De Algemene verordening gegevensbescherming (AVG) is de vertaling van de General Data Protection Regulation (GDPR) en vervangt in Nederland vanaf 25 mei 2018 de huidige Wet bescherming persoonsgegevens (Wbp).
De GDPR is een richtlijn waarmee de Europese commissie de persoonsgegevens binnen de Europese Unie (EU) strenger gaat beschermen. De GDPR synchroniseert alle huidige lokale databeschermingswetten en gaat gelden voor alle landen in de EU. Ook worden in de verordening regels vastgelegd voor het exporteren van persoonsgegevens naar landen buiten de EU.
Substantiële uitdagingen
De nieuwe regels brengen substantiële wijzigingen en uitdagingen met zich mee voor organisaties die werken met persoonsgegevens van EU-burgers. De nieuwe verordening legt vast hoe organisaties persoonsgegevens mogen verzamelen, verwerken, opslaan en overdragen.
Tegen het einde van mei 2018 moeten bedrijven passende technische en organisatorische maatregelen hebben doorgevoerd en kunnen aantonen dat zij voldoen aan de nieuwe richtlijnen. Verder zijn bedrijven verplicht om deze maatregelen doorlopend te beoordelen en indien nodig, bij te stellen.
Hoogtepunten van de GDPR
Bedrijven hebben twee jaar de tijd om te voldoen aan de regels van de GDPR. Als zij na 25 mei 2018 niet voldoen aan de eisen van de GDPR, lopen zij kans op forse boetes en reputatie- en imagoschade.
Hieronder een opsomming van de belangrijkste aspecten van de GDPR:
- Privacy beleid: organisaties moeten hun privacybeleid duidelijk op hun website publiceren en aan klanten in heldere taal hun rechten uitleggen.
- Uitdrukkelijke toestemming: organisaties zijn verplicht om vooraf, via een eenduidige verklaring of actie, uitdrukkelijke toestemming te verkrijgen van de betrokkenen voordat gegevens mogen worden verzameld. Betrokkenen moeten in staat zijn, toestemming te allen tijde in te trekken.
- Meldplicht datalekken: organisaties moeten binnen 72 uur na ontdekkling, datalekken melden bij de autoriteiten en een register bijhouden van alle inbreuken. Betrokkenen moeten worden ingelicht over eventuele inbreuken op hun niet-versleutelde persoonsgegevens.
- Meer rechten: burgers hebben de mogelijkheid om hun eigen gegevens in te zien en te laten wissen als ze daarom vragen ("het recht om vergeten te worden"). Daarnaast moeten klanten hun persoonlijke gegevens in een handzaam formaat, kunnen laten overdragen naar een andere provider.
- Voortdurende controle: organisatie die persoonsgegevens verzamelen, verwerken, opslaan en overdragen, worden verplicht om "data impact assessments" uit te voeren om de privacyrisico's te identificeren en passende maatregelen te ondernemen.
- Data Protection Officers (DPO's): alle organisaties, ook buiten de EU, die op grote schaal persoonsgegevens van EU-burgers verwerken, zijn verplicht om een Data Protection Officer te benoemen.
Gevolgen van de GDPR voor uw bedrijf
De GDPR heeft aanzienlijke impact op de manier waarop bedrijven in de toekomst met data en vooral persoonsgegevens om mogen gaan.
Lokaliseren van data
Een zeer ingrijpend aspect van de GDPR is dat iedere burger het recht krijgt om op elk gewenst moment van een organisatie te eisen dat deze alle over hem of haar opgeslagen persoonsgegevens verwijdert. Alle organisaties moeten op ieder moment kunnen aantonen dat zij daar inderdaad toe in staat zijn. Dat betekent dat u dus op ieder moment, binnen afzienbare tijd moet kunnen aantonen wat u over een bepaald persoon hebt opslagen en waar.
Een effectief pad naar naleving van deze steeds strengere wetten voor privacybescherming, begint daarom met het achterhalen waar informatie zich bevindt en wat er moet worden beveiligd.
Bescherming van data
Een andere substantiële consequentie is dat door de strengere wetgeving, ook onbedoelde openbaring van persoonsgegevens, bijvoorbeeld tijdens corporate transacties, interne of externe onderzoeken, veel serieuzere gevolgen gaan hebben. Onder de GDRP kunnen sancties voor inbreuk op privacy oplopen tot 4 procent van de wereldwijde jaaromzet of 20 miljoen dollar (wat groter is).
Encryptie speelt een belangrijke rol in het beveiligen van data. Ook daarvoor is het belangrijk goed te weten welke data u hebt, waar deze staat en welke data u moet beveiligen. En om praktische en kostentechnische redenen is het verstandig om te bekijken welke data versleuteld moet worden en welke niet.
Een zeer praktisch en veilige oplossing is het beheren en verwerken van uw data op zwaarbeveiligde cloud-servers. ZyLAB bijvoorbeeld levert haar gehele SAAS-oplossing via Microsoft Azure.
Overdragen van data
Helemaal lastig worden de regels die de GDPR neerlegt voor organisaties die regelmatig persoonsgegevens overdragen aan bedrijven en instanties over de grens. Voordat u data op een verantwoorde manier kunt overdragen, moeten alle persoonsgegevens gezien en geanonimiseerd zijn, en de transactie moet natuurlijk veilig zijn.
Voorbereiden op de GDPR
Bedrijven over de hele wereld doen er daarom goed aan de manier waarop zij persoonsgegevens opslaan en gebruiken, grondig te herzien. eDiscovery technologie zoals ZyLAB die levert, combineert geavanceerde zoektechnologieën, textmining, autoclassificatie, natural language processing (NLP) en machine learning technieken uit de wereld van Artificial Intelligence (AI) om persoonsgegevens te lokaliseren en indien nodig, uit te filteren.
Daarnaast helpen innovatieve oplossingen voor classificatie, auto-redactie en anonimisering om persoonsgegevens te blacklinen zodat data veilig en volgens de regels kan worden overgedragen.
De bulk-redactie functionaliteit van ZyLAB kan worden gebruikt om persoonsgegevens snel en effectief te beschermen”.