Veel KMO’s en grote bedrijven worden geconfronteerd met een nieuwe regelgeving op het vlak van bescherming van hun gegevens, maar vinden nergens duidelijke informatie omtrent de stappen die ondernomen moeten worden om aan die regelgeving te voldoen.
De nieuwe regelgeving rond GDPR (General Data Protection Regulation) of ook Algemene Verordening Gegevensbescherming (AVG) genoemd, gaat in op 25 mei 2018.Waarom? Voor de bescherming van persoonlijke data van de Europese burger tegen hackers en datalekken. Voor wie? Iedereen die persoonsgegevens verzamelt en gebruikt.
De regelgeving heeft zes basiselementen:
- Transparantie over verwerking en gebruik van persoonsgegevens
- Beperking van verwerking van persoonsgegevens tot specifieke, legitieme doeleinden
- Beperken van verzameling en opslag van persoonsgegevens tot beoogd gebruik
- Individuen in staat stellen om persoonsgegevens te corrigeren of om verwijdering te vragen
- De opslagduur van persoonsgegevens beperken tot zo lang nodig is voor het beoogd gebruik
- Persoonsgegevens beveiligen met geschikte beveiligingsmethoden En vooral dat laatste schept onduidelijkheid.
Want wanneer zijn mijn gegevens nu voldoende beveiligd? Er zijn enkele stappen die u als bedrijf dient te ondernemen, waarvan er enkele door het bedrijf zelf dienen genomen te worden en enkele best worden uitbesteed aan de IT-afdeling of externe IT-partner.
Wat dien je als bedrijf zelf te doen?
Aangezien het gaat om de bescherming van persoonsgegevens, dien je te documenteren welke medewerkers in je bedrijf toegang hebben tot welke informatie of bestanden binnen het bedrijf én welke medewerkers geen toegang hebben tot diezelfde informatie of bestanden, zodat bij een lek de oorzaak gemakkelijk achterhaald kan worden. Dit is natuurlijk een hoop werk, maar dat kan je ook uitbesteden aan een Data Protection Officer, die als KMO optioneel, maar als grote onderneming verplicht onder de arm is te nemen.
Wat uitbesteden aan je IT-afdeling of externe partner?
Het is nu natuurlijk een kwestie van al je data voldoende te beschermen. Dat begint altijd met het beveiligen van je interne netwerk en IT-infrastructuur door het installeren van een degelijke firewall die je volledige omgeving al beschermt tegen hackers en dus ook datalekken. Let er zeker ook op dat je firewall juist geconfigureerd is. Aan deze upgrade of vernieuwing kan je dan ook een omschakeling koppelen van je fysieke server en software naar Cloudsystemen zoals Dropbox en Office 365. En dan is het zeker niet onbelangrijk om de nieuwe samenwerkingstools te introduceren bij uw medewerkers, zodat ze zelf geen andere systemen gaan gebruiken. Ook het belang van vreemde mails of bestanden niet te openen dient zeker verduidelijkt te worden om het risico op Cryptolockers, het versleutelen van uw bestanden om daarna losgeld te vragen, of indringers tot een minimum te beperken.
Wanneer voldoe ik dan aan de regelgeving?
Dat is het onduidelijke deel. Maar indien je als bedrijf bovenstaande stappen hebt ondernomen en dus je bedrijfsomgeving hebt beveiligd en toegang naar de informatie hebt gedocumenteerd, kan je ook aantonen dat je de meest noodzakelijke stappen hebt genomen om al je data te beschermen tegen lekken en je bedrijf dus ook geen schuld treft.
Wat te doen indien zich toch een lek voordoet?
Dan moet u binnen de 72 uur alle betrokken partijen informeren over het lek. Hierin moet u omschrijven wat de gevolgen kunnen zijn van het lek en welke maatregelen uw bedrijf zal nemen. Daarnaast kan de privacycommissie op dat moment ook een audit van uw bedrijf verplichten en terwijl ook de verwerking van data door uw bedrijf onderbreken. Een gevolg kan zijn dat uw bedrijf een boete oploopt van 4% van de globale jaaromzet met een maximum van 20 miljoen euro.