Tijd voor actie! Wat staat jouw organisatie te doen om te voldoen aan de AVG?

AVG

Tijd voor actie! Wat staat jouw organisatie te doen om te voldoen aan de AVG?

In een wereld die in een rap tempo digitaliseert wordt de opslag van persoonlijke data van steeds groter belang. Je medische geschiedenis staat in een database, al je bankzaken regel je online en achteloos accepteer je cookies zonder eigenlijk precies te weten wat een bedrijf met die data doet. Tot ongeveer een jaar geleden had elk Europees land aparte wetgeving waarin stond hoe bedrijven met die data moesten omgaan, zodat jouw data niet zou worden misbruikt of zomaar op straat zou komen te liggen. Veel wetten waren echter verouderd en multinationals konden hun kantoor in het land plaatsen waarvan de wetgeving hen het beste uitkwam…

In mei 2016 is dit veranderd. De Europese Unie voerde toen de Algemene Verordening Gegevensbescherming in (in het Engels beter bekend als General Data Protection Regulation, kortgezegd GDPR). Vanaf 25 mei 2018 gaat de Autoriteit Persoonsgegevens deze wet ook daadwerkelijk handhaven. Bedrijven die zich niet aan de wetgeving houden riskeren een fikse boete.

Wat houdt de AVG in?

  • Scope: De wet is niet alleen van toepassing op Europese organisaties die persoonsgegevens verwerken, de wet is ook van toepassing op organisaties die niet in de EU zijn gevestigd, maar wel persoonsgegevens verwerken van Europese inwoners.
  • Consent: Gebruikers van websites/applicaties moeten aan organisaties toestemming geven voor het verwerken van hun persoonlijke gegevens. De terms & conditions die hierover gaan moeten begrijpelijk en ondubbelzinnig zijn verwoord. Daarnaast moet men deze toestemming op een makkelijke manier weer kunnen intrekken. Wanneer organisaties bepaalde data voor 2016 al in bezit hadden, moet er met terugwerkende kracht om toestemming worden gevraagd.
  • Breach notification: Wanneer er een datalek is ontstaan, moet de organisatie die deze data verwerkt slachtoffers binnen 72 uur op de hoogte stellen van de risico’s.
  • Right to access: Mensen hebben het recht om te vragen of organisaties gebruik maken van hun persoonlijke data en wat er met deze data gebeurt. Daarnaast heeft men recht om gratis een elektronische kopie van deze data op te vragen. 
  • Right to be forgotten: Mensen hebben het recht om organisaties te verzoeken persoonlijke data te verwijderen. 
  • Data portability: Organisaties moeten ervoor zorgen dat persoonlijke data overdraagbaar is, zodat consumenten gemakkelijk van service provider kunnen switchen.
  • Privacy by design: Privacy bescherming moet worden geïntegreerd in het ontwerpen van nieuwe systemen waardoor geschikte technische maatregelen direct kunnen worden geïmplementeerd.  
  • Data Protection Officers: Organisaties met meer dan 250 werknemers of organisaties die gevoelige persoonlijke data verwerken moeten een Data Protection Officer aanstellen.
  • Effectivity of control: Organisaties moeten te allen tijde kunnen aantonen dat security control operationeel en geconfigureerd is. Dit moet dus in logfiles bijgehouden worden.

Mogelijke gevolgen bij overtreding

De AVG wordt gezien als de strengste wetgeving voor persoonlijke databescherming in de wereld. Het overtreden van de AVG kan grote gevolgen hebben voor je organisatie. Zo kan de Autoriteit Persoonsgegevens boetes tot 20 miljoen euro of 4% van de jaaromzet uitdelen. Daarnaast raakt de verordening het C-Level: bestuurders kunnen hierdoor hoofdelijk aansprakelijk worden gemaakt voor een datalek. Behalve officiële boetes kan de AVG ook zware reputatieschade veroorzaken. Bedenk maar eens wat er gebeurt als je alle klanten verplicht moet gaan vertellen dat hun persoonlijke gegevens op straat hebben gelegen. Of wat het betekent voor je merk als je website voorzien wordt van ongewenste content…

Hoe kunnen wij helpen om je websites beter te beschermen?

Het is enorm belangrijk om nu actie te ondernemen en niet te wachten tot het bijna mei 2018 is. Onderzoek bijvoorbeeld of je een Data Protection Officer moet aanstellen en of je precies weet welke data waar opgeslagen wordt, en wat ermee wordt gedaan.

Daarnaast is het heel belangrijk om de juiste technische maatregelen te nemen om te voldoen aan de AVG, zoals het instellen van een geschikte Web Application Firewall (WAF). Een WAF is cloud-based intelligente bescherming van je website of API tegen allerlei soorten bedreigingen zoals cross-site scripting, sql-injections en brute force password hacking. Een WAF wordt nog voor je reguliere firewall geplaatst waardoor je veel beter beschermd bent tegen bekende en onbekende dreigingen. Vanuit onze kennis en expertise kunnen wij goed adviseren bij het implementeren van een WAF.

Daarnaast is TRIMM het enige full-service internetbureau dat een partnership heeft met Akamai. Het voordeel van een WAF van Akamai is dat deze verschillende hosting locaties kan beveiligen. Zo werkt Akamai goed samen met AWS, Azure en On Premise, terwijl het beheer van de WAF op één locatie in de cloud is. Dit scheelt enorm in de beheerlast. Doordat je daarnaast de WAF op één plek beheert komt de logging (die plaatsvindt op transactieniveau) vanuit verschillende hosting locaties ook op één plek binnen, wat dit veel overzichtelijker maakt.

Tijd voor actie! 

Je weet wat jouw organisatie te doen staat, als je meer informatie wilt over het ontstaan van de GDPR wetgeving, check onze blog. Daarnaast hebben we een aantal tips samengesteld voor het verkrijgen van consent met je cookie notificatie.

Gepubliceerd op: 2 augustus 2017