Geen paniek: raadpleeg tijdig securityspecialisten

De betekenis van GDPR voor de ondernemer

De General Data Protection Regulation – kortweg GDPR – moet ervoor zorgen dat bedrijven persoonlijke informatie van klanten en leden beschermen. Dat is een Europese wet die de Nederlandse Wet Bescherming Persoonsgegevens vervangt. Vanaf 25 mei 2018 moet deze richtlijn ingevoerd zijn. De datum lijkt veraf en tot nu toe heeft zo’n 10 procent van de bedrijven zich helemaal voorbereid op de nieuwe regels. Ruim driekwart van de ICT-beslissers in het MKB is zich niet bewust van de gevolgen van de GDPR voor hun organisaties. Het dringend advies is om zo snel als mogelijk actie te ondernemen want fikse boetes liggen in het verschiet.

Bedrijven gebruiken persoonsgegevens om diensten te kunnen leveren aan hun klanten, leden of werknemers. Maar iedereen heeft uiteraard recht op privacy en mag verwachten dat bedrijven deze data beschermen en veilig bewaren. Mensen hebben ook het recht om te vragen welke data over hen bewaard wordt en om - indien gewenst - ‘vergeten’ te worden uit de systemen. De GDPR moet deze persoonlijke informatie in de huidige IT-omgeving beschermen.

Hoge boete
De nieuwe wet gaat enorme impact hebben op de werk- en handelwijze in organisaties en bedrijven. Samengevat moeten er passende technische en organisatorische maatregelen genomen worden voor de bescherming van privacy. Daar komt veel bij kijken. Voor zeer veel bedrijven is er dus nog heel wat werk aan de winkel. Onder de nieuwe wet dienen organisaties transparanter te zijn over de manier waarop ze met data omgaan. Burgers krijgen meer en betere privacyrechten. Als organisaties niet op tijd aan de AVG/GDPR voldoen, hangt hun een boete tot maximaal 20 miljoen euro boven het hoofd.

Waarom?
De vorige Europese richtlijn rond bescherming van digitale gegevens - de Data Protection Directive - dateert van 1995. Toen was bijvoorbeeld Windows95 zéér modern. De huidige wetgeving is hierop nog steeds gebaseerd. Net zoals de wetgeving in andere Europese lidstaten. Deze wetgeving werd echter door iedere lidstaat op een andere manier geïnterpreteerd. Er bestaan dus evenveel wetten en interpretaties als lidstaten. Dit leidt tot allerlei onduidelijkheid. Bovendien heeft de wet ook behoefte aan modernisering vanwege de enorme hoeveelheden data die tegenwoordig vergaard worden via bijvoorbeeld sociale media.
De nieuwe GDPR is een duidelijke Europese wetgeving die vastligt voor alle lidstaten. En dus ook voor alle bedrijven en organisaties.

Welke informatie en data?
We trappen een open deur in als we zeggen dat er veel veranderd is sinds 1995. Zeker ook in de hoeveelheid data en de manier waarop we die verzamelen. Eenvoudig gezegd gaat het bij GDPR om persoonsgebonden data: elke vorm van informatie die rechtstreeks of indirect kan worden gekoppeld aan een individu en betrekking heeft op zijn persoonlijk, professioneel of publiek leven. Het kan dus gaan om een naam, E-mailadres, foto, medische, financiële of commerciële gegevens. Maar ook machinale data zoals een IP-adres, locatiegegevens, transacties of webserverlogs kunnen persoonsgegevens zijn. Het E-mailadres [email protected] kan van vele Jannen zijn. Maar in combinatie met een telefoonnummer of adres kan dit tot één persoon herleid worden en dus valt dit onder de GDPR.

(Geen) paniek
Volgens deskundigen hebben veel organisaties de nieuwe wet onderschat. Ongeveer de helft van bedrijven en instellingen zou volgens hen niet op tijd klaar zijn met de implementatie van deze nieuwe wet- en regelgeving. Anderen stellen zelfs dat er paniek is uitgebroken bij diverse organisaties: “Ze beseffen nu pas dat het niet gaat om ‘eventjes de privacypolicy op de website aanpassen’. Het gaat ook om aanpassing van de ICT-systemen, de beveiliging.”
Het is derhalve verstandig om tijdig een ICT-specialist te raadplegen voor een GDPR-check die bestaat uit een inventarisatie van de ICT-omgeving en security-processen.