De
Europese Algemene Verordening Gegevensbescherming (GDPR) gaat van kracht op 25
mei 2018. Bedrijven in de EU moeten er klaar voor zijn,
anders zullen zij heftige consequenties moeten ondervinden.
In November 2016 werd de
Tesco Bank slachtoffer van een cyberaanval waarbij £2,5 miljoen werd gestolen van de
lopende rekeningen van 20.000 klanten. Indien het Information Commissioner’s
Office (ICO) oordeelt dat Tesco er niet in is geslaagd om te voldoen aan de
maatregelen voor het veiligstellen van de persoonlijke data van mensen, kunnen
ze een boete krijgen die kan oplopen tot £500.000. Onder de nieuwe regulaties
die zijn gesteld in het EU GDPR, kan dezelfde boete worden gesteld op £1,9
miljard.
Na mei 2018 zullen
bedrijven die niet voldoen aan dit nieuwe strenge databeschermingsregime zware
boetes moeten ondervinden die kunnen oplopen tot wel 4% van de mondiale omzet.
De GDPR houdt belangrijke
veranderingen in voor alle bedrijven die de persoonlijke data van EU-inwoners gebruiken
of opslaan.
“Als het aankomt op gegevensbescherming,
zet het stille spookbeeld van de EU Algemene Data Beschermingsregulatie
organisaties langzaam tot actie aan, en dit soort incidenten zullen deze trend
alleen maar versnellen” – Nigel Hawthorn, de Voorzittend Europees woordvoerder bij Skyhigh Networks.
In deze blog kijken we
naar 6 dingen die u moet weten over GDPR om u voor te bereiden op de
implementatie ervan in 2018.
1. Begrijp op wie GDPR betrekking heeft
Als u de data van
Europese inwoners behandelt, heeft GDPR betrekking op u. Ongeacht de locatie
van uw bedrijf. Bedrijven van over de hele wereld zullen aan precies dezelfde
veiligheidsstandaarden worden gehouden.
Dit geeft de Europese gegevensbeschermingsautoriteiten de kracht om actie te ondernemen tegen organisaties die deze regulaties schenden, ongeacht hun geografische locatie.
2. Begrijp wat telt als persoonlijke data
GDPR zal de definitie van
wat persoonlijke data betreft verbreden. De Data Protection Act 1998 (DPA)
erkende genetische en biometrische informatie niet als persoonlijke data, waar
de GDPR dat wel doet.
Onder de EU GDPR wordt
persoonlijke data gedefinieerd als:
“Data over ras of
etnische oorsprong, politieke voorkeuren, religieuze of filosofische
opvattingen, lidmaatschap van vakverenigingen, genetische data, biometrische
data, data met betrekking tot gezondheid of data met betrekking tot iemands
seksuele leven of seksuele oriëntatie”.
Deze brede definitie
houdt in dat bijna alle klantinformatie nu valt binnen de categorie van
‘persoonlijke data’. Uw bedrijf moet de belangrijke veranderingen in de
binnenkomende regulatie begrijpen en alle data beveiligen om zware afstraffing
te voorkomen.
3. Herzie de algemene voorwaarden van uw bedrijf
De GDPR regulatie
introduceert nieuwe voorschriften welke de noodzaak van expliciete individuele
toestemming voorafgaand aan het gebruik van de gegevens van een inwoner
benadrukken. Bedrijven zullen simpelere taal moeten gebruiken wanneer ze vragen
om toestemming, duidelijk zijn over hoe de data zal worden gebruikt en
begrijpen dat inactiviteit geen toestemming vormt. Lange en gecompliceerde
algemene voorwaarden met een gebrek aan duidelijkheid worden niet meer
getolereerd.
EU-inwoners zullen ook
een grotere invloed krijgen op wat er met hun data gebeurt. Onder andere
verwijdering van gegevens (algemeen bekend als ‘het recht om te worden
vergeten’) en draagbaarheid van gegevens (gegevens overzetten naar een andere beheerder).
GDPR introduceert ook het
gegevensminimalisatieprincipe, hetgeen organisaties vraagt om data niet langer
vast te houden dan absoluut noodzakelijk is. Deze wet voorkomt ook dat
bedrijven het oorspronkelijke doel van ingezamelde gegevens veranderen – tenzij
zij om toestemming vragen.
4. U zult Privacy Effectbeoordelingen moeten uitvoeren
De GDPR introduceert de verplichting
van Privacy Effectbeoordelingen voor ieder project waarin privacy schendingsrisico’s
hoog zijn.
Uw bedrijf kan geen
projecten meer beginnen welke persoonlijke informatie omvatten, tenzij er eerst
een privacy risicobeoordeling is uitgevoerd. Uw bedrijf moet ook nauw
samenwerken met een functionaris voor gegevensbescherming om naleving in alle
projecten te verzekeren.
Uw organisatie moet
veiligheid in de kern van alle projecten integreren, in plaats van het enkel
als een simpele afweging te zien.
5. U heeft wellicht een functionaris voor gegevensbescherming nodig
De EU GPDR verwerpt de
notie dat regulaties gerelateerd dienen te zijn aan de grootte of het aantal
medewerkers van een organisatie.
Als één of meer van de
onderstaande drie scenario’s gelden voor uw organisatie – beschreven in artikel 37- bent u verplicht om een
functionaris voor gegevensbescherming (FGB) in te schakelen. De
kernactiviteiten van de organisatie omvatten:
- Het verwerken van persoonlijke data door een openbare instantie
- “Regelmatig en systematisch inspecteren van datasubjecten op grote schaal”
- Verwerken van speciale data op grote schaal – bijvoorbeeld biometrisch, genetisch, of op basis van geografische locatie.
De rol van de FGB is om
de naleving van organisaties aan de regulaties te inspecteren en alle
bevindingen te rapporteren aan het hoogste management. Een studie door de ‘International Association of
Privacy Professionals (IAPP)’ suggereert dat er in de komende twee
jaar wereldwijd 75.000 FGBs zullen moeten worden aangesteld.
Deze zelfde studie toont
aan dat personeelsbehoeften vaak een grote uitdaging zijn voor organisaties die
de vaardigheden niet snel ontwikkelen of inhuren.
Firebrand biedt het Gecertificeerd Funcitionaris Gegevensbeschermingscertificaat aan,ontworpen voor mensen met tenminste twee jaar aan ervaring in de gegevensbescherming.
Deze 3-daagse cursus bouwt de vaardigheden en kennis op die benodigd zijn om de
rol van FGB te vervullen en naleving van de EU GPDR te onderhouden.
6. Een schending rapporteren – continue inspectie benodigd
Ter toevoeging aan het
beschrijven hoe uw bedrijven hun gegevens moeten beveiligen, heeft de GDPR ook
strenge regulaties over hoe uw bedrijf dient te handelen in het geval van een
gegevensschending.
Dit omvat de
meldingsplicht bij gemeenschappelijke schending, waarin alle
schendingsmeldingswetten over Europa worden samengevat onder één definitie,
waardoor duidelijkheid wordt geboden over hoe uw bedrijf een gegevensschending
dient te rapporteren. Deze meldingswet “verplicht organisaties om de lokale
gegevensbeschermingsinstantie in te lichten binnen 72 uur na ontdekking van een
gegevensschending”.
Gezien
het feit dat Yahoo struikelde over een van de grootste veiligheidsschendingen in de
geschiedenis twee jaar nadat het zich voordeed,
verplicht deze wet zelfs de grootste organisaties om pro-actiever te zijn in
het identificeren en rapporteren van incidenten. Indien GPDR van toepassing is
voor uw organisatie, zult u gereedschappen en processen in moeten voeren om
alarmen in noodgevallen te inspecteren en te creëren, 24/7/365.
De tijd dringt…
U heeft nog 12 maanden om u voor te
bereiden op de binnenkomende GDPR. Zoals boven is beschreven, moeten er
aanzienlijke veranderingen worden aangebracht aan de manier waarop uw bedrijf
gegevens verzamelt, behandelt, en deelt vanaf mei 2018.
Wanneer deze regulaties eenmaal zijn
ingevoerd, komt uw organisatie niet meer weg met een kleine boete voor het
verkeerd behandelen van gevoelige informatie. Onvoldoende voorbereiding zal
leiden tot ernstige – zo niet bedrijf sluitende – financiële consequenties. Kom
niet in de problemen, start uw GDPR-paraatheid vandaag.