Naast de al langer bestaande Wet bescherming persoonsgegevens(Wbp) is sinds januari 2016 de meldplicht datalekken van kracht. In mei 2018 zal er nog een verandering plaatsvinden waardoor de regels rondom persoonsgegevens nóg strenger worden. De General Data Protection Regulation (GDPR) wordt dan namelijk ingevoerd. De invoering van deze nieuwe wet heeft nogal wat consequenties voor bedrijven. Zorg dat u er klaar voor bent.
De GDPR is een nieuwe Europese wet op het gebied van het verzamelen, verwerken en gebruiken van persoonsgegevens. Deze wet is bedoeld om de privacy van Europese burgers beter te beschermen. Burgers krijgen in feite het recht om zelf te bepalen wie welke gegevens van ze mogen hebben en waar deze vervolgens voor gebruikt mogen worden. Een goede zaak, maar wel met grote consequenties die u als bedrijf niet mag onderschatten.
Expliciete toestemming vereist
Straks mag u niet zomaar meer allerlei persoonsgegevens verzamelen en verwerken. U bent verplicht om per gebruiksdoel expliciet om toestemming te vragen aan de desbetreffende persoon. U mag deze data vervolgens alleen voor het omschreven doel gebruiken en dat moet u dan ook duidelijk en begrijpelijk omschrijven. Vraagt u bijvoorbeeld of u een e-mailadres mag gebruiken om een maandelijkse nieuwsbrief te versturen, dan heeft u niet automatisch toestemming om meteen ook aanbiedingen te versturen naar deze persoon. Daarnaast mag iemand zijn toestemming ook weer intrekken of kan om inzage gevraagd worden.
In specifieke situaties kan zelfs geëist worden dat u iemands gegevens volledig verwijdert, het zogenaamde ‘recht om vergeten te worden’.
Herleidbare gegevens
Het is belangrijk om te weten dat de GDPR van toepassing is op alle gegevens die mogelijk tot een individuele persoon herleid kunnen worden. Denk aan een naam, IP-adres, telefoonnummer, kenteken, maar ook aan cookies en identifiers van apparaten. Als u niet aan de verplichtingen voldoet, bent u strafbaar en kunt u strafrechtelijk vervolgd worden. Een boete kan oplopen tot vier procent van uw jaaromzet of tot een bedrag van maximaal twintig miljoen euro. En dan hebben we ht nog niet over de mogelijke reputatieschade die daarmee gepaard gaat.
De wetgeving is van toepassing op alle Europese burgers, ongeacht waar hun data wordt opgeslagen. Maakt u bijvoorbeeld gebruik van een clouddienst die de data mogelijk ergens buiten Europa opslaat, of een datacenter op een ander continent, dan moet u nog steeds aantoonbaar aan de verplichtingen van de GDPR voldoen.
Administratie
Behalve dat expliciete toestemming nodig is, moet u er alles aan doen om de persoonsgegevens te beschermen. De gegevens mogen natuurlijk niet verloren gaan, beschadigd raken, door ongeautoriseerde mensen worden ingezien, en ze moeten ook nog eens correct en actueel gehouden worden. Dat is een behoorlijke administratieve last. Verder mag u geen gegevens verzamelen die u niet nodig heeft voor de omschreven doeleinden en mogen privacygevoelige gegevens niet op straat komen te liggen.
Zodra de GDPR van kracht is moet u kunnen aantonen dat u aan de verplichtingen voldoet. Zoals dat u expliciete toestemming heeft om bepaalde persoonsgegevens vast te leggen, maar ook dat u er alles aan doet om deze gegevens optimaal te beschermen en dat u vooraf heeft uitgezocht welke acties nodig zijn mocht er onverhoopt iets misgaan. Periodieke risicoanalyses zijn daarom nodig om per datasoort te bepalen wat de risico’s zijn en wat je eraan moet doen om ze te minimaliseren.
Gegevens in kaart brengen
Het is essentieel dat u bedrijfsbreed zorgvuldig in kaart brengt welke soorten data er allemaal verzameld, opgeslagen en verwerkt worden. Aan de hand van deze inventarisatie kun u vervolgens bepalen welke acties er uitgezet moeten worden om op tijd aan de verplichtingen van de GDPR te voldoen.
Voor welke gegevens moet u bijvoorbeeld nog toestemming vragen. Is elke datasoort alleen toegankelijk door geautoriseerde afdelingen en functionarissen. Zijn er persoonsgegevens die u niet nodig heeft en dus niet mag hebben. Kan data geaggregeerd en geanonimiseerd worden zodat het niet meer onder de GDPR valt. Worden gegevens niet te kort en ook niet te lang bewaard. Om welke bedrijfssystemen, apparatuur van medewerkers, datacenters en cloud diensten gaat het. Maakt u gebruik van externe partijen die namens uw bedrijf privacygevoelige gegevens verwerken.
Privacy by design en privacy by default
Ook is het belangrijk om te weten dat privacy by design verplicht wordt. Alle systemen moeten zo ontworpen zijn dat al vanaf de tekentafel gedacht wordt aan de bescherming van de privacy. Daarnaast geldt privacy by default. Dit houdt in dat als gebruikers zelf ergens privacy instellingen kunnen aanpassen deze standaard al de hoogste graad van bescherming moeten bieden. U kunt dus niet alvast een paar vakjes aanvinken om uzelf meer mogelijkheden te geven, ook niet op bijvoorbeeld een inschrijfformulier.
Ook mobiele communicatie moet veilig en volgens de regels van de wet gebeuren
Altijd en overal bereikbaar is cruciaal voor uw bedrijfsvoering. Overal, 24-7 en liefst tegen zo laag mogelijke kosten. Tegenwoordig de normaalste zaak van de wereld. Maar al deze communicatie moet natuurlijk wel beveiligd zijn. Ook met het oog op de nieuwe privacywetgeving.
Lees meer over:
- Hoe makkelijk is hacken via Bluetooth: loopt u gevaar of valt dat wel mee?
- 9 tips om bedrijfsdata veilig te houden
- Bent u klaar voor GDPR, de nieuwe privacywetgeving, in 2018?
- Mobiele etiquette, “Hoe heurt het eigenlijk?”
Inclusief tips en ervaringen van collega’s!
Het doen van de inventarisatie van de gegevensverwerkingen is een belangrijke stap waarbij er inzichtelijk wordt gemaakt welke gegevensverwerkingen er worden uitgevoerd met persoonsgegevens. Tevens verzamel je dan alle andere benodigde detail-informatie voor de (verplichte) privacy administratie. Een risico analyse laat zien welke risico’s er worden gelopen en of er aanvullend onderzoek nodig is voor die verwerkingen met een extra groot risico. Een Plan van aanpak kan dan gemaakt worden voor de benodigde technische- en organisatorische maatregelen om te voldoen aan de GDPR. We raden ook sterk aan om ervoor te zorgen dat de mensen in de organisatie die verantwoordelijk / betrokken zijn bij de verwerking van persoonsgegevens op de hoogte zijn van de consequenties van de GDPR. Vergroting van het bewustzijn maakt de organisatie weerbaar. Niet alleen vermindert dat de kans op security-incidenten en datalekken, maar ook weten de medewerkers dan wat de consequenties zijn van de GDPR en hoe ze moeten handelen in het geval er een incident is of dreigt te ontstaan.
Ik heb een aanvullende vraag.
Wat zijn de best practices ten aanzien van privileged accounts. Met name bij ERP en BI systemen krijg je het privacy probleem met de rechten van beheerders en data analisten. Mogen zij wel alles zien?