AVG seminar Féju groot succes

Op 25 mei 2018 wordt de Europese privacywetgeving ingevoerd: de Algemene Verordening Gegevensbescherming (AVG) of in het Engels General Data Protection Regulation. Deze GDPR vervangt de Wet bescherming persoonsgegevens (Wbp) en geldt voor alle organisaties die persoonsgegevens verwerken. Omdat er in het mkb veel vragen zijn over dit onderwerp, organiseerde Féju ICT Groep & Telecommunicatie op 25 januari het ‘Seminar nieuwe privacywetgeving’.

De bijna 100 aanwezigen werden in het Koning Willem II Stadion ontvangen door de charmante dagvoorzitter Patty Pit. Na de ontvangst met koffie stelde zij het panel voor:

• Anske Jongsma, IT Controller bij HLB Van Daal Accountants
• Leonard Bijlsma, advocaat gespecialiseerd in AVG bij MannaertsAppels Advocaten
• John Veldhuis, adviseur beveiligingsoplossingen bij Sophos
• Albert Jakobsen, IT-adviseur en directeur van de Féju Groep.

AVG relevant voor ieder bedrijf

Door middel van een confronterende video werd iedereens aandacht meteen gegrepen en was de noodzaak van privacy van persoonsgegevens meteen duidelijk voor de hele zaal. Dat de nieuwe AVG-wetgeving voor ieder bedrijf geldt, maakte Leonard Bijlsma al snel duidelijk: “Persoonsgegevens zijn alle gegevens die direct of indirect te herleiden zijn tot een persoon. Wanneer een bedrijf deze gegevens verwerkt, is de wet daarop van toepassing. En verwerken dat is opslaan, doormailen, aanpassen; dat doe je dus al heel snel.”

Gegevens niet onnodig opslaan

Persoonsgegevens waarvan je de wettelijke plicht hebt om te in bezit te hebben, daarvoor geeft de AVG richtlijnen hoe ermee om te gaan. De wet stelt dat er altijd een duidelijk doel moet zijn voor het vastleggen van persoonsgegevens. Wanneer je gegevens vastlegt die je niet (meer) nodig hebt, dan overtreed je daarmee de wet. Het panel adviseerde daarom heel duidelijk om niet meer data te bewaren dan strikt noodzakelijk is. En om regelmatig te controleren of gegevens nog nodig zijn: wanneer bijvoorbeeld een medewerker uit dienst gaat, zullen zijn persoonsgegevens verwijderd moeten worden van alle apparaten: van computers, laptops en de server, maar ook uit de cloud, uit mailboxen en van usb-sticks.

Datalek gevaar

Een datalek is elke situatie waarbij persoonsgegevens zijn verwerkt zonder dat er een geldige reden aan ten grondslag lag. Binnen 72 uur nadat een datalek heeft plaatsgevonden, dient de organisatie die hiervoor verantwoordelijk is, een melding te maken bij de Autoriteit Persoonsgegevens (AP). Een datalek is een gevaar dat in een klein hoekje zit, zo legde Albert Jakobsen uit: “Een medewerker die zijn usb-stick kwijtraakt, een laptop die gestolen wordt, een adressenbestand dat naar de verkeerde persoon wordt gemaild: dat kan iedereen overkomen. Dat is heel moeilijk te voorkomen.” Het advies van advocaat Bijlsma: “Je zou als bedrijf ernaar moeten streven dit zo veel mogelijk in eigen hand te houden. Spreek bijvoorbeeld met collega’s af dat ze nooit iets werkgerelateerds doormailen naar hun privé mailadres. En ze kunnen beter geen zakelijke mail ontvangen op hun privé telefoon. Daar zou je beleid van moeten maken.”

Flinke boetes

Alle datalekken moeten gemeld worden. Of een datalek dan ook meteen een boete betekent, hangt af van de gevoeligheid en de impact van de gelekte informatie. Bijvoorbeeld: hoeveel consumenten of organisaties ervaren de consequenties van het datalek? De boetes die aangekondigd zijn, liegen er niet om: een kleine overtreding kan een boete opleveren van maximaal 2% van de (wereldwijde) omzet van een bedrijf, tot een maximum van 10 miljoen euro. Bij grote overtredingen wordt gesproken over 4% en 20 miljoen.

Praktische adviezen

De aanwezigen in de zaal, zoals een ondernemers met een uitzendbureau, een zorgorganisatie, of een bouwbedrijf, beseffen dat ze aan de slag moeten met deze wet. Gelukkig geeft het panel hen veel bruikbare tips:

Leonard Bijlsma: “Bedenk eens hoeveel oude cv’s er nog opgeslagen zijn in uw organisatie. Daarin staan veel persoonsgegevens, dus dat kan grote problemen veroorzaken. Begin eens met dat op te schonen, dan hoef je je al niet meer zo druk te maken. Daarnaast is het goed om een DPIA uit te voeren: een Data Protection Impact Assessment. Daarmee breng je de risico’s in kaart.

John Veldhuis: “Het is niet verboden om data in je bezit te hebben of te verwerken, je moet het vooral heel goed beveiligen. Denk bijvoorbeeld aan e-mail encryptie: daarmee is een mail alleen leesbaar voor degene voor wie de mail bedoeld is.”

Albert Jakobsen: “Besef dat je als ondernemer zelf altijd verantwoordelijk bent voor de gegevens in je bedrijf. Maar ook voor de gegevens van jouw medewerkers die worden verwerkt door je accountant en door andere leveranciers. Daarom is het belangrijk hen een goede verwerkersovereenkomst te laten ondertekenen.”

John Veldhuis: “Ook ransomware is een datalek. Zorg daarom dat je een goede ransomware voorziening hebt. Maak heel regelmatig goede backups en test die ook. Zorg dat je gegevens versleuteld opslaat, zodat anderen er niets mee kunnen. En je bent wettelijk verplicht om je medewerkers bewust te maken van de risico’s. Stuur hen eens een phisingmail: wie er in trapt en op de link klikt, wordt uitgenodigd voor een training.

Na 90 minuten vragen uit de zaak en antwoorden van het panel, rondt Patty Pit de discussie af en nodigt ze de aanwezigen uit voor de borrel: “De bitterballen liggen al in het vet”. Eén dame in de zaal wil nog even het woord: “Ik wil Féju en de panelleden heel erg bedanken voor de informatie. Het was echt heel interessant. Ik denk dat iedereen in de zaal zich er bewust van is geworden dat we hier echt heel serieus mee bezig moeten gaan zijn.” Dat was precies de bedoeling van het seminar.

Meer informatie?

Een uitgebreide uitleg van de AVG vindt u in dit document: General Data Protection Regulation uitgelegd door Féju.

Op de website van de Autoriteit Persoonsgegevens zijn heel veel praktische antwoorden te vinden op vragen die spelen in het mkb. U vindt daar bijvoorbeeld een stappenplan om u voor te bereiden op de AVG.

Verder adviseren wij u graag over de IT-gerelateerde zaken van dit onderwerp. Ook kunnen we bijvoorbeeld meedenken over bepaalde processen waarbij automatisering er juist voor kan zorgen dat menselijke factoren beperkt kunnen worden. Neem contact op via 013- 511 50 88 of info@feju.nl.