Eerder berichtten wij al over de aankomende verandering van de Wetgeving
rondom datalekken. Op 24 mei 2016 is de Europese Algemene Verordening Gegevensbescherming in werking getreden. Vanaf deze datum hebben bedrijven en overheden nog precies twee jaar de tijd om hun bedrijfsvoering aan te passen aan de nieuwe privacyregelgeving. In 2018 is de verordening daadwerkelijk van toepassing in alle Europese lidstaten. Wat betekent dit voor uw organisatie en bent u klaar voor de verordening? Lees het blog.
De Europese verordening vervangt de huidige EU Privacy Richtlijn en de Nederlandse Wet bescherming persoonsgegevens. De verordening bevat strengere regels met betrekking tot het verwerken van persoonsgegevens en geeft toezichthouders uitgebreidere sanctiebevoegdheden bij overtreding hiervan.
De belangrijkste rechten en plichten worden hieronder uiteengezet:
- De nieuwe privacywetgeving is van toepassing op iedere organisatie die persoonsgegevens van Europese burgers verwerkt. Hiermee wordt de eerdere wetgeving uitgebreid, omdat ook organisaties die buiten Europa actief zijn, maar wel persoonsgegevens van Europese burgers verwerken, onder de verordening vallen.
- Wanneer organisaties niet op een verantwoorde manier met persoonsgegevens omgaan, zijn zij daarvoor aansprakelijk. Om dit kracht bij te zetten hebben toezichthouders een zwaardere boetebevoegdheid gekregen. De boetes kunnen voor organisaties oplopen tot 2% van de wereldwijde jaaromzet.
- Ondernemingen moeten op een verantwoorde manier met persoonsgegevens omgaan. Dit houdt in dat organisaties alleen persoonsgegevens mogen verzamelen voor specifieke doeleinden die in de verordening zijn opgenomen. Daarnaast wordt men verplicht om de verzamelde persoonsgegevens zo goed mogelijk te beveiligen. Mochten persoonsgegevens toch lekken dan moet dit binnen 24 uur gemeld worden aan de toezichthouder en eventuele betrokkenen.
Wat zijn persoonsgegevens?
De implementatie periode van twee jaar lijkt misschien lang, maar de verordening kan van invloed zijn op het dagelijkse bedrijfsproces. Zo zijn meer gegevens persoonsgegevens dan je wellicht denkt. De definitie luidt als volgt:
‘Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon.’ – DDMA
Niet alleen gegevens die iemand direct identificeren zijn een persoonsgegeven, maar ook gegevens die gebruikt worden om mensen te individualiseren binnen een groep. Dat betekent dat organisatie goed op het netvlies moeten krijgen welke data zij verzamelen, bezitten, waar de data staat opgeslagen en wie hier toegang toe heeft.
Wat betekent de verordening voor hosting en opslag
Het is goed om te inventariseren over welke data de organisatie beschikt en of de data volgens de nieuwe Verordening gedefinieerd kan worden als persoonsgegevens. Onderzoek dan ook waar de data staat opgeslagen en wie hier toegang toe heeft. Op basis hiervan ontwikkelt de organisatie een controlemechanisme voor het beveiligen van deze gegevens en is misbruik eenvoudig te detecteren.
In de praktijk komt het vaak voor dat werknemers een oplossing als Dropbox of Google drive gebruiken om ook, buiten de bestaande IT oplossing van de organisatie om, toegang te hebben tot bepaalde gegevens. Volgens de verordening is dit een datalek maar het is voor de organisatie lastig om hier grip op te krijgen.
Is er een alternatief?
Gelukkig bestaan er tal van veilige alternatieven. ownCloud is een open-source file sync en share systeem, speciaal ontwikkeld voor het delen van bedrijfsdata. ownCloud draait op een veilige Nederlandse omgeving en voldoet aan belangrijke certificaten zoals ISO 27001 / NEN 7510.
ownCloud biedt organisaties toegang tot een centrale locatie voor alle bedrijfsdata. De bestanden zijn bereikbaar via een webinterface, smartphone of tablet van elke locatie, zowel op kantoor, thuis en onderweg. U kunt ook andere opslagapparaten en cloud-gebasseerde opslag (Dropbox, Google drive) koppelen aan de ownCloud omgeving. Zo wordt alle vertrouwelijke bedrijfsdata beschikbaar in één gemeenschappelijke bedrijfsinterface in ownCloud. Hiermee krijgt de IT’er de controle terug over bedrijfsdata.
Meer informatie
Heeft u vragen over data opslag of wilt u eens sparren over verschillende IT-oplossingen? Neem dan contact op met Richard Groen via het contactformulier of bel naar 023 554 67 88.