Code rood: veel MKB-ers niet bewust gevolgen GDPR Raadpleeg NU securityspecialisten

De Europese richtlijnen voor databescherming zullen vanaf mei definitief gelden. Als bedrijven niet voldoen aan GDPR kunnen er forse boetes volgen. Dit kan resulteren in vier procent van de jaarlijkse omzet, met een maximum van 20 miljoen euro. Vanaf 25 mei gelden de GDPR-regels. Uit onderzoek van Tripware blijkt dat een kwart van de bedrijven niet in staat zal zijn om binnen 72 uur na een datalek een autoriteit in te lichten.

Tekst: Redactie | Foto: Pixabay

Bedrijven gebruiken persoonsgegevens om diensten te kunnen leveren aan hun klanten, leden of werknemers. Maar iedereen heeft uiteraard recht op privacy en mag verwachten dat bedrijven deze data beschermen en veilig bewaren. Mensen hebben ook het recht om te vragen welke data over hen bewaard wordt en om - indien gewenst - ‘vergeten’ te worden uit de systemen. De GDPR moet deze persoonlijke informatie in de huidige IT-omgeving beschermen.

Hoge boete
De nieuwe wet gaat enorme impact hebben op de werk- en handelwijze in organisaties en bedrijven. Samengevat moeten er passende technische en organisatorische maatregelen genomen worden voor de bescherming van privacy. Daar komt veel bij kijken. Voor een groot aantal bedrijven is er nog heel wat werk aan de winkel. Onder de nieuwe wet dienen organisaties transparanter te zijn over de manier waarop ze met data omgaan. Burgers krijgen meer en betere privacyrechten. Als organisaties niet op tijd aan de AVG/GDPR voldoen, hangt hun een boete boven het hoofd.

Waarom?
De vorige Europese richtlijn rond bescherming van digitale gegevens - de Data Protection Directive - dateert van 1995. Toen was bijvoorbeeld Windows95 zéér modern. De huidige wetgeving is hierop nog steeds gebaseerd. Net zoals de wetgeving in andere Europese lidstaten. Deze wetgeving werd echter door iedere lidstaat op een andere manier geïnterpreteerd. Er bestaan dus evenveel wetten en interpretaties als lidstaten. Dit leidt tot allerlei onduidelijkheid. Bovendien heeft de wet ook behoefte aan modernisering vanwege de enorme hoeveelheden data die tegenwoordig vergaard worden via bijvoorbeeld sociale media.
De nieuwe GDPR is een duidelijke Europese wetgeving die vastligt voor alle lidstaten. En dus ook voor alle bedrijven en organisaties.

Welke informatie en data?
We trappen een open deur in als we zeggen dat er veel veranderd is sinds 1995. Zeker ook in de hoeveelheid data en de manier waarop we die verzamelen. Eenvoudig gezegd gaat het bij GDPR om persoonsgebonden data: elke vorm van informatie die rechtstreeks of indirect kan worden gekoppeld aan een individu en betrekking heeft op zijn persoonlijk, professioneel of publiek leven. Het kan dus gaan om een naam, E-mailadres, foto, medische, financiële of commerciële gegevens. Maar ook machinale data zoals een IP-adres, locatiegegevens, transacties of webserverlogs kunnen persoonsgegevens zijn. Het E-mailadres [email protected] kan van vele Jannen zijn. Maar in combinatie met een telefoonnummer of adres kan dit tot één persoon herleid worden en dus valt dit onder de GDPR.

Alarmcode rood
Volgens deskundigen hebben veel organisaties de nieuwe wet onderschat: “Ze beseffen nu pas dat het niet gaat om ‘eventjes de privacypolicy op de website aanpassen’. Het gaat ook om aanpassing van de ICT-systemen, de beveiliging.”

Het is derhalve verstandig om met de hoogste urgentie een ICT-specialist te raadplegen voor een GDPR-check die bestaat uit een inventarisatie van de ICT-omgeving en security-processen.