(Geen?) paniek, de Algemene Verordening Gegevensbescherming komt er aan! (maar daar moet je wel wat voor doen)

Vermoedelijk is het bij u al bekend: Vanaf 25 mei 2018 is iedere organisatie verplicht te voldoen aan de Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Hierover wordt binnen “het vakgebied” veel herrie gemaakt. Waarbij veel kreten te horen zijn in de trant van “koop ons product, anders voldoet u niet aan de wet en krijgt u een heel hoge boete!”. Dit heeft natuurlijk een enorm FUD-gehalte (fear, uncertainty and doubt).

Maar waar gaat deze wetgeving eigenlijk over? De AVG zorgt ervoor dat de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt) wordt verstevigd. Mensen krijgen nieuwe privacyrechten en bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Daarnaast is in veel gevallen expliciete en ondubbelzinnige toestemming van betrokkenen vereist voor het verwerken van hun gegevens.

De AVG stelt verder dat organisaties onder andere passende technische en organisatorische maatregelen moet nemen om verwerkte persoonsgegevens te beschermen. Welke dat precies zijn wordt niet vermeld (wat ruimte laat voor de eerder genoemde FUD). De toezichthoudende partij in Nederland is de Autoriteit Persoonsgegevens. Deze organisatie handhaaft namens de Nederlandse overheid en is bevoegd boetes uit te delen.

“Wat een gedoe”, denkt u misschien. “Kan ik ook niets doen en afwachten wat er gebeurt en later maatregelen nemen?” Helaas… wat wel duidelijk is: niets doen is geen optie! Zorg dat uw organisatie is voorbereid op deze gewijzigde wetgeving.

Is het voldoen ingewikkeld? Dat hangt er vanaf. De Autoriteit Persoonsgegevens doet zijn best u te helpen. Onder andere is een 10-stappenplan opgesteld om inzicht te geven in wat er moet gebeuren. Het 10-stappenplan biedt toelichting, maar geen inhoudelijke stap-voor-stap handleiding, maar geeft wel inzicht in de impact van deze wetgeving op uw organisatie. De stappen uit het plan zijn:

1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Privacy impact assessment (PIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Verwerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming

Is dit stappenplan verplicht? Nee, maar het raakt op hoofdlijnen wel de belangrijkste onderwerpen. Inhoudelijke hulp nodig? Laat het ons weten!

SecVision, specialist in informatiebeveiliging en privacy

Uitgelicht

Welkom bij SecVision, specialist op het gebied van informatiebeveiliging en privacy. Op deze pagina vindt u onze blogs. Verder kunt u hier kennismaken met ons en onze diensten. We vinden het leuk als u contact met ons opneemt! We drinken graag een kop koffie of thee met u om te bespreken wat we voor u en uw organisatie kunnen betekenen.

Zoekt u hulp bij security en privacy? We helpen u graag met vraagstukken op het gebied van ISO27001, ISO27002, NEN7510, CIS Controls en AVG/GDPR (Algemene Verordening Gegevensbescherming / General Data Protection Regulation).

Help, onze bedrijfsgegevens zijn gegijzeld!

Stel je eens voor, je komt ’s morgens op je werk en het hele bedrijf zit op slot en de sloten zijn vervangen. Zelfs met een breekijzer kom je er niet meer in. Je kan niet meer bij je spullen, niet bij je apparatuur, niet bij je documenten, niet bij je contracten, niet bij je administratie, niet bij je voorraad onderhanden werk, niet bij je productieplanning, etc. Ondenkbaar? In de “fysieke” wereld misschien wel.

Maar het komt steeds vaker voor dat bedrijven slachtoffer worden van ransomware: een soort virus dat alle bestanden versleutelt met een voor jou onbekend wachtwoord. En tegen betaling van een bepaald bedrag krijg je het wachtwoord om je gegevens te ontsleutelen. Zowel particulieren als kleine en grote bedrijven en organisaties hebben hier last van. Wat doe je? Betaal je?

Of een ander scenario: je krijgt een bericht vanuit obscure hoek: we hebben je klantenbestand gestolen. Of andere gevoelige informatie. En als je niet binnen 48 uur geld betaalt, zetten we die bestanden publiekelijk op internet. Wat doe je? Betaal je?

Binnen informatiebeveiliging is Business Continuity een veel besproken onderwerp. Maar dan wordt er vaak rekening gehouden met rampen als brand, storm en dergelijke. Hooguit wordt er nog nagedacht over een mislukte back-up en dat die regelmatig getest moet worden. Maar wat als je data wordt gegijzeld door cybercriminelen? Wat doe je? Betaal je? Of heb je van tevoren nagedacht over dit soort scenario’s en kun je hier op een verantwoorde manier mee omgaan? Of liever: kun je dit voorkomen?

Dat betekent wel dat je van tevoren maatregelen moet nemen. Zorg dan ook dat je de risico’s van je organisatie kent en passende maatregelen neemt tegen de risico’s die je organisatie loopt. Voorkomen én genezen :-).