Terug naar alle blogs

De impact van GDPR voor het bedrijfsleven wordt zwaar onderschat

28-12-2017 / In Blog

In het afgelopen jaar hebben verschillende grote datalekken wereldwijd voor opschudding gezorgd. Van de ‘database voor overspeligen’ Ashley Madison en de Panama & Paradise Papers tot verschillende grote databases met creditcard- en bankgegevens. De impact op zowel iemands zakelijke- als privéleven kan enorm zijn, vooral wanneer het gaat om vertrouwelijke en/of privacygevoelige informatie. Om een betere bescherming te bieden aan burgers en het makkelijker te maken voor organisaties en overheden, worden komend jaar de individuele wetten en regels op het gebied van databescherming van de verschillende EU-lidstaten samengevoegd tot één duidelijk overzicht: de GDPR.

 

De EU neemt haar internationale rol op het gebied van privacywetgeving zeer serieus en wil de burgers met deze wetgeving weer grip geven op hun eigen persoonsgegevens en de privacy nog beter beschermen. De wet geldt voor alle mogelijke bedrijven en organisaties die zowel gevestigd zijn in of diensten / producten leveren aan Europese landen. De wet gaat over letterlijk alle gegevens die kunnen worden gelinkt aan de identiteit van een persoon; van ingevulde contactformulieren en emailcontent tot opnames van beveiligingscamera’s en databases met CV’s en klantgegevens.

 

Eén op vijf bedrijven in de Benelux geeft aan dat het al voldoet aan de wet- en regelgeving. Toch zijn er nog veel vragen over de impact, het soort gegevens en verdere belangrijke maatregelen. De belangrijkste punten op een rij:

 

  • Hoofdpunt in de nieuwe GDPR is de bescherming van persoonsgegevens dat voorschrijft dat bedrijven persoonsgegevens aantoonbaar goed moeten beveiligen. Dat wil zeggen dat databases waar de gegevens in staan voldoende beveiligd moeten zijn om de data die zij bevatten goed te beschermen. Websites bijvoorbeeld die persoonsgegevens opslaan en geen SSL certificaat hebben, zijn al in de fout.
  • Onder de ‘privacy by design & default’ moet bij de ontwikkeling van een nieuw product of dienst, de privacy verplicht meegenomen worden in de ontwerpcriteria en -keuzes.
  • De documentatieplicht impliceert dat allereerst duidelijk moet worden aangegeven welke informatie wordt opgeslagen of verwerkt, wie de eigenaar is, waar informatie wordt opgeslagen en hoe dit wordt beveiligd. Daarnaast moet er een duidelijke, juridische basis zijn voor de verwerking van persoonlijke gegevens. Organisaties mogen dus niet zomaar meer allerlei data verzamelen en gebruiken, zonder dat er een duidelijk doel voor is. De veel gehate ‘coockiebar’ op websites, zonder duidelijke verwijzing naar deze informatie, volstaat dan niet meer.
  • Personen krijgen het recht op inzichtelijkheid en verwijdering. Enerzijds krijgen mensen de mogelijkheid om te zien welke gegevens digitaal zijn vastgelegd en hoe deze zijn beveiligd, anderzijds krijgen zij het recht om al deze gegevens te verwijderen.
  • Personen krijgen het recht op de ‘dataportabiliteit’, oftewel de mogelijkheid hun data te verplaatsen naar een andere locatie met hulp van de organisatie.
  • Inbreuken en lekken binnen de datahuishouding moeten uiterlijk binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens en de betrokken personen.

 

Met nog een half jaar te gaan, is er voor veel bedrijven redelijk veel haast geboden bij het serieus oppakken van de implementatie van de GDPR. Onderzoek wijs uit dat meer dan de helft van de bedrijven in Nederland de wet niet goed begrijpt en zich niet bewust is van de hoge boetes. Per overtreding is de boete maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet. Om over de imagoschade nog maar niet te spreken. Vanaf eind mei wordt er begonnen met de handhaving van de wet.

 

Ons advies daarom: ga bewust om met persoonsgegevens, maak alle mensen die ermee in contact komen bewust van de gevaren van lekken, probeer de risico’s op het lekken te minimaliseren, vraag toestemming voor de opslag, sla gegevens gescheiden op en stuur persoonsgegevens alleen indien strikt noodzakelijk door naar anderen.

 

Terug naar alle blogs