Er wordt veel geschreven over de impact en mogelijke consequenties van de GDPR, oftewel de General Data Protection Regulation. Of in het Nederlands: de nieuwe Algemene Verordening Gegevensbescherming (AVG). Hoewel het goed is om als organisatie gewaarschuwd te zijn, heeft u er meer aan om te leren hoe u op een pragmatische manier om kunt gaan met de aanstaande veranderingen. In deze blog leggen we in het kort uit wat de GDPR is, waarom het een belangrijk thema is en hoe u er op een gepaste manier mee om kunt gaan.
Wat is het?
De GDPR is een wetgeving die organisaties verplicht om persoonlijke data van Europese burgers te beschermen. De wetgeving geldt vanaf 25 mei 2018 en is ontwikkeld om een eenduidige en veilige digitale omgeving te creëren binnen Europa. Organisaties die in het bezit zijn van persoonlijke gegevens van klanten, patiënten of leerlingen zullen kortom moeten voldoen aan aangescherpte regels.
De GDPR scherpt de definitie van persoonlijke data aan
Wat zijn de belangrijkste veranderingen?
- De GDPR geldt voor ieder bedrijf ter wereld dat gebruikmaakt van persoonlijke data van Europese burgers.
- De definitie van persoonlijke data wordt aangescherpt: ieder type data dat gebruikt wordt om iemand te identificeren, wordt beschouwd als persoonlijke data. Hieronder valt data zoals namen, adressen etc. Maar ook data die genetische, mentale, culturele, economische en/of sociale kenmerken van personen betreft.
- Organisaties moeten kunnen bewijzen dat er op een geldige en duidelijke manier toestemming is verkregen voor het gebruik van persoonlijke data. Enkele eisen zijn het gebruik van simpele taal bij het vragen om toestemming en het aangeven wat er met de informatie gaat gebeuren.
- Wanneer er een datalek ontstaat binnen uw organisatie, bent u verplicht om dit binnen 72 uur te melden. Dit houdt ook in dat organisaties verplicht zijn om de technologieën in huis te hebben om een datalek op tijd te ontdekken en hier effectief op te reageren.
- Data mag niet langer worden bewaard dan absoluut noodzakelijk en data mag bovendien niet gebruikt worden voor andere doeleinden dan het oorspronkelijke doel. Ook is de organisatie verplicht om persoonlijke data te verwijderen als hierom wordt gevraagd door de persoon in kwestie.
- De GDPR verplicht organisaties om hun software, hardware, systemen en processen zo in te richten dat ze in staat zijn om de veiligheid van persoonsgegevens optimaal te waarborgen. Zo moet het mogelijk zijn om data volledig te kunnen verwijderen van alle IT-middelen.
Belangrijk om te onthouden is dat bovenstaande regels slechts een gedeelte van de nieuwe regels omvat. Ook gelden er aanvullende regels voor bepaalde organisaties, waaronder voor bedrijven met een verhoogd risico op datalekken.
Waarom is het belangrijk om te voldoen aan de nieuwe regels?
Er zijn twee hoofdredenen om te voldoen aan de GDPR. Allereerst zijn er financiële consequenties wanneer u niet voldoet aan de nieuwe regels. De boetes worden sterk verhoogd ten opzichte van de bestaande wetgeving. Waar de huidige boete een maximum heeft van 820 duizend euro, kunnen de boetes bij de intreding van de GDPR oplopen tot 20 miljoen euro of 4 procent van de omzet. Ook kunnen consumenten u aansprakelijk stellen en een schadevergoeding eisen. Een andere reden om te voldoen aan de GDPR is het bewaken van uw reputatie. Een datalek kan namelijk voor reputatieschade zorgen. De ervaring leert dat de impact hiervan vaak groter is dan de financiële consequenties.
Hoe gaat u er op een gepaste manier mee om?
Er is online veel te lezen over de GDPR. De oplossing ligt in het combineren van organisatorische en technische maatregelen om informatiebeveiliging te optimaliseren. Joheco biedt een aantal interessante schaalbare Managed Services en diensten om u hierbij te ondersteunen.
Wilt u zelf alvast uw GDPR-voortgang checken? Vink deze checklist af en kom er binnen vijf minuten achter welke punten u kunt afvinken en welke punten nog wat extra aandacht vereisen.
{{cta('530094c1-416e-4d14-a93e-873529e9e29a')}}