Voor de meeste moderne bedrijven zijn data hun belangrijkste asset. Met betrekking tot commerciële activiteiten vormen data de basis voor sales en marketing, en eigenlijk zorgen die data ervoor dat je in contact kunt blijven met klanten en dat je informatie over werknemers kunt bewaren. Maar in het hele GDPR gebeuren is dit natuurlijk een belangrijk gegeven, een veel gebruikt gezegde zegt dan ook"with great power comes great responsibility".
Gegevensbeveiliging heeft een nieuw en scherper randje gekregen in ons steeds gesofisticeerdere digitale tijdperk. Betere maatregelen op het gebied van cyberveiligheid voor bedrijven en de nieuwe GDPR-verordening zijn de beste manier om mogelijke cyberaanvallen een stap voor te blijven. Dit legt de verantwoordelijkheid bij individuele bedrijven om de persoonlijke gegevens op hun systemen te beveiligen en verantwoordelijk te gebruiken.
Het alternatief is nauwelijks het vermelden waard. Telkens als een belangrijk gegevenslek aan het licht komt, wordt duidelijk hoe snel kwetsbare systemen en protocollen misbruikt kunnen worden, met mogelijk rampzalige gevolgen op het vlak van misbruik van gegevens, fraude en identiteitsdiefstal. Voor uw organisatie betekent dit ook hoge boetes, compensatievergoedingen en verlies van reputatie.
Denk maar aan de recente spectaculaire aanvallen op NHS, FedEx en computersystemen tot in Rusland, Taiwan en India, die door The Telegraph "het grootste offensief van ransomware in de geschiedenis" worden genoemd.
Aan welke wetgeving moet je voldoen?
Momenteel moeten alle Britse bedrijven voldoen aan de wet inzake gegevensbescherming van 1998. Deze wordt vervangen door de EU General Data Protection Regulation (GDPR), een Europese wet die definitief van kracht zal worden in mei 2018 en die geldt voor alle bedrijven in Europese Unie en zelfs in het Verenigd Koninkrijk, ondanks Brexit.
Het principe achter GDPR is dat betere gegevensbeveiliging wordt gerealiseerd door meer verantwoordelijkheid te leggen bij individuele bedrijven om te voldoen aan de regelgeving, met extra slagkracht door hoge boetes tot 20 miljoen euro op te leggen in geval van niet-conformiteit. Bedrijven die persoonlijke gegevens willen verzamelen, opslaan en/of gebruiken, moeten zich registreren bij het ICO (Information Commissioner's Office).
Wat zijn de belangrijkste punten van GDPR?
In de GDPR worden persoonlijke gegevens gedefinieerd als alles wat kan worden gebruikt om een individueel persoon te identificeren. Dit omvat persoonlijke details zoals namen, e-mailadressen, IP-adressen, telefoonnummers, gps-gegevens, geboortedatums en gezondheidsinformatie.
Kort samengevat bepaalt de GDPR dat je het volgende moet doen:
- Gegevens op de juiste wijze en met goede reden verzamelen, bewaren en gebruiken.
De gegevens in kwestie moeten deel uitmaken van een klantencontract of de klant moet op een andere manier zijn expliciete toestemming hebben gegeven voor de verwerking van zijn gegevens.
- Gegevens rechtmatig gebruiken voor welbepaalde doeleinden.
Gegevens mogen alleen op een redelijke en transparante manier worden gebruikt en er moet een privacybeleid gevoerd worden dat gemakkelijk toegankelijk is voor de klant.
- Voldoende maar niet buitensporig veel gegevens verzamelen voor het aangegeven doel.
Bewaar enkel de persoonlijke gegevens van individuen die u echt nodig hebt en vernietig alle irrelevante of overbodige gegevens.
- Ervoor zorgen dat persoonlijke gegevens altijd correct en actueel zijn.
Je moet alle stappen nemen om ervoor te zorgen dat alle bewaarde persoonlijke gegevens regelmatig worden gecontroleerd en bijgewerkt of verwijderd.
- Persoonlijke gegevens die niet meer nodig zijn vernietigen.
Hoewel er geen minimum- of maximumduur werd bepaald dat hoe lang gegevens mogen bewaard worden, moeten de nodige stappen ondernomen worden om gegevens die niet meer nodig zijn te vernietigen.
- Alle persoonlijke gegevens die worden bewaard door het bedrijf beveiligen.
Er moet voor gezorgd worden dat er solide procedures en processen, alsook voldoende technische middelen worden ingezet om gegevens te beschermen tegen aanvallen en te reageren op eventuele gegevenslekken.
- Voldoen aan de uitgebreide datarechten van individuen.
Volgens GDPR hebben individuen het recht om geïnformeerd te worden, het recht op toegang, het recht op verbetering, verwijdering, beperkte verwerking, gegevensoverdraagbaarheid, aantekenen van beroep en rechten met betrekking tot het nemen van geautomatiseerde besluiten en profilering. Bedrijven hebben één maand om te reageren op aanvragen.
- Actieve maatregelen nemen om te bewijzen dat ze conform werken.
Maatregelen voor gegevensbeveiliging moeten worden geïntegreerd in bedrijfsprocessen aan de hand van een aantal verantwoordingstools, inclusief gegevensbeveiligingsbeleid, opleiding en beoordelingen.
Naar verwachting zal GDPR de Europese wetgeving inzake gegevensbescherming van de afgelopen twintig jaar grondig veranderen en zal de manier waarop bedrijven persoonlijke gegevens bewaren en verwerken steeds kritischer worden bekeken. Gezien de hoge boetes tot 4% van uw wereldwijde jaarlijkse omzet bij overtredingen, is de GDPR op eigen risico.
Opmerking: Dit blogartikel werd geschreven door een externe medewerker om onze lezers een verscheidener aanbod te geven. De standpunten uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.