Nieuwe Europese privacy wetgeving
Met dit artikel wil Féju haar relaties informeren over de Algemene Verordening Gegevensbescherming (AVG, in het Engels GDPR) waarbij de belangrijkste regels aan bod zullen komen.
Nieuwe Europese privacy wetgeving, wat betekent dat voor uw organisatie?
Daar waar veel organisaties druk bezig zijn om in te lezen en te spelen op de nieuwe Wet Meldplicht Datalekken, staat de volgende grote verandering alweer voor de deur. Op 25 mei 2018 wordt de Europese privacywetgeving van kracht die de Nederlandse wetgeving vervangt. In een eerder artikel hebben wij uitgebreid stilgestaan bij de huidige privacywetgeving. In dit artikel willen we ook een korte samenvatting geven over de huidige privacywetgeving (Wbp), waarna we meer in detail ingaan op de nieuwe Europese wetgeving.
Huidige privacywetgeving (samenvatting)
De Wbp geeft in Nederland het kader voor het gebruik van persoonsgegevens. Een persoonsgegeven is elk gegeven dat direct of indirect herleidbaar is naar een natuurlijk persoon.
Voor de verwerking van persoonsgegevens geldt:
– Je mag ze alleen vastleggen als ze strikt noodzakelijk zijn voor de uitvoering van de dienst of overeenkomst;
– Persoonsgegevens mag je niet gebruiken voor andere doelen dan waar je ze initieel voor hebt gekregen;
– Bijzondere persoonsgegevens mogen überhaupt niet worden vastgelegd (behalve in uitzonderlijke in de wet omschreven situaties);
– Gebruik van persoonsgegevens in niet-productieomgevingen (bijvoorbeeld test-, analyse- of demo-omgevingen) is niet toegestaan.
Het niet naleving van deze regels betekent dat een organisatie zich niet aan de wet houdt en strafbaar is. De maximale sanctie bij een overtreding bedraagt 820.000 euro (of in uitzonderlijke gevallen 10% van de jaaromzet). Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld.
De Wet Meldplicht Datalekken is een integraal onderdeel van de Wbp. Hierin worden aanvullende voorwaarden gesteld aan het omgaan met een datalek. De sancties voor een datalek zijn verder gelijk aan de normale sancties die kunnen worden opgelegd vanuit de Wbp.
Nieuwe Europese privacywetgeving per 25 mei 2018
Na jarenlange onderhandelingen is op 14 april 2016 de nieuwe Europese privacywet aangenomen. In deze General Data Protection Regulation (GDPR), is vastgelegd welke regels vanaf 2018 binnen de hele EU gaan gelden op het gebied van privacy. De GDPR vervangt nationale wetgeving en geldt voor alle organisaties die persoonsgegevens verwerken. Er is al veel geschreven over de GDPR maar in dit artikel proberen we een heldere samenvatting te geven van de belangrijkste onderdelen van deze wetgeving. De lidstaten hebben afgelopen 2 jaar de GDPR kunnen implementeren in eigen land, waarbij vele organisaties zeker nog niet op orde zijn. In de resterende tijd tot 25 mei 2018 kan er op details nog iets veranderen, maar het algemene beeld staat vast.
De belangrijkste punten uit de AVG / GDPR zijn:
Samenvatting
De afgelopen periode is de wetgeving op het gebied van privacy al fors aangescherpt, maar met de aanstaande invoering van de GDPR wordt het opnieuw strenger. Van organisaties wordt verwacht dat zij zichtbaar maken dat zij zorgvuldig omgaan met persoonsgegevens.
Organisaties moeten bijvoorbeeld laten zien dat:
– Zij slechts de absoluut minimale set aan persoonsgegevens vastleggen;
– Er een duidelijk doel ten grondslag ligt aan de verwerkte persoonsgegevens;
– Consumenten/organisaties te allen tijde inzicht hebben in de van hen vastgelegde gegevens;
– Er ondubbelzinnige toestemming is van de betrokken consument of organisatie om de gegevens te verwerken;
– Deze toestemming op elk moment ingetrokken kan worden;
– Er bij voorkeur getest of beter nog, gewerkt wordt met gepseudonimiseerde (gemaskeerde) data;
– De omvang van de gebruikte testset aansluit bij het beoogde doel.
Het niet naleven van de GDPR kan worden bestraft met een sanctie van 4% van de wereldwijde omzet of 20 miljoen euro (de hoogste sanctie geldt). Onze verwachting is dat de GDPR voor veel organisaties aanleiding zal zijn nog eens kritisch te kijken naar hoe zij nu omgaan met persoonsgegevens.
– Hoe wordt software bijvoorbeeld ontworpen en getest?
– Maskeer je bijvoorbeeld de persoons en-/of bedrijfsgegevens van uzelf maar ook van uw relaties?
– Wat als mijn laptop, tablet of smartphone gestolen worden of kwijt raakt? Is dit een datalek of een bedrijfsrisico?
– Is het plaatsen van gevoelige gegevens in Onedrive, Dropbox of andere “onbeschermde” consumentoplossing wel zo verstandig?
Belangrijke kern -en trefwoorden in het geheel zijn:
– Awareness; oftewel bewustwording van risico’s om omgaan met data van uzelf en anderen
– Procesanalysering
– Data en apparaat encryptie (bestandsencryptie en versleutelen van hardware)
– Email encryptie
– 2e factor authenticatie; naast uw username en wachtwoord, gebruik van unieke code.
– Lokaliseren en logging van data
– Preventie tegen cybercrime;
– Next-Generation firewalls
– Endpoint bescherming, Anti-virus en Anti-Ransomware
– Server bescherming, Anti-virus en Anti-Ransomware
– Mobiele bescherming
– En nog vele andere optimalisaties…
Meer weten?
Deze vragen en kernwoorden worden steeds relevanter naarmate de datum van 25 mei 2018 dichterbij komt. Féju gaat graag met u om tafel om IT-gerelateerde zaken met u door te nemen. Naast IT, kunnen wij ook meedenken op gebied van bepaalde processen waarbij automatisering er juist voor kan zorgen dat menselijke factoren beperkt kunnen worden. Neemt u contact met ons op voor meer informatie, bijvoorbeeld door te bellen.
