Human capital & corporate risk

Voldoet u inmiddels aan de Europe Privacy verordening?

Sinds 25 mei 2018 is de General Data Protection Regulation (GDPR), in het Nederlands genoemd de Algemene Verordening Gegevensbescherming (AVG), van kracht. Deze stelt aanvullende eisen aan gegevensbescherming binnen bedrijven en instellingen. Is uw bedrijf inmiddels AVG-proof?

In het kort: wat houdt de Europese Privacy verordening in?

Bedrijven en instellingen moeten aantonen dat ze voldoen aan deze nieuwe Europese Privacy verordening, hetgeen extra inspanningen en investeringen van u vereist. Als voorbeeld: u dient een verwerkingsregister op te stellen, waarmee u onder andere moet bijhouden welke persoonsgegevens uw organisatie verwerkt, wat de verwerkingsdoeleinden zijn, hoe lang de gegevens worden bewaard en welke maatregelen zijn getroffen om privacy risico’s te beperken. U dient alles volgens de nieuwe verordening te doen, te documenteren, te evalueren, te wijzigen en te verbeteren. Persoonsgegevens zijn onder andere ook de persoonlijke gegevens van uw werknemers en klanten.

De boetes voor het niet voldoen aan de wettelijke vereisten kunnen oplopen tot EUR 20 mln. of 4% van de wereldwijde omzet van uw organisatie.

AVG-proof?

In augustus 2017 kopte het Financieel Dagblad stevig op de voorpagina: “Bedrijven in paniek over Europese privacywet”. In de FD publicatie wordt de korte tijdspanne richting 25 mei 2018 als een grote drempel omschreven, omdat veel bedrijven nog aan de basis staan voor aanpassing aan deze wetgeving en de inspanningen die geleverd moeten worden vaak nog onderschat worden. Het gaat niet om het oplossende vermogen van de IT-afdeling door bijvoorbeeld extra beveiligingsmaatregelen, maar om het feit dat je continu weet welke risico’s er zijn als je gegevens verzamelt. Hierbij speelt de betrokkenheid van de directie/bestuurders een belangrijke rol! Is uw bedrijf, een jaar nadat de wetgeving van kracht is volledig AVG-proof?

Praktische stappen

Wat moet u doen om te voldoen aan de Europese Privacy verordening GDPR/AVG?

  • Veranker privacy- en gegevensbescherming op het hoogste niveau binnen uw organisatie
  • Voer een analyse uit om uw privacy risico’s te identificeren en middels passende technische en organisatorische maatregelen te beheersen (DPIA)
  • Maak een verwerkingsregister met daarin de vastlegging hoe privacygevoelige gegevens worden verwerkt.
  • Classificeer uw persoonsgegevens zodanig dat u voldoet aan wettelijke bewaartermijnen én zodat u gegevens tijdig kunt verwijderen.
  • Evalueer bestaande contracten met partijen waarmee u gegevens deelt.
  • U bent verplicht verwerkersovereenkomsten te sluiten met toeleveranciers en afnemers.
  • Stel een procedure op voor het adequaat anticiperen en afhandelen van een datalek.
  • Verhoog het privacy bewustzijn van uw medewerkers door gerichte activiteiten.
  • Stel een op de Verordening gebaseerd privacybeleid op of pas het bestaande beleid hierop aan.
  • Informeer de betrokkenen over wat er met hun persoonsgegevens gebeurt.
  • Stel vast of uw organisatie over een functionaris gegevensbescherming moet beschikken.

Voor de complete inhoud van deze wetgeving:

Bekijk de Autoriteit persoonsgegevens

Hoe staat u er voor?

Kröller Boom is al ruim 3 jaar intensief bezig de rondom cyber-gerelateerde risico’s te volgen en te analyseren, om u zo van up-to-date kennis en advies te kunnen voorzien. Wij hebben samen met onze Cyber Security partner Northwave een tooling ontwikkelt om u binnen een hele korte termijn goed inzicht te geven (State of Security Assessment) waar u op dit moment staat t.a.v. de GDPR/AVG vereisten en hoe u door middel van korte en langere termijn stappen hier aan kunt voldoen, inclusief inzicht in de mogelijke extra investering. Hierdoor heeft u controle en inzicht, zodat u uw strategie rondom cyberrisico’s hierop aan kan passen, zowel voor uw eigen business continuïteit als richting de EU-wetgever.


Dit artikel is geplaatst door Niek Post. Commercieel Directeur

Cybercrime

Cybercrime wordt door management als de op een na grootste bedreiging van de continuïteit gezien. Deze risico’s zijn daarom niet alleen een aangelegenheid voor de ICT-afdeling, maar een risico waar iedereen binnen een organisatie zich van bewust dient te zijn en de organisatie op aan dient te passen.

Lees verder