De impact van AVG (GDPR) op de organisatie van je digitale platform

Auteur
Sander Nieuwenhuis
Datum

Omdat organisaties in toenemende mate privacy gevoelige data opslaan gaat de EU de privacy van haar burgers beter te beschermen. Daarom heeft de EU haar wetgeving aangescherpt: vanaf 25 mei 2018 moet elke organisatie aan de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd, voldoen.

Waartoe verplicht de AVG?

De AVG omvat een brede set maatregelen, die grotendeels ook terug te vinden zijn in de huidige Nederlandse privacy wetgeving. Vaak worden de in Nederland bekende maatregelen aangescherpt of uitgebreid. Een bloemlezing:

  • Privacy by Design: privacy bescherming moet onderdeel zijn van het ontwerp van nieuwe omgevingen. Voer altijd een Privacy Impact Analyse (PIA) uit om de risico’s in kaart te brengen.
  • Consent: toestemming voor het verwerken van persoonsgegevens moet van tevoren gegeven zijn en eenvoudig kunnen worden ingetrokken. De uitleg hierover moet helder zijn voor de doelgroep.
  • Right to Access: iedereen heeft het recht om in te zien welke persoonsgegevens een organisatie van hem of haar verwerkt. Organisaties moeten deze informatie kosteloos ter beschikking te stellen.
  • Data Portability: in navolging op Right to Access moeten de gegevens ook aangeleverd kunnen worden, zodat een consument eenvoudig kan overstappen naar een andere organisatie.
  • Right to be Forgotten: als iemand wil dat zijn of haar gegevens niet meer worden verwerkt, moeten alle persoonsgegevens worden gewist (rekening houdend met de wettelijke bewaarplichten).
  • Increased Scope: de AVG legt de verplichtingen op aan alle organisaties die persoonsgegevens van EU burgers verwerkt, ook al is dat buiten Europa.
  • Penalties: boetes kunnen per overtreding van de AVG in het meest extreme geval oplopen tot 4% van de wereldwijde jaaromzet of € 20 miljoen.
  • Breach Notification: net zoals de Nederlandse privacy wetgeving sinds 2016 verplicht, moeten datalekken binnen 72 uur gemeld worden bij de autoriteiten.
  • Data Protection Officer (DPO): het aanstellen van een DPO rol is verplicht voor overheden, en bij het verwerken van speciale persoonsgegevens en persoonsgegevens op grote schaal.

Wat betekent dit voor u?

Als eigenaar van een digitaal platform verwerkt je bijna altijd persoonsgegevens. Denk bijvoorbeeld aan contactformulieren op de website, de mogelijkheid om in te schrijven op een nieuwbrief of IP adressen die in logbestanden worden bijgehouden. En als je persoonsgegevens verwerkt, moet je aan de AVG voldoen. Onderstaand stappenplan kan daarbij helpen:

 

1. Prepare: voorbereiding.

  • Voer een Privacy Impact Analyse (PIA) uit om te zien of je persoonsgegevens verwerkt en welke risico’s er gelopen worden. Hiervoor zijn diverse templates publiekelijk beschikbaar.
  • Breng de informatiestromen in kaart, zodat je weet welke (persoons)gegevens waar worden verwerkt. Vergeet hierbij de toeleveranciers niet.
  • Als je persoonsgegevens verwerkt, onderzoek dan of je een Data Protection Officer (DPO) moet aanstellen. Analyseer of consent en gebruikersrechten goed georganiseerd zijn.
  • Documenteer actief, zodat genomen acties en maatregelen controleerbaar zijn voor management en toezichthouders. Ook als je geen DPO hebt aangesteld.

2. Protect: bescherming

  • Beslis welke technische en organisatorische maatregelen je moet treffen voor een passend beveiligingsniveau. Gebruik hierbij bijvoorbeeld security standaarden of richtlijnen.
  • Implementeer deze maatregelen. Doe dat niet alleen intern in de organisatie, maar borg deze maatregelen ook bij de toeleveranciers via bewerkersovereenkomsten.
  • Controleer of de maatregelen juist zijn geïmplementeerd en effectief zijn, bijvoorbeeld door security scans of security audits. Hierdoor wordt een continue verbetercyclus gestart.

3. Preserve: reparatie

  • Mocht het fout gaan, analyseer en reageer dan adequaat. Tref zo snel mogelijk maatregelen om de gevolgen te beperken: zet de online omgeving tijdelijk uit en toon een storingspagina.
  • Meldt datalekken tijdig bij de autoriteiten en eventueel bij de getroffen personen. Verzamel bewijsmateriaal en overweeg aangifte te doen bij een digitale inbraak of aanval.
  • Gebruik de ervaringen om van te leren en de beveiliging van persoonsgegevens verder te verbeteren. Gebruik de resultaten hiervan om bij te sturen.

Quick wins

Start zo snel mogelijk met de nodige voorbereidingen want op 25 mei 2018 moet je klaar zijn! In de basis is het uitvoeren van het stappenplan niet erg ingewikkeld, het is vooral een kwestie van doen. Daarbij is het aan te raden zowel top-down (via het stappenplan) als bottom-up (starten vanuit de techniek) aan de slag te gaan. Enkele bottom-up quickwins zijn bijvoorbeeld:

  • Loop de security settings van de omgeving na. Denk bijvoorbeeld aan toegangsrechten van beheerders en firewall settings. Werkt je in de cloud, dan zijn bijvoorbeeld AWS Inspector of Azure Secure Center te gebruiken.
  • Implementeer aanvullende technische security maatregelen. Als je in de cloud werkt, dan is het vrij eenvoudig om Azure WAF of AWS WAF aan te zetten, waardoor aanvullende bescherming wordt geboden voor uw omgeving.
  • Start met security scans voor inzicht in de huidige stand van zaken. De kwetsbaarheden die je vindt kunt je repareren waardoor de omgeving minder vatbaar wordt voor digitale aanvallen.
  • Begin met het periodiek nalopen van het gebruik van cookies (en vergelijkbare technieken), want deze worden vaak gebruikt om gebruikers te tracken en te profilen. Controleer of hiervoor toestemming is gevraagd. Deze acties helpen ook om te voldoen aan de cookiewetgeving.
  • Log meer informatie en sla deze op een centrale locatie op. Dat maakt het analyseren van verstoringen makkelijker, maar biedt ook de basis voor security monitoring op uw omgeving. Hiermee wordt het verzamelen van bewijsmateriaal bij een aanval ook eenvoudiger.

Mijn advies: het is belangrijk nu te beginnen met de implementatie van AVG/GDPR. Zie dat niet als een last, maar als een kans. Doet je dit goed, dan voorkomt je niet alleen boetes, maar straalt je ook betrouwbaarheid uit. De winnaars van morgen respecteren de privacy vandaag!

Tags

Legal Security