AVG: Zijn jullie voorbereid?
Vanaf 25 mei 2018 is het een feit. Vanaf die datum is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Organisaties die persoonsgegevens verwerken hebben dan meer verplichtingen. Zo moeten zij kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen. Een goede voorbereiding is absoluut noodzakelijk, want de boetes zijn hoog.
Ook voor kleine organisaties
Je hoort regelmatig in het nieuws dat er bij organisaties sprake is geweest van een datalek. Wanneer er persoonlijke data uitlekt, spreek je van een datalek. Het gaat dan vaak om grote bekende organisaties. Maar vergis je niet. Ook kleine organisaties zijn verplicht om data te beschermen. Het gaat niet om de hoeveelheid data die je verwerkt, maar om het feit dát je data verwerkt.
Je moet in kaart hebben wie inzage heeft in de data en hoe je deze beschermd tegen toegang van onbevoegden. Ook moet je kunnen aantonen dat je aan alle voorwaarden voldoet en de persoon van wie je data hebt opgeslagen moet hiervan op de hoogte zijn.
Op wie is de AVG van toepassing?
We krijgen regelmatig vragen van organisaties die twijfelen of de AVG op hun organisatie van toepassing is. En eigenlijk is het antwoord zo goed als altijd ja. Wanneer je persoonsgegevens opslaat dan is de wet van toepassing. Om een voorbeeld te geven, dat begint al met een formulier op je websitewebsite. Als beheerder ben je verantwoordelijk voor deze data. Heb je dit niet op orde? Dan kan dit je naast een forste boete ook nog eens de nodige reputatieschade opleveren.
Hoe ontstaat een datalek
Veel mensen denken bij een datalek al snel aan hackers, virussen en malware. Maar ook door menselijke fouten kan een datalek worden veroorzaakt. Bijvoorbeeld wanneer mensen thuis werken en een USB stick met informatie meenemen. Of wanneer zij zelf (verkeerde) programma's installeren op devices waar ook klantgegevens zijn opgeslagen. Of wat dacht je van wachtwoorden. Hoe vaak zie je geen post-its op een scherm met daarop inloggegevens geschreven. Het lijken wellicht 'open deuren', maar toch komen we in de praktijk nog regelmatig van dit soort voorbeelden tegen. Om te voldoen aan de eisen die gesteld worden vanuit de AVG zal je naar zowel de techniektechniek als naar het menselijke aspect moeten kijken.
Organisatorische en technische maatregelen
Het is belangrijk dat organisaties goed in kaart hebben op welke wijze zij gebruik maken van persoonsgegevens. Denk daarbij bijvoorbeeld ook aan vragen als wie heeft toegang tot de data en hoe lang wordt data bewaard? Is het noodzakelijk om deze data in je bezit te hebben? En hoe ga je om met wachtwoorden van medewerkers die uit dienst gaan? Zomaar enkele vragen waar je over na moet denken.
Natuurlijk speelt ook de techniek een grote rol. Werken jullie met recente technieken? En zijn jullie bij qua (veiligheids)updates? Om een ander simpel voorbeeld te geven, we zien nog steeds regelmatig websites zonder SSL certificaat waarop wél formulieren staan waarin om persoonsgegevens wordt gevraagd. SSL is een veiligheidsprotocol dat staat voor Secure Sockets Layer en het versleutelt het dataverkeer tussen de website en haar bezoekers. Met alleen een SSL certificaat ben je er trouwens zeker niet, maar het geeft wel aan dat er nog een wereld te winnen is als het gaat om een goede voorbereiding op de AVG.
Zijn jullie voorbereid?
Voor je het weet is het zover en is de AVG van toepassing. We zitten daarom regelmatig aan tafel bij organisaties om samen de diepte in te gaan rondom dit thema. Wil jij hier ook eens met ons over sparren? Mijn contactgegevens vind je Contacthier.
Wil je meer lezen over de AVG? Meer informatie vind je ook op AVGdeze website.