handelswijze in organisaties. Samengevat dienen ‘passende technische en organisatorische maatregelen’ genomen te worden voor de bescherming van privacy. Daar komt veel bij kijken. De oplossing voor een gedegen privacy beleid is drieledig:
1. Goede beveiliging van de IT-omgeving. Cybersecurity van je bedrijfsomgeving dient zo te zijn ingericht dat risico’s worden gemeden.
2. Van organisaties wordt verwacht dat er beleid en procedures worden gemaakt. Ook dienen documenten opgesteld te worden die afspraken met derden vastleggen.
3. Beleid en procedures opvolgen. Dat vereist organisatorische aanpassingen. Alle medewerkers dienen op de hoogte te zijn van de do’s en dont’s en hiernaar te handelen.
Inmiddels hebben wij veel commerciële bedrijven en (overheids)instanties GDPR compliant gemaakt. Onze aanpak hebben we laten juridisch laten toetsen en voldoet technisch, juridisch, beleidsmatig en procedureel aan alle strenge eisen. De GDPR-wetgeving is enerzijds een vereiste. Anderzijds kun je, als je compliant bent, je klanten en relaties melden dat je voldoet aan de wetgeving en dat zij er dus op kunnen vertrouwen dat je op een veilige en respectvolle manier met hun privacy gevoelige data omgaat.
Wij hebben specialisten in dienst die je kunnen helpen met dit vraagstuk. Hierdoor heb je één aanspreekpunt die je organisatie en haar werknemers op zowel beleidsmatig, technisch, organisatorisch als administratief vlak helpt om geheel privacyproof te worden én te blijven.
Wij begrijpen dat dit vraagstuk complex kan zijn. Daarom komen we graag, geheel vrijblijvend, bij je langs om dit onderwerp te bespreken. Samen bekijken en beoordelen we wat er voor je organisatie nodig is om datalekken te voorkomen, veilig persoonsgegevens te beheren en blijvend te voldoen aan deze nieuwe GDPR-wetgeving.
Goed om te weten: de Europese Unie heeft ook een nieuwe wet in het leven geroepen, die erop is gericht om vitale diensten in Nederland beter te beschermen tegen cyberaanvallen. Hierover lees je meer op de pagina NIS2 Cybersecurity Wet.
De Autoriteit Persoonsgegevens schrijft een 10 stappenplan voor dat uitgevoerd dient te worden om compliant te worden.
Wist je dat er ook een nieuwe cybersecurity wet actief wordt? De Europese Unie heeft namelijk besloten de cyberbeveiliging en weerbaarheid in de hele EU te versterken: De Raad neemt een nieuwe wetgeving aan. Meer informatie vind je hier: NIS2 Cybersecurity wet
Heb je een vraag over dit onderwerp of wil je meer informatie hierover? Wij helpen je graag. Neem contact met ons op voor meer informatie.