GDPR-verordening en -vereisten uitgelegd

GDPR-verordening en -vereisten

De GDPR-verordening is in mei 2018 van kracht geworden en is van toepassing op elke organisatie die goederen of diensten aanbiedt op de EU-markt. De GDPR is zelfs van toepassing als uw bedrijf niet in de EU is gevestigd, maar uw website klanten uit de EU heeft. Voordat we ingaan op de details van de GDPR-verordening en de bijbehorende vereisten, laten we eerst verduidelijken wat de GDPR beoogt te bereiken en waarom het voor u belangrijk is. Wees gerust, het doet er wel toe. Wist je dat privacy een mensenrecht is?

Inhoudsopgave

Wat beoogt de GDPR-verordening te bereiken?
Waarom maakt het u uit?
1. Minimaliseer uw datagebruik
2. Geef uw doelen aan & wettelijke basis
3. Onderhoud uw GDPR-register
4. Publiceer uw privacybeleid
5. Leg uw activiteiten voor het delen van gegevens vast
6. Eer de rechten van betrokkenen
7. Toestemming
8. Implementeer passende beveiligingsmaatregelen
9. Implementeer inbreukbewaking & rapportage
10. Privacy door ontwerp

Wat wil de GDPR-verordening bereiken?

De GDPR-verordening wil dat alle organisaties, groot en klein, inclusief die van jou, nadenken over de persoonlijke gegevens die ze gebruiken en zeer weloverwogen en attent zijn met waarom en hoe ze deze gebruiken. Dus GDPR wil dat je meer bewust bent als het gaat om de persoonlijke gegevens van je klanten, personeel, leveranciers etc. Dat is toch een goede zaak, iets waar je achter kunt komen, niet?

Anders gezegd, de GDPR-verordening wil een einde maken aan organisaties die alleen gegevens over individuen verzamelen omdat ze dat kunnen, omdat ze denken dat ze er nu of in de toekomst van kunnen profiteren, en dit zonder veel aandacht en zonder u te informeren. .

Zoals u in de onderstaande regels en vereisten zult zien, verbiedt GDPR niet echt veel. U kunt nog steeds deelnemen aan e-mailmarketing, u kunt nog steeds adverteren, u kunt nog steeds gegevens verkopen enz. zolang u transparantie geeft over hoe u de privacy van de individuen respecteert.

Waarom maakt het jou uit?

Het is belangrijk voor u of u een organisatie bent, aangezien het verplicht is om te voldoen aan de GDPR-verordening. Onze professionele en persoonlijke interacties zijn steeds meer digitaal, dus rekening houden met de privacy van individuen is precies het juiste om te doen. Klanten verwachten van hun geliefde winkels dat ze zorgvuldig omgaan met de persoonlijke gegevens die ze verstrekken, dus het op orde hebben van uw GDPR is iets waar u trots op kunt zijn en uw klanten zullen er dol op zijn.

Als individuele GDPR geeft u controle over de persoonlijke gegevens die u aan organisaties verstrekt. Allereerst geeft de GDPR je het recht om geïnformeerd te worden over wat organisaties van persoonsgegevens gebruiken en waarom. Tegelijkertijd heeft u het recht om geïnformeerd te worden over hoe zij uw privacy waarborgen. Bovendien kunt u bezwaar maken tegen het gebruik van uw gegevens, hen verzoeken uw gegevens te verwijderen of zelfs verzoeken uw gegevens over te dragen aan een concurrerende dienst.

Laten we dus eens kijken naar de kernvereisten van de GDPR.

1. Minimaliseer uw datagebruik

U als organisatie moet ervoor zorgen dat u alleen de minimaal mogelijke gegevenselementen verzamelt om een bepaald doel te bereiken. Als u bijvoorbeeld online verkoopt, hoeft u uw gebruikers meestal alleen een e-mail en een wachtwoord op te geven om het registratieproces goed te laten verlopen. Het is niet nodig om gebruikers naar hun geslacht, geboorteplaats of zelfs hun adres te vragen als onderdeel van het registratieproces. Wanneer gebruikers doorgaan met het aanschaffen van een artikel en het willen laten verzenden, heeft u in dat stadium het recht om het adres van de gebruiker op te vragen, aangezien dit essentiële informatie is voor een verzendproces.

Als u de hoeveelheid verzamelde gegevens minimaliseert, minimaliseert u de impact van mogelijke privacy- of beveiligingsgerelateerde incidenten. Dataminimalisatie is een kernvereiste van de GDPR en het krachtigst in zijn effect om de privacy van uw gebruiker te beschermen.

2. Geef uw doelen aan & wettelijke basis

Voortbouwend op de vereiste van gegevensminimalisatie, schrijft de AVG voor dat u persoonlijke gegevens alleen mag gebruiken voor een aangegeven en gedocumenteerd zakelijk doel, ondersteund door een van de 6 beschikbare AVG-rechtsgrondslagen. Met andere woorden, uw gebruik van persoonlijke gegevens is beperkt tot een aangegeven doel en rechtsgrond. Elke verwerking van persoonlijke gegevens die u onderneemt, moet worden gedocumenteerd in een AVG-register, samen met het doel en de wettelijke basis. Bijvoorbeeld:

Procesnaam: gebruikersregistratie
Beschrijving: proces voor de gebruiker om zich op de website te registreren en een account te hebben
Doel: gebruikers een account laten hebben om hun voorkeuren op te slaan en items te bestellen
Wettelijke basis: contract

Deze documentatie dwingt u om na te denken over elke verwerkingsactiviteit en zorgvuldig het doel en de wettelijke basis ervoor te overwegen. GDPR maakt 6 rechtsgrondslagen mogelijk:

Contract

De verwerking is noodzakelijk voor een contract dat u met de persoon heeft, of omdat deze u heeft gevraagd om specifieke stappen te ondernemen voordat u een contract aangaat.

Wettelijke verplichting

De verwerking is noodzakelijk om te voldoen aan de wet (exclusief contractuele verplichtingen).

Gerechtvaardigd belang

U of een derde partij heeft een gerechtvaardigd belang dat het verwerken van de gegevens noodzakelijk maakt, en er zijn geen belangen, rechten of vrijheden van een ander die uw belang overtreffen. U kunt bijvoorbeeld een legitiem belang hebben bij het op de markt brengen van uw goederen aan bestaande klanten om de verkoop te verhogen.

Toestemming

De persoon heeft u duidelijke toestemming gegeven om zijn persoonlijke gegevens voor een specifiek doel te verwerken.

Vitale interesse

De verwerking is nodig om iemands leven te beschermen, bijv. in een noodsituatie.

Algemeen belang

De verwerking is noodzakelijk voor het uitvoeren van een taak van algemeen belang of voor uw officiële functie en de taak of functie heeft een duidelijke wettelijke basis.
Wanneer u een dienst van een organisatie koopt (bijv. Een online detailhandelsdienst), zijn de kernactiviteiten waaruit die dienst bestaat bijv. het betalen van de artikelen en het verzenden van de artikelen zijn essentieel voor het leveren van de service. Als gevolg hiervan kan de verwerking van uw persoonlijke gegevens voor deze doeleinden doorgaans vallen onder de AVG-rechtsgrond contract . Met andere woorden, de organisatie stelt dat ze deze activiteiten uitvoeren met uw persoonsgegevens om het contract dat u met hen heeft, na te komen. U verwacht in feite van hen dat ze deze activiteiten uitvoeren, zodat u van hun service kunt genieten zoals u hen hiervoor hebt gecontracteerd. Sommige activiteiten die de organisatie uitvoert, zijn bedoeld om aan haar wettelijke verplichtingen te voldoen, bijv. u factureren, beschadigde goederen terugnemen. En ook hier verwacht u dat ze dat ook doen.

Voor de meeste bedrijven worden de zaken steeds zwakker dan contract en wettelijke verplichting . Als derde optie kunnen organisaties een beroep doen op hun legitieme belangen om de persoonsgegevens van een individu te verwerken, bijv. e-mails sturen over nieuwe producten en diensten. Gebruikers hebben echter het recht om bezwaar te maken tegen dit soort verwerking en te vragen om deze te stoppen.

Een laatste optie voor de meeste organisaties in termen van juridische basis is toestemming. Dit betekent dat de organisatie zich niet kan beroepen op een contract, een wettelijke verplichting of enig gerechtvaardigd belang en de toestemming van de gebruiker moet vragen voor de verwerking van de persoonsgegevens. Toestemming heeft veel aandacht gekregen als onderdeel van de cookie-pop-up, maar nu begrijp je dat de juridische basis eigenlijk vrij zwak is en eigenlijk als een laatste redmiddel moet worden beschouwd. Verderop in dit document hebben we een speciale sectie over toestemming. Let voor de volledigheid op dat vitale belangen als rechtsgrondslag bijvoorbeeld wel van toepassing zijn op de medische professie en de rechtsgrondslag van algemeen belang voor openbare lichamen.

Het aanmaken van een dergelijk GDPR-register met alle verwerkingen van persoonsgegevens die uw organisatie onderneemt, klinkt misschien een uitdaging, maar dit is waar GDPRWise kan helpen. Voor meer dan 30 sectoren hebben we zo’n register gemaakt waar u gebruik van kunt maken. Het enige dat u hoeft te doen, is verifiëren en waar nodig verfijnen. Bekijk onze GDPRWise pagina hoe het werkt .

3. Onderhoud uw GDPR-register

Er zit veel kracht in het maken van een eenvoudige lijst. U maakt waarschijnlijk de hele tijd lijsten: uw takenlijst, uw boodschappenlijst, een lijst met potentiële klanten om contact op te nemen, een lijst met te betalen facturen, enz. Het maken van een lijst dwingt u om na te denken over het onderwerp en na te denken over welk item het op de lijst komt te staan en welk item niet. Het hebben van een lijst betekent dat u nu een basis stukje documentatie heeft, dat u later kunt gebruiken en uitbreiden. U kunt de lijst nu zelfs delen met een collega, zodat u de inhoud kunt communiceren en kunt samenwerken om waar nodig te verbeteren.

De AVG vereist dat een organisatie een register van verwerkingsactiviteiten bijhoudt. Wanneer uw nationale toezichthoudende autoriteit bij u aanklopt, is het GDPR-register hoogstwaarschijnlijk het eerste document waar ze om vragen. Uw AVG-register moet alle verwerkingen van persoonsgegevens die u onderneemt vermelden, samen met enkele essentiële informatie-elementen:

Beschrijving van de gegevensverwerking
Partij verantwoordelijk voor de gegevensverwerking
Zakelijk doel
Wettelijke basis
Type betrokken gegevensitems
Bewaartermijn voor gegevens
Beveiligingsafspraken gemaakt
Partijen met wie de gegevens worden gedeeld
Waar worden de gegevens verwerkt

4. Publiceer uw privacybeleid

De AVG legt alle organisaties de plicht op om haar gebruikers te informeren en transparantie te bieden over hun gegevensprivacypraktijken. Kortom, uw organisatie moet een privacybeleid publiceren, zodat individuen kunnen lezen over de gegevens die u verzamelt en over uw privacymaatregelen voordat ze uw service gebruiken.

Voordat u begint met googlen om snel tekst van internet te kopiëren en te plakken, moet u weten dat uw privacybeleid de gegevensvoetafdruk van uw organisatie en de privacymaatregelen die u heeft geïmplementeerd, moet weerspiegelen. Al het andere riskeert uw klanten verkeerd te informeren en stelt u bloot aan uitdagingen en boetes.

Om de transparantie te vergroten, vereist GDPR dat uw privacybeleid beknopt, specifiek en in duidelijke en duidelijke taal is. Een polis met veel brede en algemene uitspraken of ingediend met juridisch jargon is simpelweg niet acceptabel. De GDPR-verordening specificeert ook de informatie-elementen die minimaal moeten worden opgenomen:

Identiteit en contactgegevens van de gegevensbeheerder en zijn vertegenwoordiger
Beschrijving van de gegevensverwerkingsactiviteiten
Beschrijving van de zakelijke doeleinden en de bijbehorende juridische basis
Type betrokken gegevensitems
Bewaartermijn voor gegevens
De bron van de gegevens, als de gegevens niet door de gebruiker zijn verstrekt
Alle partijen met wie de gegevens worden gedeeld
Alle gegevensoverdrachten buiten de EU
Gebruikers informeren over hun GDPR-rechten als betrokkene
Gebruikers informeren over hoe ze een klacht kunnen indienen bij een toezichthoudende autoriteit

Zoals u kunt zien, maakt de meeste informatie die in uw privacybeleid moet voorkomen ook deel uit van uw GDPR-register. Dus uw inspanningen om een GDPR-register te maken, kunnen worden benut. In feite kunnen wij bij GDPRWise uw privacybeleid genereren op basis van de inhoud van uw registratie met een enkele klik. Zoals gezegd hebben we voor meer dan 30 sectoren een ingevuld GDPR-register aangemaakt, zodat je er in een mum van tijd zelf een kunt maken. Bekijk onze GDPRWise pagina hoe het werkt .

Houd er rekening mee dat als uw organisatie personeel in dienst heeft, u ook enkele van hun persoonsgegevens verwerkt. Uw plicht om te informeren en transparantie te bieden, strekt zich uit tot alle personen over wie u persoonsgegevens verwerkt. Het hebben van een privacybeleid dat specifiek is bedoeld om uw personeel te informeren, is dus verplicht.

5. Leg uw activiteiten voor het delen van gegevens vast

Tot nu toe heeft u er misschien niet echt over nagedacht, maar de kans is groot dat uw bedrijf al aardig wat persoonsgegevens deelt met een aantal derde partijen. Verbaasd?

Elke organisatie heeft een accountant. De facturen en bankafschriften die u met uw accountant deelt, bevatten persoonsgegevens van uw klanten, leveranciers en personeel
Als u personeel heeft, is de loon- en uitkeringsberekening doorgaans complex en wordt deze vaak uitbesteed aan een HR-dienstverlener. Als gevolg hiervan deelt u persoonlijke gegevens over uw personeel met die derde partij
Wanneer u cloud- of gehoste software gebruikt om het runnen van uw organisatie te ondersteunen, bijv. klantrelatiebeheersoftware, verkoopplatform (Booking.com, AirBnB etc.) boekhoudsoftware, marketingplatform (Mailchimp, Hubspot etc.) de softwareleverancier heeft mogelijk toegang tot een deel van de gegevens in die software om u ondersteunen.
Levering, verzending en transportdiensten zoals DHL, UPS, Uber enz. waarmee u namen en adressen deelt
Sociale mediaplatforms zoals Facebook, Instagram, Pinterest, Linkedin, Youtube enz.

Zoals u kunt zien, deelt u, zelfs als uw organisatie geen gebruik maakt van sociale media, bepaalde gegevens waarschijnlijk met een aantal derde partijen. De GDPR verbiedt deze interacties niet, maar stelt wel de volgende vereisten:

U bent verplicht om personen te informeren over het delen van hun persoonlijke gegevens en om aan te geven met wie hun gegevens worden gedeeld, met welk doel en op welke wettelijke basis. Kortom, uw privacybeleid en GDPR-register moeten de overdracht correct documenteren.
Elke overdracht van persoonlijke gegevens kan alleen worden gebruikt door de ontvangende derde partij voor het gedocumenteerde doel.
Als de wettelijke basis voor het delen het legitieme belang van uw organisatie is, heeft de gebruiker het recht om bezwaar te maken en zult u waarschijnlijk het delen moeten stoppen en ongedaan maken.
Gegevens van bijzondere categorieën (medische gegevens, ras en etniciteit enz. zie GDPR Art. 9) kunnen nooit worden gedeeld op basis van gerechtvaardigd belang.
Elke overdracht van persoonlijke gegevens buiten de EU is onderworpen aan aanvullende vereisten. Het zou raadzaam zijn om ervoor te zorgen dat de ontvangende partij in een land woont dat volgens de EU gelijkwaardige veiligheidspraktijken en waarborgen heeft. Als u gegevens naar een niet-equivalent land wilt overdragen, dient u juridisch advies in te winnen.

6. Eer de rechten van de betrokkene

GDPR geeft ons allemaal controle over onze persoonlijke gegevens, wat een van de grote voordelen van de verordening is. Telkens wanneer organisaties onze persoonsgegevens verwerken, geeft GDPR ons een reeks rechten waarop we een beroep kunnen doen. Voorbeelden zijn het recht op informatie, het recht om toestemming in te trekken, het recht op toegang tot uw gegevens, het recht om vergeten te worden etc. U staat niet langer machteloos, u kunt deze rechten op elk moment uitoefenen.

Vanuit het perspectief van de organisaties die de persoonlijke gegevens van individuen gebruiken, is het eerste dat u moet doen, ervoor te zorgen dat u individuen informeert over hun rechten. Met andere woorden, uw privacybeleid moet de rechten van de betrokkene omschrijven en hoe gebruikers deze kunnen uitoefenen. Bovendien moet u ook aangeven hoe gebruikers een klacht kunnen indienen bij de toezichthoudende autoriteit als ze dat zouden willen. Wij bij GDPRWise zorgen ervoor dat het privacybeleid dat u bij ons genereert de juiste clausule voor betrokkenen bevat, dus bekijk hoe het werkt .

U moet niet alleen uw gebruikers informeren, maar u moet ook de juiste processen binnen uw organisatie implementeren om ervoor te zorgen dat u snel kunt reageren op verzoeken van individuen. GDPR biedt organisaties doorgaans een responstijd van een maand. We raden u aan om een speciale privacy-mailbox in te stellen, zodat geen verzoek van de betrokkene wordt gemist. Indien gewenst kunt u ook kijken naar het uitbesteden van deze taken aan partijen die Data Rep en DPO achtige diensten aanbieden.

7. Toestemming

Toestemming is waarschijnlijk het minst geliefde GDPR-onderwerp, aangezien bijna elke website je dwingt om langs een pop-up voor cookietoestemming te worstelen voordat je toegang hebt tot de eigenlijke website. Voordat we ingaan op het cookiegedeelte, begrijpt u uit het bovenstaande al dat toestemming een van de 6 rechtsgrondslagen is die GDPR toestaat voor elke verwerking van persoonsgegevens.

Er zijn een aantal vereisten voor het vastleggen van toestemming. Toestemming zou moeten zijn …

1. Vrij gegeven

Het individu moet een reële keuze worden geboden, zonder onder druk te worden gezet om toestemming te bewijzen door bijvoorbeeld negatieve effecten op te wekken. Als gevolg hiervan zal een werkgever die voor bepaalde verwerkingen toestemming vraagt aan zijn werknemer, zelden als vrijelijk worden beschouwd. Als bijvoorbeeld een Quiz-app uw toestemming vraagt voor het volgen van uw locatie en hoewel locatietracering niet essentieel is om het spel te spelen, werkt de app niet zonder uw toestemming; dan wordt ook hier de toestemming niet als vrij gegeven beschouwd.

1. Specifiek

Voor elk specifiek doel moet toestemming worden gevraagd. Met andere woorden, wanneer de verwerking meerdere doeleinden heeft, moet voor alle afzonderlijk toestemming worden gegeven. U kunt bijvoorbeeld niet tegelijkertijd toestemming vragen voor een nieuwsbrieffunctie en het delen van gegevens met commerciële partners. Gebruikers moeten in staat zijn om toestemming te geven voor en toestemming in te trekken voor elk specifiek verwerkingsdoel.

1. Geïnformeerd

Het verzoek moet duidelijk, beknopt en in duidelijke taal zijn voordat de verwerking plaatsvindt. Tegelijkertijd moet u uw gebruikers informeren dat ze hun toestemming en te allen tijde kunnen intrekken en hoe ze dit moeten aanpakken. Alle toestemmingsgerelateerde informatie moet duidelijk en gemakkelijk te begrijpen zijn en mag in geen geval begraven worden in andere wettelijke of contractuele clausules.

1. gebaseerd op een duidelijke bevestigende handeling

Stilzwijgen, vooraf aangevinkte vakjes of inactiviteit vormen geen toestemming. U kunt een leeg aankruisvakje op uw website plaatsen. Zorg er natuurlijk voor dat u ook aan de andere toestemmingsvereisten voldoet.

1. Aantoonbaar

De gegevensbeheerder, d.w.z. de hoofdverantwoordelijke voor de verwerking, moet te allen tijde kunnen aantonen dat de gebruiker toestemming heeft gegeven voor de verwerking.

1. even gemakkelijk herroepen als gegeven

Als u slechts op een selectievakje op een website hoeft te klikken om toestemming te geven, zou het intrekken van de toestemming zo eenvoudig moeten zijn. Klassieke voorbeelden waarbij winkeliers het moeilijk maken om uit te schrijven, zijn bijvoorbeeld erop aandringen dat u een nummer belt, omdat dit niet in overeenstemming is en u uw toezichthoudende autoriteit gemakkelijk kunt uitdagen en zelfs kunt rapporteren.

Houd er rekening mee dat voor de speciale categoriegegevens (GDPR art. 9), zoals medische gegevens, elke toestemming hier expliciet moet zijn. Elke uitdrukkelijke toestemming gaat verder dan de normale toestemming en vereist bijvoorbeeld een handtekening of extra bevestiging via e-mail.
Aha ja, en hoe zit het met die gevreesde cookie-toestemmingen?

Een cookie (ook wel webcookie, internetcookie, browsercookie genoemd) is een klein stukje gegevens dat vanaf een website wordt verzonden en door de webbrowser van de gebruiker op de computer van de gebruiker wordt opgeslagen wanneer de gebruiker de website bezoekt. GDPR heeft de aandacht gevestigd op cookies, omdat ze meestal stukjes persoonlijke gegevens opslaan bij het bezoeken van een website zonder uw medeweten. Je zou openbare internetsites kunnen vergelijken met openbare ruimtes in de echte wereld. Hoe zou u zich voelen als in de echte wereld iemand zou beginnen met het verzamelen van persoonlijke gegevens over u zonder dat u hiervan op de hoogte bent of dat u zich hiervan bewust bent?

Cookies zijn ontworpen voor websites om informatie te onthouden die de gebruiker eerder op de website heeft ingevoerd, bijv. namen, adressen, creditcardnummers enz. Ze onthouden ook of u zich aanmeldt, of instellingen en voorkeuren opneemt die u op de site heeft. Cookies die persoonlijke gegevens bevatten, moeten worden gecodeerd om te voorkomen dat hackers de informatie lezen in of zelfs toegang krijgen (met de inloggegevens van de gebruiker) tot de website waartoe de cookie behoort. Controleer dus met uw softwareleverancier en IT-ondersteuningsteams welk type cookies uw website of internetsoftware instelt en of de inhoud is gecodeerd.

Een speciale categorie cookies zijn de trackingcookies die vaak worden gebruikt als manieren om langetermijnrecords van de browsegeschiedenis van individuen samen te stellen. Aangezien deze praktijk heel duidelijk bestaat uit het verzamelen van persoonlijke gegevens, valt dit binnen de reikwijdte van de GDPR. GDPR dringt erop aan dat alle persoonlijke gegevens die worden verzameld minimaal en onderbouwd zijn, d.w.z. een wettelijke basis hebben.

Gezien de vaak twijfelachtige motieven zonder echte link naar de service waar de klant naar op zoek is, blijft men de gebruiker vriendelijk vragen of hij of zij eraan onderworpen wil worden, met andere woorden toestemming vragen in overeenstemming met de bovengenoemde toestemmingsvereiste.

8. Implementeer passende beveiligingsmaatregelen

Geen privacy zonder goede beveiliging. U kunt de beste privacyregelingen hebben, maar als uw beveiliging niet op peil is, zal dit onvermijdelijk leiden tot ongeoorloofde openbaarmaking.

Belangrijk om op te merken is dat beveiliging niet één ding is, maar een verzameling benaderingen, praktijken en maatregelen die zo sterk zijn als hun zwakste schakel. We hebben een kennisbankitem gemaakt Gegevensbeveiliging – wat u moet overwegen in uw voordeel. De bijbehorende kennisbankitems bevatten ook praktische tips zoals een lijst met vragen die u aan uw IT-ondersteuningspartner kunt stellen.

Als u op de hoogte bent van de basisprincipes van gegevensbeveiliging, wordt u en uw IT-ondersteuningspartner geadviseerd om gebruik te maken van uw GDPR-register en de lijst met gebruikte systemen te doorlopen. U wilt minimaal de onderstaande aspecten bekijken:

- Is de fysieke beveiliging gepast?

Bevindt het systeem zich op een fysieke locatie die voldoende veilig en beveiligd is? Voor alle systemen die wereldberoemde cloudsystemen zijn (bijv.Microsoft.com, Shopify.com) is het antwoord meestal Ja en wordt bewezen door de beveiligingscertificeringen die ze hebben verkregen en gepubliceerd. Voor alle systemen die uw bedrijf host, wilt u ervoor zorgen dat u maatregelen heeft getroffen om ervoor te zorgen dat alleen de juiste mensen toegang hebben tot het pand, het kantoor, de winkel, de serverruimte, de archiefkast enz. Voor de onvermijdelijke papieren documenten die de meeste bedrijven nog hebben, hebben we heeft een speciaal kennisbankitem gemaakt, Gegevensbeveiliging voor papieren documenten .

- Is het systeem & softwarebeveiliging passend?

Bekijk ons speciale kennisitem, Beveiliging voor systemen en software – principes om dit onderwerp verder te verkennen. Er zijn een aantal aspecten die u moet bekijken en maatregelen die u kunt toepassen. Enkele voorbeelden: zijn op alle systemen de laatste beveiligingspatches aangebracht? Worden bij alle systemen de juiste toegangscontrole afgedwongen? Heeft u waar mogelijk tweefactorauthenticatie ingeschakeld? Dwingt het systeem sterke wachtwoorden af? Kunnen we gegevensitems die we niet gebruiken verwijderen of verbergen in overeenstemming met het AVG-dataminimalisatieprincipe?

- Is gegevensbeveiliging gepast?

Voor het MKB zijn er twee kernaspecten die hier moeten worden gecontroleerd: back-ups en gegevenscodering. Bevestig dat er een back-up van de systemen is gemaakt en dat die back-ups zich op een veilige plaats bevinden. Tegelijkertijd wilt u van tijd tot tijd testen of een herstelbewerking met succes kan worden uitgevoerd. Bevestig aan de kant van de gegevensversleuteling dat alle persoonlijke gegevens zowel in rust als tijdens verzending zijn versleuteld. Bekijk ons speciale kennisbankitem Gegevensbeveiliging – waar moet u op letten? meer informatie.

- Worden alle maatregelen regelmatig herzien?

Uw beveiligingsmaatregelen moeten regelmatig worden herzien en bijgewerkt. Dit geldt niet alleen voor uw apparatuur en infrastructuur, maar ook voor de mensen die deze bedienen en gebruiken. We willen benadrukken hoe belangrijk het is om de menselijke factor niet over het hoofd te zien zoals deze is bewezen keer op keer om de zwakste schakel te zijn in een beveiliging en privacybescherming. U moet ervoor zorgen dat de juiste beveiliging & privacygewoonten worden aangeleerd en toegepast in de dagelijkse praktijk van uw bedrijf. Er zijn veel online leerplatforms die Security Awareness Training en Data Privacy Training aanbieden tegen zeer betaalbare prijzen. Ervoor zorgen dat alle nieuwe leden en al het personeel deze trainingen minstens één keer per jaar doorlopen, is essentieel voor een veilige en privacyconforme operatie. Het wordt aanbevolen dat u een gedragscode implementeert die beveiliging & privacy en andere ethische bedrijfspraktijken.

9. Implementeer inbreukbewaking & rapportage

De GDPR-verordening definieert een inbreuk op persoonsgegevens als een inbreuk op de beveiliging die leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens, of deze nu zijn opgeslagen, verzonden of anderszins verwerkt.

De AVG is bedoeld om ervoor te zorgen dat alle bedrijven persoonlijke gegevens serieus nemen en er zorgvuldig mee omgaan. Een datalek is een zeer ernstige gebeurtenis met mogelijk ernstige gevolgen voor zowel het bedrijf als de betrokken personen.

U moet een logboek bijhouden van alle inbreuken, zelfs de kleinste incidenten moeten worden geregistreerd. Het logboek moet het incident zelf, de oorzaak, de gevolgen, het risico van toekomstige schade, de betrokken gegevens en de maatregelen die zijn genomen om de risico’s op verdere schade te beperken, beschrijven. U kunt onze sjabloon voor een dergelijk incidentlogboek hier bekijken.

Inbreuken met een waarschijnlijke impact op de rechten en vrijheden van individuen moeten worden gemeld aan de toezichthoudende autoriteit en mogelijk de getroffen personen .

Het is van vitaal belang dat bedrijven passende technische en organisatorische maatregelen nemen om mogelijke datalekken te voorkomen. Tegelijkertijd zullen bedrijven ervoor moeten zorgen dat hun systemen worden gecontroleerd op datalekken. Men kan geen melding maken van mogelijke inbreuken in verband met persoonsgegevens als men een dergelijke inbreuk niet kan detecteren. Er bestaat gespecialiseerde software om systeeminbraken te detecteren en u dient bij uw softwareleveranciers en IT-teams te bevestigen dat deze worden ingezet voor uw verwerking.

Niet alle datalekken worden veroorzaakt door kwaadwillende derden zoals hackers. Er zijn tal van voorbeelden van onopzettelijk verlies of onbedoelde ongeoorloofde toegang:

Een personeelslid verliest een USB-stick / -drive waarop persoonlijke gegevensbestanden staan terwijl de drive noch de gegevensbestanden worden versleuteld
Een lid van het verkooppersoneel plaatst per ongeluk een omzetrapport met namen en financiële gegevens van klanten op de openbare website in plaats van op de intranetteamsite.
Een medewerker voegt het verkeerde bestand toe aan een e-mail, wat resulteert in onbedoelde openbaarmaking van persoonlijke gegevens
Een personeelslid verwijdert per ongeluk klantgegevens, wat leidt tot verlies van persoonlijke gegevens

Een bedrijfscultuur waar gegevensbeveiliging & privacy is een kernwaarde die niet alleen dergelijke ongevallen helpt voorkomen, maar vaak ook helpt om de impact te minimaliseren. De menselijke factor en ervoor zorgen dat al het personeel regelmatig wordt beveiligd & privacybewustzijnstrainingen zijn de sleutel tot het creëren van de juiste beveiliging & privacy cultuur.

10. Privacy door ontwerp

Het einddoel van de GDPR is echt om ervoor te zorgen dat privacy centraal staat voor u en alle organisaties bij al zijn activiteiten. Al in het stadium van nieuwe ideeën en plannen, zou u al de privacyreflex moeten hebben om ervoor te zorgen dat u het gebruik minimaliseert, het doel beperkt, de wettelijke basis vastlegt, rekening houdt met de rechten van de gebruiker, wees voorzichtig bij het delen, bedenk hoe u gebruikers kunt informeren en zorg voor passende veiligheidsmaatregelen. Het moet voor u en uw organisatie een tweede natuur zijn om privacy by design of een privacy-first-benadering te hebben. Privacy is een mensenrecht. Uw gebruikers vertrouwen erop dat u met hun persoonlijke gegevens omgaat met de zorg die deze verdient.