General Data Protection Regulation

Bent u voorbereid?

De EU heeft de ‘General Data Protection Regulation’ (GDPR) of de ‘Algemene Verordening Gegevensbescherming’ (AVG) ingevoerd om de wetgeving rond databescherming te standaardiseren. Weinig bedrijven weten wat deze nieuwe EU wetgeving precies inhoudt en zijn hier bijgevolg niet of onvoldoende op voorbereid.

Deze wetgeving wordt pas van kracht op 25 mei 2018, tijd genoeg dus om je bedrijf voor te bereiden op de GDPR of AVG wet. Deze wijzigingen gebeuren niet in één dag, dus plan deze goed in!

GDPR

 

Wat houdt de General Data Protection Regulation EU wetgeving precies in?

De GDPR is een herziening van de Europese wetgeving van 1995. Deze wetgeving werd door iedere Europees Lidstaat anders geïnterpreteerd, wat voor onduidelijkheid zorgt. Door de laatste ontwikkelingen omtrent ‘cloud’ en ‘social media’ was deze wetgeving verouderd. Hierdoor is de GDPR tot stand gekomen.

 

De General Data Protection Regulation heeft 4 grote pijlers:

 

1.    Data overdracht

Personen zullen hun persoonsgegevens kunnen overdragen van de ene dienstverlener naar de andere. Dit komt vooral van pas als een persoon van maatschappij wijzigt (bijvoorbeeld van elektriciteitsmaatschappij, internetprovider, telecom,…). Hierdoor moeten de persoonsgegevens niet telkens opnieuw gevraagd worden aan de gebruiker.

 

2.    Transparantie

Bedrijven zijn verplicht om personen te informeren hoe de data wordt bijgehouden.

 

3.    Recht om vergeten te worden

Bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie hierom vraagt, ook als de persoonsgegevens zijn gedeeld met een derde partij. Vele bedrijven houden nu nog steeds persoonsgegevens bij, zelfs wanneer de persoon zijn account heeft verwijderd.

 

4.    Meldplicht bij datalekken

Bedrijven zijn verplicht om een datalek te melden en dit binnen de 72 uur, enkel wanneer het datalek een gevaar vormt voor de persoonsgegevens.

Bedrijven worden verondersteld om exact te weten waar de persoonsgegevens worden bewaard en op welke manier deze zijn beveiligd.  Hiervoor wordt best een security audit uitgevoerd, waar GDPR een onderdeel van is.

 

Wat als GDPR niet wordt nagestreefd?

Bedrijven die geen maatregelen genomen hebben om de General Data Protection Regulation na te leven kunnen hiervoor een zware boete ontvangen. Wanneer er geen transparantie of meldplicht toegepast wordt of wanneer de verzamelde persoonsgegevens niet werden beschermd, kan de boete oplopen tot 2% van de jaarlijkse omzet.

Voor gevallen waar er misbruik werd gemaakt en schade aan derden werd toegebracht, kan deze tot 4% van de jaarlijkse omzet, ofwel maximum 20 miljoen euro, oplopen.

 

Welke stappen moet u ondernemen om in regel te zijn?

 

1.    Ga na waar de persoonsgegevens staan en door wie deze gebruikt worden

Dit is misschien voor de hand liggend, maar het kan echter zijn dat bepaalde gegevens op een andere locatie ook bewaard worden.  Dit kan zowel digitaal zijn, als fysiek (tapes, USB sticks, locatie bij partners of medewerkers,…). 

Ga ook na wie allemaal toegang heeft tot deze data en of deze personen wel toegang nodig hebben.

 

2.    Procedure na een data breach

Zorg voor een actieplan wanneer de persoonsgegevens zijn gelekt na een data breach. Wie neemt contact met de nodige personen op (authoriteiten, partners,…)? Als de data breach kritisch was, wie neemt contact op met de pers en welke statements worden gegeven?

Uiteraard moet het datalek ook gevonden en gedicht worden. Daarnaast is het van uiterst belang dat de schade in kaart wordt gebracht.

 

3.    Algemene bescherming van de organisatie

Zorg voor volledige veiligheid van uw netwerk. Een hacker heeft maar één security lek nodig om binnen te geraken en data te stelen. Zorg voor een goede security audit om alle data zo goed mogelijk te beschermen en dit minstens 1 à 2 keer per jaar.

 

4.    User awareness training

Door de EU wetgeving GDPR ligt de verantwoordelijkheid bij de bedrijven zelf en niet meer bij de overheid. Hierdoor moet niet alleen het netwerk beschermd worden, maar moeten de gebruikers ook meer bewust gemaakt worden over de mogelijke gevaren.

Idealiter volgen keypersonen een ‘User Awareness Training’ om mogelijke gevaren te leren herkennen, alsook bewuster met data te leren omspringen.

 

Wil je starten met de voorbereidende stappen: contacteer ons voor een security audit.