Sla het menu over en ga direct naar de content van deze pagina. Sla het menu over en ga direct naar zoeken.
Digitale rechtshamer voor de AVG

Is uw bedrijf klaar voor de AVG/GDPR?

Per 25 mei 2018 moeten alle Nederlandse bedrijven voldoen aan de nieuwe Europese privacyverordening: de Algemene Verordening Gegevensbescherming (AVG), internationaal bekend als de GDPR: General Data Protection Regulation. Wessel Veltman van IT-beveiliger ESET Nederland, vertelt welke stappen u nu moet nemen om straks hoge boetes te voorkomen. ‘Momenteel is slechts 10% van de Nederlandse bedrijven klaar voor de AVG; 18% heeft er zelfs nog nooit van gehoord.’

Nieuwe privacywetgeving

Steeds meer dringt het besef door dat digitalisering de privacy bedreigt. Daarom is de overheid bezig aan een inhaalslag voor wetgeving op dat gebied. Dat begon met de aanscherping van de Wet bescherming persoonsgegevens begin 2016 met de Meldplicht datalekken. Sindsdien loopt u al het risico op een hoge boete als u niet tijdig meldt dat digitaal opgeslagen persoonsgegevens zijn gestolen of zoekgeraakt. De Meldplicht is mei 2018 vervangen door de – nog strengere – nieuwe Europese privacyverordening. Maar nog steeds hebben niet alle ondernemers hun bedrijfsvoering daarop ingericht.’

Inbreuk op grondrecht

Die nieuwe verordening komt er, omdat de nieuwste versie van het Europese Verdrag van de Rechten van de Mens (EVRM) bepaalt dat elke digitale vastlegging van persoonsgegevens niets minder is dan een inbreuk op de rechten van de mens. De verantwoordelijke voor deze digitale vastlegging moet daarom passende maatregelen treffen om de inbreuk te beperken. Dat geldt dus voor elk bedrijf dat persoonsgegevens verzamelt of verwerkt.

IT-maatregelen noodzakelijk

De AVG verplicht u om de beveiliging, integriteit, authenticiteit en beschikbaarheid van persoonsgegevens permanent te garanderen. Om dat voor elkaar te krijgen, moet u naast organisatorische, vooral ook technologische maatregelen nemen. Veel meer dan vorige privacy-verordeningen ligt de focus van de AVG op IT-maatregelen.

Stappenplan AVG

Verwerkt of verzamelt uw bedrijf persoonsgegevens? Werkt uw site bijvoorbeeld met cookies of heeft u een webshop? Dan doet u er verstandig aan zo snel mogelijk onderstaande IT-maatregelen te nemen:

  1. Leg een register van verwerkingen aan. In dit register moet u per verwerking worden vastgelegd: het doel en de aard van de verwerking, de getroffen beveiligingsmaatregelen en wie verantwoordelijk is.
  2. Categoriseer de persoonsgegevens die u verwerkt. Geef daarbij aan wat de gevoeligheid van de verwerkte persoonsgegevens zijn en welke risico’s hiermee gemoeid zijn voor de betrokkenen.
  3. Documenteer uw beveiligingsmaatregelen. Zorg voor een beschrijving van de technische en organisatorische maatregelen die u heeft genomen.
  4. Voer bij wijzigingen in omstandigheden of systemen een privacy impact assessment uit. Toets daarnaast periodiek of getroffen maatregelen nog in lijn zijn met de AVG.
  5. Hanteer ontwerpcriteria volgens het principe privacy by design: zorg dat nieuwe systemen die u gaat gebruiken voor de verwerking van persoonsgegeven al direct zijn beveiligd naar de laatste stand van de techniek.
  6. Zorg via monitoring, periodieke toetsing en evaluatie dat u de beveiliging van systemen en de daarmee verwerkte persoonsgegevens permanent kunt garanderen. Voer daarvoor de nodige organisatorische procedures in.
  7. Maak verwerkingen en gerealiseerde beschermingsmaatregelen transparant met certificering en rapportage. U kunt bijvoorbeeld stakeholders periodiek informeren over de gerealiseerde beveiliging van persoonsgegevens en de privacy-impact-assessment-rapportages.
  8. Stel een privacy officer aan: wanneer u op grote schaal persoonsgegevens verwerkt, is het misschien noodzakelijk om een onafhankelijke functionaris voorgegevensbescherming (FG) aan te stellen.
  9. Voer maatregelen door om beveiligingsincidenten te detecteren en de gevolgen daarvan te beperken. Zorg ook voor documentatie van incidenten.
  10. Richt een procedure Meldplicht datalekken in die zorgt dat datalekken worden gedetecteerd en binnen 72 uur aan de Autoriteit Persoonsgegevens worden gemeld. Zorg voor documentatie van datalekken.
  11. Richt daarnaast een procedure Melden datalek bij betrokkenen in, zodat na een datalek met nadelige gevolgen, de betrokkenen daar zo snel mogelijk over geïnformeerd worden.

Hiernaast moet u een aantal organisatorische maatregelen nemen, zoals aanscherping van uw privacybeleid en een verwerkersovereenkomst met leveranciers en afnemers.

Geen update missen over privacywetgeving?

Ontvang de meest actuele informatie over bedrijfsrisico's en preventie.

Ja, dat wil ik

Voorkom boetes en imagoschade

De Autoriteit Persoonsgegevensheeft aanzienlijk meer mogelijkheden om naleving van de verordening te handhaven. Boetes kunnen oplopen tot een maximum van 4% van de wereldwijde jaaromzet van een organisatie. Zelfs het verbod op verwerkingen van persoonsgegevens behoort tot de mogelijkheden. Boetes voorkomen is slechts één uitdaging. Daarnaast wilt u imagoschade voorkomen door klantgegevens die op straat terecht zijn gekomen als gevolg van een slechte of beperkte beveiliging. Dat soort zaken zijn funest voor uw bedrijfsvoering. Meer en meer wordt het aantoonbaar compliant zijn met privacywet- en regelgeving randvoorwaarde om mee te mogen doen in de digitale economie.  Bent u nog niet AVG-compliant? Neem dan zo snel mogelijk maatregelen om dat wél te worden.’

Is uw bedrijf AVG-proof? ESET biedt een handige compliance-checker voor de GDPR. Na beantwoording van de vragen, ontvangt u een rapport met adviezen over hoe u uw bedrijfsvoering het beste kunt inrichten

Uitgebreidere informatie over de AVG vindt u in de GDPR-Gids die u gratis op de website van ESET kunt aanvragen.

Meer informatie over hoe u zich tegen financiële schade door een datalek (inclusief boetes) kunt verzekeren, leest u in dit artikel.

Dit artikel is geplaatst door

Wessel Veltman IT- Beveiliger bij ESET
Wessel Veltman
IT-Beveliger