Sinds 24 mei 2017 is de wet GDPR (General Data Protection Regulation) in werking. De nieuwe EU-regels over persoonsgegevens (die in het Nederlands Algemene Verordening Gegevensbescherming (AVG) worden genoemd).
Tot 24 mei 2018 geldt een implementatiefase, daarna kunnen forse sancties worden opgelegd bij overtreding. Het is de bedoeling om daarmee identiteitsfraude te beperken.
Wat behelst deze wet?
Elk bedrijf dat informatie registreert, dient te voldoen aan deze wet. U dient vast te leggen waar informatie staat, wie en hoe deze beschikbaar is en wie verantwoordelijk is in geval van diefstal van deze gegevens. Denk daarbij aan datalekken door hackers, maar ook aan verlies of diefstal van USB-sticks of laptops.
U maakt daarvoor een rapport aan met alle betreffende gegevens plus de te nemen stappen in geval van een datalek. U bent meldplichtig en de boetes zijn niet mals en kunnen oplopen tot vele duizenden Euro’s.
Voorbeeld: Een klant moet zich bij (ook online) aankopen identificeren met voldoende hoog niveau, dat betekent dus dat ze persoonsgegevens moeten achterlaten. De leverancier heeft die gegevens nodig om te kunnen leveren, factureren en eventueel ‘voor verbetering van hun dienstverlening’ en dient die gegevens zorgvuldig op te slaan, zodat ze niet in handen kunnen vallen van anderen. En dat gaat best heel ver.
Staan deze gegevens online, dan is niet de provider verantwoordelijk maar de leverancier. Het is dus belangrijk om een degelijke, betrouwbare provider in te huren.
Staan deze gegevens op een eigen server, dan mogen die niet toegankelijk zijn voor onbevoegden, zoals medewerkers die die informatie niet nodig hebben voor het uitoefenen van hun functie.
Ook mogen ze niet onbeveiligd op back-up’s staan, op USB-sticks, losse schijven of laptops. Ook daarvan moet de toegang beveiligd zijn en alleen toegankelijk voor betrokkenen.
ESET heeft in samenwerking met Mazars een Compliance checker ontwikkeld, waarmee u binnen uw bedrijf aan de slag kunt om dit in kaart te brengen:
Sliedrecht, 29 augustus 2017 - Een ruime meerderheid van de Nederlandse bedrijven en organisaties (61%) is momenteel niet in staat de impact van de nieuwe privacywetgeving GDPR in te schatten. Uit onderzoek van IT-beveiliger ESET blijkt dat één op de vijf nog onbekend is met de nieuwe, Europese wetgeving die in mei 2018 van kracht wordt. Omdat de invoering van GDPR grote gevolgen heeft voor de bedrijfsvoering en de inrichting van de IT, roept ESET bedrijven en organisaties nadrukkelijk op na te gaan in hoeverre ze gereed zijn voor de wetgeving. Als hulpmiddel heeft ESET daarvoor – in samenwerking met Mazars – de GDPR Compliance Checker ontwikkeld.
Aangezien ik als eenvoudige IT-dienstverlener niet in staat ben om u deskundig hierin te adviseren, verwijs ik u graag naar deze partner om met uw bedrijf te voldoen aan deze wetgeving om erger te voorkomen.