GDPR

GDPR, wie heeft er niet van gehoord? Je kunt er niet omheen, iedereen heeft het er over. Wat het is en dat je met alleen een virussccanner niet ver komt, zal ik je proberen uit te leggen.

Meldplicht datalekken

Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Dit houdt in dat bedrijven en overheden een melding dienen te doen bij de Autoriteit Persoonsgegevens zodra zij een datalek hebben. Tevens dient er in veel gevallen ook melding gedaan te worden bij de personen waarvan de data (mogelijk) is gelekt. Een melding dient binnen 72 uur gedaan te worden.

GDPR

Er komt ook een Europese regulering aan, die nog net wat verder gaat dan de meldplicht datalekken.

Vanaf 25 mei 2018 gaat de nieuwe Europese privacywet in, de Algemene Verordening Gegevensbescherming (AVG) oftewel General Data Protection Regulation (GDPR). Ondanks dat de meldplicht datalekken blijft bestaan, verandert er mogelijk toch ook iets jou. In de nieuwe Europese wetgeving staan veel regels waar we rekening mee dienen te houden.

GDPR gaat over de opslag en verwerking van gegevens. We hebben de belangrijkste regels zo eenvoudig mogelijk proberen te beschrijven in 10 punten. De regels gelden voor iedere organisatie die op grote schaal persoonsgegevens beheert en verwerkt.
Het allerbelangrijkste is denk ik dat alle medewerkers die hiermee te maken hebben bewust gemaakt worden van deze regels.

  1. Ieder persoon waar je data over op wilt slaan, dient daar zelf toestemming voor te geven.
  2. Je dient aan te geven welke data je op wilt slaan en met welke reden.
  3. Ieder persoon waarover je data opslaat heeft recht op inzage van de data.
  4. Data mag niet onbeperkt bewaard blijven.
  5. Je communiceert met ieder persoon over wie je data opslaat, met welke organisaties je de data deelt.
  6. Als je gevraagd wordt gegevens te verwijderen of te wijzigen dien je dit ook te doen bij de organisaties waarmee je ze hebt gedeeld.
  7. Recht op dataportabiliteit. Hierbij moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen om met andere organisaties te delen.
  8. Je dient een bewerkingsovereenkomst te sluiten met andere organisaties als je data wil delen.
  9. Het is de verantwoordelijkheid van de organisatie om te zorgen dat data niet lekt of wordt misbruikt.
  10. Je blijft verantwoordelijk over de persoonsgegevens die je opslaat en/of verwerkt. Tevens ben je verplicht te controleren of de organisaties waarmee je de bewerkingsovereenkomst sluit dat deze de persoonsgegevens zorgvuldig beschermen tegen onbedoelde toegang.

 

Het is belangrijk dat je de nieuwe regels naleeft. Anders riskeert jouw organisatie een boete tot wel € 20 miljoen euro, of 4 procent van je jaarlijkse wereldwijde omzet.

Buiten dat, het belangrijkste is dat je als bedrijf aan kunt tonen dat je zoveel mogelijk maatregelen hebt getroffen om datalekken te voorkomen. Oftewel, om te zorgen dat de opgeslagen gegevens veilig zijn. En daarom is een up to date virusscanner al lang niet meer voldoende.

In deze tijd, waarin we mobieler zijn dan ooit, neemt bijna elke werknemer wel gegevens ‘mee’. Ik bedoel hiermee dat iedereen die op afstand kan werken, door bijvoorbeeld het verliezen een device, een datalek kan veroorzaken. We gaan er van uit dat  werknemers over het algemeen niet opzettelijk een datalek veroorzaken. Iedereen kan nu eenmaal slachtoffer worden van een diefstal, of per abuis een telefoon, laptop of zelfs USB stick verliezen of ergens laten liggen.

Het is vrijwel onmogelijk om datalekken geheel te voorkomen, maar er zijn ook veel dingen die je wel kan doen om de kans kleiner te maken. Natuurlijk moet standaard in een arbeidsovereenkomst staan dat een medewerker zorgvuldig met de gegevens en gegevensdragers om moet gaan. Maar een ongeluk zit in een klein hoekje, dus dit is niet voldoende.

Aanvullende maatregelen kunnen zijn:

  • Multi factor authentication (alleen inloggen met een gebruikersnaam en wachtwoord is dan niet voldoende)
  • Encryptie van gegevens verplicht stellen, ook voor USB sticks
  • Vergrendelen en ontgrendelen van devices centraal reguleren (binnen welke tijd automatisch vergrendelen, lengte wachtwoord, biometrische ontgrendeling wel of niet toestaan etc)
  • Centrale maatregelen bij verlies, diefstal of uitdiensttreding

Uiteraard zijn dit zaken die de specialisten bij PHC met je door kunnen nemen en voor je kunnen regelen. Ben jij klaar voor GDPR? Wij zijn klaar voor morgen en helpen je graag om dat ook te zijn!