Wat is de GDPR (AVG) Wetgeving?

Met de GDPR wetgeving wil de EU  haar burgers beschermen tegen data verlies en diefstal door organisaties die data verwerken en die direct of indirect herleidt kunnen worden naar klanten, clienten, scholieren, personeel en iedere andere mogelijkheid die bij een individu uitkomt. Met deze wetgeving dwingen zij organisaties hier voorzichtig mee om te gaan. Voor het verzamelen, verwerken, gebruiken van data gaan er dus zaken veranderen.

Bedrijven mogen straks alleen onder strikte voorwaarden persoonlijke informatie verzamelen en bewaren. Daarnaast moet je volgens de GDPR zorgen dat de juiste technische en organisatorische maatregelen getroffen zijn om de persoonlijke data te beschermen tegen ongelukken, onwetmatige vernietiging of tegen verlies, verandering of ongeoorloofde openbaarmaking en toegang door niet geautoriseerde personen. Iedereen die zich niet aan deze strikte voorwaarden houdt is strafbaar.

In Nederland wordt GDPR de AVG Wetgeving (Algemene Verordening Gegevensbescherming) genoemd, wij houden echter GDPR Wetgeving aan.

 

Wanneer wordt de GDPR Wetgeving actief?

De GDPR Wetgeving moet in de gehele EU gelden vanaf 25 mei 2018.

Nederland heeft een gedeelte van deze wetgeving al per 1 Januari 2016 in laten gaan met de wet meldplicht datalekken. Hiermee is Nederland koploper wat betreft het beschermen van privacy gevoelige informatie van haar burgers.

Vanaf 25 mei 2018 zal de huidige wetgeving aangepast moeten zijn met de regelgeving welke de EU aan haar lidstaten heeft opgelegd.

 

Wat zijn de veranderingen?

  • Het recht om te weten wanneer gegevens zijn gehackt.
  • Strengere handhaving van de regels.
  • Eén continent, één wet.
  • Organisaties moeten de nationale autoriteit (in Nederland is dat Autoriteit Persoonsgegevens) z.s.m. op de hoogte brengen van een data lek. Binnen 24 uur als dit mogelijk is maar niet later als 72 uur vanaf het moment dat de organisatie op de hoogte is van een data lek. Iedere melding die de 72 uur overschrijdt dient aangevuld te worden met een geldige reden waarom de melding pas na 72 uur is gedaan.
  • EU-regels gelden ook voor bedrijven die in het buitenland opereren en die hun diensten of goederen leveren aan burgers binnen de EU. Deze regels gelden tevens voor bedrijven die gratis diensten leveren en die het gedragspatronen volgen van burgers binnen de EU.
  • Bescherming van data vanaf het ontwerp en als standaard is nu een essentieel onderdeel in de EU data beschermingswetgeving.

 

Wat zegt de GDPR Wetgeving over het beschermen van data?

Artikel 32 van de GDPR Wetgeving zegt het volgende:

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
    1. de pseudonimisering en versleuteling van persoonsgegevens;
    2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
    3. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
    4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

 

Wat betekent deze wet voor uw organisatie?

Deze wetgeving maakt het noodzakelijk, ongeacht de grote van het bedrijf, om nieuwe processen en regels te implementeren gericht op grotere controle voor individuele personen binnen het bedrijf om controle over hun eigen persoonsgegevens.

Dit houdt het volgende in:

  1. Nieuwe processen en handleidingen schrijven
  2. Trainen van personeel
  3. Updaten van systemen om deze nieuwe procedures te ondersteunen.
  4. Praktische stappen nemen om bijv. data die risicovol is te encrypten.

Een gestolen laptop of USB stick mogen niet leiden tot een boete als deze niet zijn geencrypt.

Belangrijke sleutel uit de GDPR wetgeving, zoals vermeldt in artikel 5, is aan te kunnen tonen dat de juiste beveiligingsmaatregelen zijn genomen m.b.t. persoonsdata.

 

Wat kan de Corax ICT Group voor uw organisatie betekenen?

We kunnen u ondersteunen en helpen bij het uitwerken van de processen, handleidingen en documentatie schrijven t.b.v. uw omgeving en het adviseren en inrichten van uw ICT omgeving.

Tevens kunnen we middels partners waar wij mee samen werken uw personeel trainen.

Voor meer informatie vult u uw gegevens in met onderstaand formulier, dan nemen wij contact met u op.

esetpartnerlogo