AVG DOSSIER

AVG - Algemene Verordening Gegevensbescherming

Geldt de AVG ook voor jouw organisatie?
Ja, zonder twijfel!

Wat is de AVG?

AVG staat voor Algemene Verordening Gegevensbescherming. In Europa en internationaal spreken we over de GDPR. GDPR staat voor de General Data Protection Regulation.
De AVG is een wet die de privacy van Europese inwoners beter beschermt en ze ook meer controle geeft over hun eigen gegevens. Deze wet wordt algemeen van kracht en gehandhaafd op 25 mei 2018, maar is in een beperkte vorm al actief in Nederland onder de naam Wet Bescherming Persoonsgegevens.

Voor organisaties en bedrijven streeft de AVG een groot bewustzijn over de veilige verwerking van persoonsgegevens na.

Over het algemeen leeft dit bewustzijn bij organisaties niet erg. De reden hiervoor, is dat men zich niet goed bewust is over wat voor gegevens het dan zou gaan. Op internet is er heel veel informatie beschikbaar over dit onderwerp. De conclusie is eenvoudig: elke organisatie heeft (persoons)gegevens onder zich, welke volgens de AVG beschermd moeten worden.

Organisaties die niet kunnen aantonen dit hoge beschermingsbewustzijn te hebben en de regels van de AVG na te leven, en zeker in het geval van een data- of beveiligingslek van gevoelige gegevens, hangen hoge boetes boven het hoofd (tot € 20 miljoen, of 4% wereldwijde jaaromzet). Vergeet daarbij niet de imago-schade.

De korte samenvatting van wat je moet doen volgens de AVG:

Organisaties moeten voldoende aantoonbare preventieve maatregelen nemen, om datalekken met een aanmerkelijke kans op schade voorkomen. Mocht er zich ondanks de inspanningen toch een lek voordoen, dan moet dit verplicht gemeld wordern bij de Autoriteit Persoonsgegevens en betrokken personen.

Lees meer over deze verantwoordingsplicht op de site van de Autoriteit Persoonsgegevens.

Voor ICT is een zeer belangrijke rol weggelegd in de maatregelen die organisaties kunnen nemen om voor een groot deel tegemoet te komen aan de verantwoordingsplicht onder de AVG. Concreet kun je hierbij denken aan zaken als;

Het beschermen van je ICT infrastructuur door:

  • Betrouwbare Firewall
  • Up to date Virusscanners
  • Back-ups
  • Versleuteling van gegevens
  • Verwijderings- of bewaarbeleid van verouderde gegevens
  • Gebruik van up-to-date en veilige software (patch management)
  • Periodieke controles van je website en infrastructuur op kwetsbaarheden
  • Consequent gebruik van 2-factor Authenticatie
  • Wachtwoordbeleid

Handhaven van:

  • Identiteit van de gebruikers en toegangsrechten

Vastleggen / Auditing van alle bewegingen van gebruikers op de systemen:

  • Openen, wijzigen, verwijderen van data
  • Toegang tot applicaties en databases

Gebruik van betrouwbare Clouddiensten die zich ook voegen naar de AVG en klaar zijn om dat technisch volledig te kunnen onderbouwen.
Train je medewerkers op (privacy)bewuste en verantwoordelijke omgang met gegevens van anderen en je eigen organisatie.

Meldplicht?

Onder de nieuwe wet, zijn de regels voor het melden van datalekken aangescherpt. Er wordt een onderscheid gemaakt tussen een beveiligingslek en de eventuele daaruit voortvloeiden datalek.

Beveiligingslek?

Inbreuk op de beveiliging, bijvoorbeeld via:

  • Hacking;
  • Ransomware;
  • ‘verkeerde’ e-mails;
  • Brand datacenter;
  • Verlies wachtwoorden.


Datalek?

Wanneer bij een beveiligingslek van persoonsgegevens:

  • verloren zijn gegaan;
  • als er een aanzienlijke kans is dat deze verloren zijn gegaan;
  • als onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet is uit te sluiten. 

Een beveiligingslek hoeft niet gemeld te worden, maar als er als gevolg daarvan gegevens zijn gelekt, of dat dit niet uit te sluiten is, dan moet het beschouwd worden als een datalek en geldt er een meldingsplicht. Je moet een eventueel datalek melden binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Ook als je twijfelt is het verstandig om te melden, je kunt de melding later altijd intrekken indien duidelijk is dat er toch geen datalek was.

Melden doe je hier.

De nieuwe wetgeving gaat ver in wat deze van je organisatie vraagt. En in zekere mate vragen ze niet eens meer dan wat je als organisatie al zou moeten willen doen om je eigen gegevens en de gegevens van anderen maximaal te beschermen.

En nu?

Wij raden je aan om in ieder geval het AVG Dossier op de site van de Autoriteit Persoonsgegevens goed door te nemen.
Heb je daarna nog vragen neem dan contact op met Marco de Keizer.