fbpx
<  Terug naar nieuwsoverzicht


02/02/2018

General Data Protection Regulation (GDPR): bent u al klaar voor 25 mei 2018?

Vanaf 25 mei 2018 is in de gehele Europese Unie de General Data Protection Regulation (GDPR) – ook wel Algemene Verordening Gegevensbescherming (AVG) genoemd – van kracht. Vanaf dat moment dienen alle organisaties die werkzaam zijn in de EU te voldoen aan deze nieuwe privacywetgeving. 

De nieuwe regelgeving zorgt voor ingrijpende administratieve en beleidsmatige wijzigingen, maar ook organisatorische en technische maatregelen. Om in mei 2018 te voldoen aan de nieuwe regulering, is het verstandig tijdig te starten met de juiste voorbereidingen. 

GDPR, wat is dat exact?

De General Data Protection Regulation (GDPR) is de nieuwe Europese privacyverordening die persoonsgegevens en de privacy van de burger moet beschermen. Door ondernemingen te dwingen met beleid om te gaan met data wil de EU haar burgers in bescherming nemen tegen verlies en diefstal van deze persoonsgegevens. Vanaf 25 mei 2018 geldt dezelfde privacywetgeving in de gehele EU en moeten alle organisaties die ondernemen in de EU voldoen aan de GDPR, in Nederland ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd.

Achtergrond van de GDPR

Door de ongelofelijk snelle ontwikkeling van technologie is er steeds meer mogelijk. Er ontstaan bijvoorbeeld in zeer korte tijd compleet nieuwe businessmodellen. Het sleutelwoord hier is veelal data: informatie van of over iets of iemand. Tot de verbeelding sprekende voorbeelden zijn natuurlijk Google en Facebook of Uber en Airbnb. De laatste twee zijn veruit de grootste in hun markt zonder dat zij ook maar één taxi of appartement bezitten. Maar ook op veel kleinere schaal gebeurt er heel veel. Het probleem is dat de wetgeving tot voor kort hier enorm op achterliep.  Hierdoor kwam een essentieel grondrecht van iedere EU burger in gevaar: het recht op privacy.

De EU heeft daarom de GDPR-wetgeving ontwikkeld. Zij heeft zich hiervoor gebaseerd op de basis privacyprincipes zoals deze zijn vastgelegd door de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO).
Er is hierbij goed gekeken naar zowel de positieve kanten, als ook de nadelen van digitalisering. Denk aan de inbreuk op de rechten van de mens, de risico’s van datalekken, cybercriminaliteit, identiteitsfraude en het risico van de kwetsbaarheden die ontstaan.

Inhoud GDPR wetgeving

De GDPR betekent onder anderen:

  • Versterking en uitbreiding van privacyrechten van burgers en klanten
  • Meer verantwoordelijkheden voor bedrijven
  • Dezelfde, stevige bevoegdheden voor Europese toezichthouders

Lees er meer over op de website van de Autoriteit Persoonsgegevens.

De nieuwe privacyregelgeving dwingt bedrijven om na te denken over een passende beveiliging van persoonsgegevens. Enkele hoofdlijnen zijn:

  • Persoonsgegevens mogen enkel gebruikt worden voor het doel waar de informatie van origine voor verzameld is.
  • Organisaties moeten exact weten welke bestanden met persoonsgegevens in hun bezit zijn en worden beheerd.
  • Bedrijven moeten vastleggen hoe de beveiliging van persoonsgegevens worden geborgd.
  • Ondernemingen moet weten welke rechten de personen hebben van wie de gegevens zijn verzameld.
  • Een zogeheten Privacy Impact Assessment zal moeten worden gedaan. Dit is een inschatting van de risico’s bij de verwerking van persoonsgegevens.
  • Organisaties zijn verplicht een functionaris voor gegevensbescherming (FG) aan te stellen.
  • Organisaties dienen vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen te kunnen garanderen.

Meldplicht datalekken

Op het moment dat een organisatie getroffen is door een datalek, dient deze direct een melding te doen bij de Autoriteit Persoonsgegevens (AP). Deze meldplicht is sinds 1 januari 2016 van kracht en is verplicht voor alle bedrijven in Nederland. Deze meldplicht verandert met de nieuwe wetgeving niet. Wat echter wel veranderd zijn de boetes die kunnen worden opgelegd. Deze kunnen onder de nieuwe privacywet namelijk oplopen tot miljoenen euro’s.

Wat betekent dit voor uw bedrijfsprocessen en bedrijfsvoering?

U kunt er vanuit gaan dat iedere organisatie actie moet ondernemen, omdat  bij de inrichting van uw organisatie en uw IT-omgeving, maar ook met de stand van de techniek, er nooit rekening is gehouden met de uitgangspunten zoals die nu gelden. De GDPR-wetgeving is namelijk heel streng; het doel is Privacy by Design. Als je hier goed naar kijkt en die principes goed uitvoert en doortrekt kan dit ook resulteren in een ICT-omgeving die is ontworpen met Security by Design in plaats van security als sluitstuk. Dat is wellicht een behoorlijke ingreep, maar ook heel relevant, gelet op alle bedreigingen die er nu zijn en het feit dat informatie steeds meer over de cloud verspreid wordt. Wij zien nu ook dat veel bestaande technologie hier niet in mee kan. De fabrikanten ontwikkelen in hoog tempo nieuwe mogelijkheden om te voldoen aan de nieuwe wetgeving en de nieuwe werkelijkheid. Dit doen zij als eerste voor de cloud. Daarmee wordt of is cloud een veiliger platform dan de traditionele IT-omgeving bij u op locatie of in uw datacenter.

Hoe kan WilroffReitsma u ondersteunen?

De GDPR is op 25 mei 2016 in werking getreden. Tot 25 mei 2018 hebben bedrijven de mogelijkheid gekregen maatregelen te treffen om tijdig compliant te zijn met de nieuwe privacywet. Dit betreft zowel beleidsmatige, organisatorische als technische wijzigingen en maatregelen.

Gezien de korte termijn tot de nieuwe wetgeving van kracht gaat is het zaak dat bedrijven nu in actie komen om aan de GDPR te voldoen. Om organisaties te kunnen adviseren heeft WilroffReitsma een scan ontwikkeld waarin organisaties een strak stappenplan met maatregelen krijgen overlegd om tijdig compliant te worden aan de nieuwe regelgeving.

Download de onepager voor meer informatie!






2018-03-15T18:44:39+00:00