Independent. Dynamic. Involved.
nlen

Is uw beveiligingsbeleid klaar voor de Algemene Verordering Gegevensbescherming?

Door Paul van Gool.  De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de General Data Protection Regulation, is op 24 mei 2016 door de Europese Unie aangenomen en zal vanaf 25 mei 2018 actief gehandhaafd worden. Tot die tijd hebben organisaties en instanties de tijd om te voldoen aan de verplichtingen beschreven in de AVG. Mochten verplichtingen beschreven binnen de AVG niet nageleefd worden, dan kan de Autoriteit Persoonsgegevens(AP) boetes opleggen van maximaal € 20.000.000,- of in sommige gevallen 4% van de wereldwijde jaaromzet.

De AVG, die de Wet bescherming persoonsgegevens gaat vervangen, stelt een aantal nieuwe eisen ten opzichte van vorige wetgevingen. Zo dienen organisaties te allen tijde een verwerkers-overeenkomst op te stellen met externe verwerkers, wordt de aanstelling van een privacy officer in sommige gevallen verplicht en dienen organisaties een grote hoeveelheid documentatie op te stellen om compliance aan te kunnen tonen. Tevens worden organisaties verplicht applicaties, infrastructuren en bedrijfsvoering in te richten op basis van de principes van Privacy by design en Privacy by default. De AVG brengt geen nieuwe aanvullingen op de meldplicht voor datalekken.

De verwerkersovereenkomst
In de Wet bescherming persoonsgegevens worden externe partijen die ondersteuning bieden met het verwerken en/of opslaan van persoonsgegevens bewerkers genoemd. In de AVG worden dit niet langer bewerkers, maar verwerkers genoemd. Met deze verwerkers dient er volgens de AVG een verwerkersovereenkomst afgesloten te worden. In de verwerkersovereenkomst dienen onder andere de volgende punten terug te komen:

  • Het type persoonsgegevens dat u verwerkt;
  • De doeleinden van het verwerken van persoonsgegevens;
  • De categorieën van betrokkenen op wie de gegevens van toepassing zijn;
  • De wijze waarop de persoonsgegevens beveiligd worden;
  • Afspraken over de uitvoering van periodieke audits;
  • De locatie waar de persoonsgegevens opgeslagen worden;
  • Het na afloop vernietigen of terug leveren van de gegevens aan de verantwoordelijke.

De privacy officer
Een van de grootste veranderingen ten opzichte van de Wet bescherming persoonsgegevens is de, in sommige gevallen, verplichte aanstelling van een onafhankelijke privacy officer. Deze functie mag zowel intern als extern aangewezen worden en dient toe te zien op de wijze waarop de verwerking van persoonsgegevens voldoet aan relevante wet- en regelgeving. De privacy officer wordt niet alleen verplicht voor overheidsinstellingen, ook organisaties die bijzondere persoonsgegevens verwerken of op grote schaal personen observeren dienen een privacy officer aan te stellen.

Het opstellen van documentatie
De AVG verplicht organisaties na te laten denken over informatiebeveiliging. Dit hoopt het te doen door organisaties verplicht documentatie op te laten stellen. Met behulp van een Privacy Impact Assessment (PIA) kan de hoeveelheid en het type persoonsgegevens dat verwerkt wordt vastgesteld worden. Op basis hiervan kan bepaald worden welke documentatie opgesteld dient te worden. Bij eventuele aanvullende documentatie kan gedacht worden aan het bijhouden van een register, het opstellen van een informatiebeveiligingsplan of een privacyverklaring. Op basis van een PIA wordt tevens vastgesteld welke organisatorische en technische maatregelen ten minste genomen dienen te worden om te kunnen voldoen aan relevante wet- en regelgeving. Tevens is het van belang dat de betrokkene correct geïnformeerd worden welke informatie van hun opgeslagen wordt en heeft de betrokkene het recht deze informatie in te zien, aan te laten passen of te laten verwijderen.

Het is van belang op te merken dat bevindingen en aanvullende securitymaatregelen op basis van bovengenoemde documentatie ook voor 25 mei 2018 doorgevoerd dienen te worden. Het is om die reden van belang dat organisaties op tijd starten met het opstellen van de documentatie en het doorvoeren van beveiligingsmaatregelen om boetes en eventuele andere gevolgen te voorkomen.

Privacy by design & Privacy by default
Elke organisatie die persoonsgegevens verwerkt dient zich volgens de AVG aan de principes van Privacy by design en Privacy by default te houden. Privacy by design betekent dat producten, diensten en processen dusdanig ontwikkeld dienen te worden dat de privacy van de betrokkene te allen tijde gewaarborgd blijft. Dit betekent onder andere het opslaan en transporteren van persoonsgegevens door middel van een hedendaags geaccepteerde vorm van encryptie verplicht wordt. Privacy by default heeft betrekking tot standaardinstellingen van een product of dienst, deze dienen standaard altijd zo privacy-vriendelijk mogelijk te zijn.

Nadelige gevolgen niet naleven privacywetgeving
Buiten de eerdergenoemde boetes zijn er ook andere gevolgen voor uw organisatie voor het niet correct naleven van de AVG en andere relevante privacywetgevingen. De maatschappij gaat steeds meer waarde hechten aan haar privacy. Bedrijven die niet correct omgaan met de privacy van hun klanten krijgen steeds meer negatieve aandacht. Dit leidt onder andere tot gezichtsverlies en het verlies van klanten. Ook binnen ISO-certificeringen wordt een steeds groter belang gehecht aan de beveiliging van (persoons)gegevens. Om die reden is het correct beveiligen van uw informatie van belang voor het verkrijgen of verlengen van een ISO-certificering.

Tevens zijn kwaadwillenden geïnteresseerd in de persoonsgegevens die uw organisatie beheert. Deze zijn niet alleen veel geld waard op de zwarte markt, kwaadwillenden kunnen u ook afpersen voor het niet publiceren van deze gegevens. Mochten gegevens onverhoopt gelekt worden, kunnen getroffen personen uw organisatie verantwoordelijk stellen voor eventuele schade.

Uw voorbereidingen
Wat betekent de AVG voor uw huidige beveiligingsbeleid? Heeft u voldoende maatregelen getroffen om te voldoen aan deze wetgeving? Wij helpen u graag bij het bepalen welke acties u ter voorbereiding kunt nemen aan de hand van ons unieke Security Alignment Maturity Model. Een specifieke ‘GDPR readiness check’ behoort ook tot de mogelijkheden, waarmee specifiek de criteria en aspecten van de AVG worden getoetst. Neem contact op via sales.nl@traxion.com om de mogelijkheden voor uw organisatie te bespreken of bel ons op 0418-653883.

Confidental Infomation