25 mei 2018 is een belangrijke datum. Want dan vervallen de Wet bescherming persoonsgegevens (Wbp) en de daarbij horende Wet Meldplicht Datalekken en worden vanaf die dag vervangen door de General Data Protection Regulation (GDPR). En die is een stuk strenger!
Toch blijken nog veel MKB-ers niet bezig te zijn met de GDPR. Uit een onderzoek onder ruim 700 MKB-bedrijven uit heel Europa bleek eind 2016 dat ruim 50 procent wel weet dat de nieuwe regels eraan komen, maar niet weten wat de impact op hun bedrijf is. 25 procent wist niet eens dat de GDPR eraan kwam.
Hoge boetes
En dat is best zorgelijk, want er zijn heel wat regels waar je aan moet voldoen. Doe je dat niet, dan kunnen de boetes oplopen tot 20 miljoen euro (tegenover 900.000 euro die nu kan worden opgelegd) of 4 procent van de wereldwijde jaaromzet (tegenover 10 procent van de nationale jaaromzet nu).
Bescherming individuen
De nieuwe regels zijn opgesteld vanuit het oogpunt van de privacy van individuen en gaan ervan uit dat ‘elke gedigitaliseerde verwerking van persoonsgegevens een inbreuk vormt op de persoonlijke levenssfeer van de betrokkenen’. Bedrijven en organisaties moeten daarom kunnen aantonen dat ze alles eraan gedaan hebben om het risico van de betrokkene te minimaliseren.
Waardevolle data
Sommige maatregelen in de GDPR zijn verplicht, anderen niet. Dit heeft te maken met hoe waardevol je data is. Een bakker die een e-maillijst heeft voor een nieuwsbrief heeft bijvoorbeeld minder ‘waardevolle’ data dan een accountant die met persoons- en bedrijfsgegevens werkt. Daarom is het belangrijk om dat nu al na te gaan.
Geen papieren veiligheid
De maatregelen in de GDPR stellen dat je als bedrijf voornamelijk technische maatregelen moet nemen zodat persoonsgegevens beveiligd en toegankelijk zijn; veel meer dan dat voor de Wbp moest. Alleen organisatorische maatregelen zijn niet voldoende, hoewel sommigen wel verplicht zijn.
Zo moet je een register aanleggen van alle verwerkingen van persoonsgegevens. Ook worden een Privacy Governance structuur en Data Protection Officer (DPO) verplicht. Deze persoon is verantwoordelijk voor de beveiliging van de data. Dit mag iemand intern zijn, of dit mag je uitbesteden aan een derde partij.
Encryptie, logging, monitoring
Een van de aanwijzingen die expliciet genoemd wordt, is dat je altijd ‘naar de laatste stand van de technologie’ beveiligingsmaatregelen moet nemen. Een deel van maatregelen die door de GDPR gesteld worden hebben onder meer te maken met encryptie, preventieve maatregelen (zoals firewalls) en detectie maatregelen (zoals virusscans). Alle beveiligingsacties die je onderneemt, moet je loggen en hiervoor gaat een bewaarplicht gelden.
In de komende tijd ga ik regelmatig aandacht geven aan de GDPR. Want het raakt ons allemaal. Mei 2018 lijkt dan wel ver weg. maar als je nu niet begint, kan het zomaar zijn dat je niet op tijd klaar bent.
Rik Boelhouwer
Directeur van ICT Service Groep
Wil je me niet volgen, maar gewoon meer informatie of eens bijpraten, dan kan dat ook. Bel gerust op tel. 088-428 74 72 (vast en mobiel) of mail.