maandag 8 mei 2017

6 dingen die u moet weten over GDPR

De Europese Algemene Verordening Gegevensbescherming (GDPR) gaat van kracht op 25 mei 2018. Bedrijven in de EU moeten er klaar voor zijn, anders zullen zij heftige consequenties moeten ondervinden.



In November 2016 werd de Tesco Bank slachtoffer van een cyberaanval waarbij £2,5 miljoen werd gestolen van de lopende rekeningen van 20.000 klanten. Indien het Information Commissioner’s Office (ICO) oordeelt dat Tesco er niet in is geslaagd om te voldoen aan de maatregelen voor het veiligstellen van de persoonlijke data van mensen, kunnen ze een boete krijgen die kan oplopen tot £500.000. Onder de nieuwe regulaties die zijn gesteld in het EU GDPR, kan dezelfde boete worden gesteld op £1,9 miljard.


Na mei 2018 zullen bedrijven die niet voldoen aan dit nieuwe strenge databeschermingsregime zware boetes moeten ondervinden die kunnen oplopen tot wel 4% van de mondiale omzet. De GDPR houdt belangrijke veranderingen in voor alle bedrijven die de persoonlijke data van EU-inwoners gebruiken of opslaan.

“Als het aankomt op gegevensbescherming, zet het stille spookbeeld van de EU Algemene Data Beschermingsregulatie organisaties langzaam tot actie aan, en dit soort incidenten zullen deze trend alleen maar versnellen” – Nigel Hawthorn, de Voorzittend Europees woordvoerder bij Skyhigh Networks.

In deze blog kijken we naar 6 dingen die u moet weten over GDPR om u voor te bereiden op de implementatie ervan in 2018.

1.  Begrijp op wie GDPR betrekking heeft


Als u de data van Europese inwoners behandelt, heeft GDPR betrekking op u. Ongeacht de locatie van uw bedrijf. Bedrijven van over de hele wereld zullen aan precies dezelfde veiligheidsstandaarden worden gehouden.

Dit geeft de Europese gegevensbeschermingsautoriteiten de kracht om actie te ondernemen tegen organisaties die deze regulaties schenden, ongeacht hun geografische locatie.

Gedreven door de hoge boetes die bedrijven kunnen ondervinden – indien ze niet aan de veiligheidseisen voldoen – wordt er nu van 70% van de bedrijven verwacht dat ze meer gaan uitgeven aan het aanpakken van databescherming en soevereiniteit, volgens Ovum.


2. Begrijp wat telt als persoonlijke data


GDPR zal de definitie van wat persoonlijke data betreft verbreden. De Data Protection Act 1998 (DPA) erkende genetische en biometrische informatie niet als persoonlijke data, waar de GDPR dat wel doet.

Onder de EU GDPR wordt persoonlijke data gedefinieerd als:
“Data over ras of etnische oorsprong, politieke voorkeuren, religieuze of filosofische opvattingen, lidmaatschap van vakverenigingen, genetische data, biometrische data, data met betrekking tot gezondheid of data met betrekking tot iemands seksuele leven of seksuele oriëntatie”.

Deze brede definitie houdt in dat bijna alle klantinformatie nu valt binnen de categorie van ‘persoonlijke data’. Uw bedrijf moet de belangrijke veranderingen in de binnenkomende regulatie begrijpen en alle data beveiligen om zware afstraffing te voorkomen.

3. Herzie de algemene voorwaarden van uw bedrijf


De GDPR regulatie introduceert nieuwe voorschriften welke de noodzaak van expliciete individuele toestemming voorafgaand aan het gebruik van de gegevens van een inwoner benadrukken. Bedrijven zullen simpelere taal moeten gebruiken wanneer ze vragen om toestemming, duidelijk zijn over hoe de data zal worden gebruikt en begrijpen dat inactiviteit geen toestemming vormt. Lange en gecompliceerde algemene voorwaarden met een gebrek aan duidelijkheid worden niet meer getolereerd.

EU-inwoners zullen ook een grotere invloed krijgen op wat er met hun data gebeurt. Onder andere verwijdering van gegevens (algemeen bekend als ‘het recht om te worden vergeten’) en draagbaarheid van gegevens (gegevens overzetten naar een andere beheerder).

GDPR introduceert ook het gegevensminimalisatieprincipe, hetgeen organisaties vraagt om data niet langer vast te houden dan absoluut noodzakelijk is. Deze wet voorkomt ook dat bedrijven het oorspronkelijke doel van ingezamelde gegevens veranderen – tenzij zij om toestemming vragen.

4. U zult Privacy Effectbeoordelingen moeten uitvoeren


De GDPR introduceert de verplichting van Privacy Effectbeoordelingen voor ieder project waarin privacy schendingsrisico’s hoog zijn.

Uw bedrijf kan geen projecten meer beginnen welke persoonlijke informatie omvatten, tenzij er eerst een privacy risicobeoordeling is uitgevoerd. Uw bedrijf moet ook nauw samenwerken met een functionaris voor gegevensbescherming om naleving in alle projecten te verzekeren.  

Uw organisatie moet veiligheid in de kern van alle projecten integreren, in plaats van het enkel als een simpele afweging te zien.


5.  U heeft wellicht een functionaris voor gegevensbescherming nodig


De EU GPDR verwerpt de notie dat regulaties gerelateerd dienen te zijn aan de grootte of het aantal medewerkers van een organisatie.
Als één of meer van de onderstaande drie scenario’s gelden voor uw organisatie – beschreven in artikel 37- bent u verplicht om een functionaris voor gegevensbescherming (FGB) in te schakelen. De kernactiviteiten van de organisatie omvatten:

  • Het verwerken van persoonlijke data door een openbare instantie
  • “Regelmatig en systematisch inspecteren van datasubjecten op grote schaal”
  • Verwerken van speciale data op grote schaal – bijvoorbeeld biometrisch, genetisch, of op basis van geografische locatie.

De rol van de FGB is om de naleving van organisaties aan de regulaties te inspecteren en alle bevindingen te rapporteren aan het hoogste management. Een studie door de ‘International Association of Privacy Professionals (IAPP) suggereert dat er in de komende twee jaar wereldwijd 75.000 FGBs zullen moeten worden aangesteld.

Deze zelfde studie toont aan dat personeelsbehoeften vaak een grote uitdaging zijn voor organisaties die de vaardigheden niet snel ontwikkelen of inhuren.

Firebrand biedt het Gecertificeerd Funcitionaris Gegevensbeschermingscertificaat aan,ontworpen voor mensen met tenminste twee jaar aan ervaring in de gegevensbescherming. Deze 3-daagse cursus bouwt de vaardigheden en kennis op die benodigd zijn om de rol van FGB te vervullen en naleving van de EU GPDR te onderhouden.


6. Een schending rapporteren – continue inspectie benodigd


Ter toevoeging aan het beschrijven hoe uw bedrijven hun gegevens moeten beveiligen, heeft de GDPR ook strenge regulaties over hoe uw bedrijf dient te handelen in het geval van een gegevensschending.

Dit omvat de meldingsplicht bij gemeenschappelijke schending, waarin alle schendingsmeldingswetten over Europa worden samengevat onder één definitie, waardoor duidelijkheid wordt geboden over hoe uw bedrijf een gegevensschending dient te rapporteren. Deze meldingswet “verplicht organisaties om de lokale gegevensbeschermingsinstantie in te lichten binnen 72 uur na ontdekking van een gegevensschending”.

Gezien het feit dat Yahoo struikelde over een van de grootste veiligheidsschendingen in de geschiedenis twee jaar nadat het zich voordeed, verplicht deze wet zelfs de grootste organisaties om pro-actiever te zijn in het identificeren en rapporteren van incidenten. Indien GPDR van toepassing is voor uw organisatie, zult u gereedschappen en processen in moeten voeren om alarmen in noodgevallen te inspecteren en te creëren, 24/7/365.

De tijd dringt…


U heeft nog 12 maanden om u voor te bereiden op de binnenkomende GDPR. Zoals boven is beschreven, moeten er aanzienlijke veranderingen worden aangebracht aan de manier waarop uw bedrijf gegevens verzamelt, behandelt, en deelt vanaf mei 2018.
Wanneer deze regulaties eenmaal zijn ingevoerd, komt uw organisatie niet meer weg met een kleine boete voor het verkeerd behandelen van gevoelige informatie. Onvoldoende voorbereiding zal leiden tot ernstige – zo niet bedrijf sluitende – financiële consequenties. Kom niet in de problemen, start uw GDPR-paraatheid vandaag.