SlideShare ist ein Scribd-Unternehmen logo

Whitepaper businessleads.nu avg_2019 (1)

Stefano Verkooy
Stefano Verkooy

AVG 1 jaar later...

Marketing
1 von 7
Downloaden Sie, um offline zu lesen
Pagina 1 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht AVG: de stand van zaken De invoering van de Wet Algemene Verordening Gegevensbescherming (AVG) dateert alweer van een jaar geleden. Tijd om te kijken hoe de stand van zaken is, of er al boetes zijn uitgedeeld en vooral wat u als ondernemer nog meer kan doen om datalekken, waarschuwingen en boetes te voorkomen. De Algemene Verordening Gegevensbescherming (AVG) Met ingang van 25 mei 2018 is een nieuwe privacywet in werking gesteld: de Algemene Verordening Gegevensbescherming (AVG). Hiermee gelden in heel Europa dezelfde regels rond privacy. De AVG geeft richtlijnen hoe persoonlijke informatie moet worden opgeslagen, gebruikt en verwerkt. Zo zijn organisaties verplicht om: • Transparant te zijn over hoe persoonlijke data wordt verkregen en gebruikt; • Een privacybeleid vaststellen en communiceren; • Verantwoording te dragen over hoe deze data worden opgeslagen, verwerkt en gebruikt; • Alles te doen om persoonlijke data te beschermen en eventuele datalekken te voorkomen; • Een protocol op te stellen en datalekken te registreren. Wie niet aan de AVG voldoet, riskeert hoge boetes: per overtreding tot 20 miljoen euro of (voor bedrijven met een omzet van meer dan een half miljard) maximaal 4% van de jaaromzet.
Pagina 2 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Vragen, klachten en boete Sinds de inwerkingtreding van de AVG is er, zichtbaar en achter de schermen, al veel gebeurd wat betreft meldingen, verbeteringen en controle. Zo ontving de Autoriteit Persoonsgegevens sinds mei 2018 22.000 vragen. 11.000 hiervan betroffen meteen een klacht. Meer dan de helft van deze vragen is inmiddels afgehandeld. In 2018 heeft de Autoriteit Persoonsgegevens (AP) bij 298 datalekmeldingen actie ondernomen richting de organisaties die dat datalek meldden. Over het algemeen leidden deze acties tot een waarschuwing en ook beëindiging van de overtreding. Hieronder vielen ook interventies betreffende mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Ook de eerste boetes zijn inmiddels uitgedeeld. Zo kreeg Uber een boete van 600.000 euro voor het willens en wetens te laat melden van een datalek. In Oostenrijk werd een boete opgelegd aan een wedkantoor dat met de camera aan het pand een deel van de openbare weg filmde. De toezichthouder oordeelde dat het bedrijf daarvoor geen gegronde reden had en dat betrokkenen hier onvoldoende over waren geïnformeerd. De boete bedroeg in dit geval € 4.800. Niet heel hoog, omdat er meteen rekening is gehouden met de draagkracht van het kantoor. De wet is immers niet bedoeld om tot faillissementen te leiden, wel als prikkel om snel het gedrag omtrent data- en privacybescherming aan te passen. Een ziekenhuis in Portugal kreeg een boete van € 400.000 boete wegens grove schendingen van de AVG die al langer aan de gang waren. Zo hadden bijna 1.000 personen toegang tot medische gegevens, terwijl er slechts 296 artsen werkzaam waren. Ook de beveiliging van systemen liet te wensen over. In Nederland heeft het UWV inmiddels een dwangsom opgelegd gekregen in het kader van de AVG (let wel: dit is geen boete!). Tot nu lag de nadruk veelal op het geven van uitleg over beveiliging en beveiligingsmaatregelen. De meeste overtredingen die in 2018 gemeld zijn, leidden alleen nog tot een waarschuwing van de Autoriteit Persoonsgegevens en uitleg over te nemen beveiligingsmaatregelen. In 2019 zal de AP de aandacht verschuiven naar het niet of te laat melden van een datalek. Let op: die melding moet door de organisatie worden gedaan, dus niet door de betrokken persoon! Fors meer meldingen sinds 2018 De verwachting is dat er vanaf nu meer waarschuwingen en ook boetes zullen volgen. Kijk maar naar het gestegen aantal meldingen. In 2018 zijn er 20.881 datalekken gemeld aan de Autoriteit Persoonsgegevens. Dat is een verdubbeling ten opzichte van 2017 en fors meer dan in de voorgaande jaren. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (29%), financiële dienstverlening (26%) en openbaar bestuur (17%). De gegevens die het meest ‘op straat kwamen te liggen’ na een datalek waren NAW-gegevens, BSN-nummers, financiële gegevens en medische gegevens. De meest voorkomende manieren waarop een datalek ontstaat zijn: • Het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger (46%), bijvoorbeeld als een e-mail of brief per ongeluk verzonden wordt aan de verkeerde
Pagina 3 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht persoon. Ook het gebruik van de CC functie in plaats van de BCC functie in e-mails kunnen onder deze categorie vallen. Let dus goed op met het klakkeloos doorsturen van e-mails! • Het kwijtraken of de diefstal van een gegevensdrager (denk aan laptops, externe harde schijven, smartphones, tablets of usb-sticks) (14%). • Het kwijtraken van een brief of pakket of deze geopend retour ontvangen (10%). • Hacking, malware en/of phishing (6%). • Het per ongeluk publiceren van persoonsgegevens (4%). • Een klant krijgt in een online omgeving de verkeerde klantgegevens te zien (4%). Datalekken die ook wel eens voorkomen zijn situaties waarin persoonsgegevens nog aanwezig zijn op een afgedankt apparaat (<1%) of waarin documenten met persoonsgegevens bij het oud papier worden gezet (<1%). Wat hoe dan ook opvalt, is dat een datalek meestal niet wordt veroorzaakt door hacking of phishing, maar vooral en meestel door menselijke fouten (>80%!). Voorkomen is beter dan genezen Hoe kunt u de kans op datalekken zo goed mogelijk minimaliseren? Onder andere de Autoriteit Persoonsgegevens geeft tips: • Zorg dat e-mailadressen niet automatisch worden aangevuld, maar stel uw e- mailprogramma zo in dat het gehele e-mailadres ingetypt moet worden. • Werk zo veel mogelijk in de cloud (middels goed beveiligde servers en verbindingen uiteraard), en zet geen gevoelige data op sticks of (externe) harde schijven. Kies uiteraard een als veilig aangemerkte cloudprovider en maak goede afspraken over gebruik en aansprakelijkheid mocht er toch iets misgaan. • Installeer goede antivirussoftware en voer updates direct uit. • Bezoek alleen websites die als ‘veilig’ zijn gemarkeerd en maak gebruik van firewalls. • Versleutel uw usb-sticks en externe harde schijven. • Open geen e-mails van onbekenden; open nooit links in e-mails als u die niet 100% vertrouwt. • Controleer regelmatig of de klantomgevingen op uw websites goed werken en adequaat beveiligd zijn én controleer goed wat u er op zet. • Maak uw (eventuele) medewerkers bewust van de risico’s van datalekken en de redenen waarom privacy zo belangrijk is. Blijf dit herhalen.Train uzelf en uw medewerkers in het herkennen van phishing- en ransomware e-mails en malware en in het aanpassen van hun online gedrag. • Stel een AVG-verantwoordelijke of zelfs een aparte AVG-functionaris aan (afhankelijk van de grootte van uw onderneming).
Pagina 4 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Wacht niet met het melden van een datalek Het kan elke organisatie gebeuren dat er toch data naar buiten lekt. Wacht in dat geval niet met het ondernemen van actie. De AVG schrijft voor dat uw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens moet melden bij de Autoriteit Persoonsgegevens. In sommige situaties moet u ook de betrokkenen (bijvoorbeeld klanten, leveranciers of werknemers) over het lek informeren. Wat u in ieder geval koste wat kost moet zien te voorkomen, is dat u aangeschreven wordt door de Autoriteit Persoonsgegevens over een datalek binnen uw organisatie waar u zelf niet eens weet van hebt. Meld een datalek dus direct, en sowieso binnen 72 uur. Dit om mogelijke verdere schade en problemen te voorkomen. Zorg dat medewerkers te allen tijde weten bij wie ze intern het lek moeten melden en stimuleer ze ook dat te doen (al is er slechts sprake van een vermoeden van een lek). Registreer alle beveiligingsincidenten en (mogelijke) datalekken, analyseer deze regelmatig en kijk keer op keer of er verbeteringen mogelijk zijn. Leg alle bevindingen en veranderingen in uw data- en privacybeleid vast. Hieronder zetten we de verplichtingen bij een datalek nog even kort op een rij: • Meld een datalek altijd binnen 72 uur nadat u er kennis van heeft genomen bij de Autoriteit Persoonsgegevens. Weekenden en vakanties tellen mee in deze 72 uur! Gebruik voor de melding het digitale meldingsformulier op de website van de AP. • Gezien de strikte termijn is het belangrijk om een duidelijk stappenplan op te stellen en dat ook duidelijk te communiceren naar alle werknemers (blijf het herhalen). • Wel is het zo dat er een zogenaamde gelaagde melding van het datalek mogelijk is. Dat betekent dat u de Autoriteit Persoonsgegevens binnen die 72 uur op de hoogte stelt van het datalek, maar dat u binnen die termijn het interne onderzoek nog niet afgerond hoeft te hebben. • Een datalek hoeft niet gemeld te worden als het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens. • Wanneer een inbreuk waarschijnlijk wel een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient u de betrokkene(n) per direct te informeren. Dit hoeft dan weer niet als u de persoonsgegevens onbegrijpelijk heeft gemaakt, bijvoorbeeld door versleuteling van gegevens. • Een (sub)verwerker, zoals een leverancier of serviceprovider, moet u, omdat u verantwoordelijke bent, onverwijld informeren zodra hij kennis heeft genomen van een datalek, zodat u nog de gelegenheid hebt om tijdig de Autoriteit Persoonsgegevens te informeren. Leg deze verplichting vast. • U dient alle datalekken – inclusief de feiten omtrent en omstandigheden rondom de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen maatregelen – te documenteren. Dit betreft zowel datalekken die u niet heeft gemeld
Pagina 5 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht aan de Autoriteit Persoonsgegevens als datalekken die u wel heeft gemeld. Het vastleggen kan bijvoorbeeld in een incidentenregister. (Bron: sra.nl) Meld liever te vaak dan te weinig! U bepaalt uiteindelijk elke keer zelf of u een datalek wel of niet meldt. Toch is het raadzaam altijd te melden, ook als er nog twijfel bestaat of dit wel nodig is. Meldt u niet, leg dan in ieder geval wel vast waarom u dat niet heeft gedaan. Bijvoorbeeld omdat er geen risico op schade is voor de betrokken individuen (omdat de persoonsgegevens versleuteld waren of omdat u 100% zeker weet dat er geen vertrouwelijke informatie naar buiten gekomen kan zijn). Als u een datalek niet meldt terwijl dit wel verplicht was gezien de aard van het lek, dan kunt u een extra boete krijgen. Vergeet uw papieren data niet Uit onderzoek van ACCO Brands bleek onlangs dat het merendeel van de bedrijven flinke stappen heeft gemaakt in het beveiligen van digitale gegevens, maar dat 75% van alle ondervraagde bedrijven niets heeft gedaan om de beveiliging van papieren data te vergroten. Zo worden documenten met potentieel gevoelige informatie nog vaak gewoon weggegooid zonder dat ze eerst door een papierversnipperaar met een hoog veiligheidsniveau zijn gehaald. 50% van alle ondervraagden heeft zelfs überhaupt geen papiervernietiger en dat terwijl in het verleden is gebleken dat veel veiligheidsincidenten zich juíst voordoen met papieren of geprinte data. En die papieren documenten worden nog volop gebruikt in het bedrijfsleven. Een volledig papierloze bedrijfsvoering blijkt simpelweg meestal niet haalbaar. Zo verloopt in veel branches belangrijke correspondentie nog altijd via de post en worden digitale data nog regelmatig uitgeprint. Om de AVG correct na te kunnen leven, moet een bedrijf daarom niet alleen heldere procedures opstellen over hoe deze data worden beheerd, maar ook hoe deze moeten worden vernietigd. Beschouw het vernietigen van potentieel gevoelige papieren data daarom voortaan als een integraal onderdeel van uw bedrijfsvoering, waarbij u het veiligheidsniveau van uw papiervernietiger afstemt op de gevoeligheid van uw bedrijfsactiviteiten. De door veel bedrijven gebruikte strip-cut papiervernietigers, die een A4 vel in circa 35 rechte stroken snijden, bieden doorgaans een te laag veiligheidsniveau voor bedrijfsmatig gebruik. Voor bedrijven of ZZP’ers die met licht vertrouwelijke gegevens werken, voldoet in veel gevallen een machine met veiligheidsniveau P3 of P4. Dit zijn ‘cross-cut’ machines die een A4-vel in respectievelijk 200 of 400 snippers snijden. Echter, voor bedrijven die regelmatig met zeer gevoelige informatie werken, zoals juridische, financiële of gemeentelijke instellingen, wordt een machine met veiligheidsniveau P5 of hoger aangeraden. Het veilig vernietigen van zeer gevoelige data op papier vereist een machine met ‘micro-cut’ techniek, die een A4 in meer dan 2.000 stukjes snijdt.
Pagina 6 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Acht tips van de AP om optimaal te voldoen aan de AVG De Autoriteit Persoonsgegevens geeft tot slot acht tips die u helpen een datalek in de toekomst te voorkomen en om de gevolgen er van te beperken: 1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen die u heeft genomen duidelijk en volledig 2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het Datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in een actieplan. 3. Voorkom versnippering van registraties: maak 1 overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde detailniveau wordt ingevuld. Overweeg ook om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen raadplegen voordat zij zelf iets registreren. 4. Leg per incident vast of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd. 5. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier duidelijk en tijdig over. Bewaar het bewijs van die mededeling en neem ook dit op in het Datalekregister. 6. Stel een handleiding op en verzorg een training voor de medewerkers die het Datalekregister invullen. 7. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk. 8. Bespreek het Datalekregister regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo leert u het best van fouten.
Pagina 7 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Europese ePrivacy Verordening Er komt trouwens alweer een nieuw uitvloeisel van de AVG aan waar u als ondernemer mee te maken krijgt: de Europese ePrivacy Verordening (ePV). De ePV gaat na inwerkingtreding, de Europese ePrivacy Richtlijn (EPR) vervangen en daarmee ook de Nederlandse Telecommunicatiewet die hierop is gebaseerd. De ePV richt zich op de verwerking van persoonsgegevens voor elektronische communicatiediensten, waaronder WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber en soortgelijke communicatiediensten. Niet alleen de inhoud van elektronische berichten wordt beter beschermd, maar ook de metadata ervan, zoals de plaats en het tijdstip van verzending. Naast het beschermen van online communicatie omvat de ePV ook het plaatsen van cookies, de vereiste toestemming hiervoor en het spamverbod. Voor het plaatsen van niet- noodzakelijke cookies, zoals advertentiecookies, is toestemming nodig. Websites mogen iemand alleen nog blokkeren als diegene de cookies niet accepteert terwijl er geen alternatief is. Bijvoorbeeld in het geval van overheidheidsinformatie. Naast cookies mogen bedrijven mensen ook niet elektronisch of telefonisch benaderen met reclame/aanbiedingen als daar geen expliciete toestemming voor is gegeven middels opt-in. Er moet nog overeenstemming worden bereikt over de ePV tussen het Europees Parlement en de lidstaten. Als die er is, hebben lidstaten 2 jaar de gelegenheid om de ePV te implementeren in hun wetgeving. Waarschijnlijk wordt de verordening medio 2019 aangenomen in het Europese Parlement en met inachtneming van de overgangstermijn zal de ePV dan in 2021 wet zijn.

Empfohlen

WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacySebyde
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamSebyde
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 

Empfohlen

WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacySebyde
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamSebyde
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekkenSebyde
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HRSebyde
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academySebyde
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidSebyde
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr complianceBart Van Den Brande
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Bart Van Den Brande
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Bart Van Den Brande
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015Bart Van Den Brande
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E PrivacySebyde
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
GDPR
GDPRGDPR
GDPROut Of Use
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhoutwebwinkelvakdag
 

Weitere ähnliche Inhalte

Was ist angesagt?

Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekkenSebyde
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HRSebyde
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefRichard Claassens CIPPE
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academySebyde
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Wilma van de Meerakker
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidSebyde
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Bart Van Den Brande
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E PrivacySebyde
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 

Was ist angesagt? (19)

Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
 
Overzicht workshops sebyde academy
Overzicht workshops sebyde academyOverzicht workshops sebyde academy
Overzicht workshops sebyde academy
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkeling
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
 
Leaflet RI&E Privacy
Leaflet RI&E PrivacyLeaflet RI&E Privacy
Leaflet RI&E Privacy
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
GDPR
GDPRGDPR
GDPR
 

Ähnlich wie Whitepaper businessleads.nu avg_2019 (1)

Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016Anja Dekhuijzen
 
Manifestgroep door Frans Bentvelsen
Manifestgroep door Frans BentvelsenManifestgroep door Frans Bentvelsen
Manifestgroep door Frans BentvelsenBuzztour
 
Lees in 3 minuten hoe je kunt voldoen aan de AVG.
Lees in 3 minuten hoe je kunt voldoen aan de AVG.Lees in 3 minuten hoe je kunt voldoen aan de AVG.
Lees in 3 minuten hoe je kunt voldoen aan de AVG.Richard Kranendonk
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
Omgaan met data in e-commerce na de komst van GDPR en ePrivacy
Omgaan met data in e-commerce na de komst van GDPR en ePrivacyOmgaan met data in e-commerce na de komst van GDPR en ePrivacy
Omgaan met data in e-commerce na de komst van GDPR en ePrivacyBart Van Den Brande
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoIkinnoveer
 
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.Matthias Dobbelaere-Welvaert
 
GDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMGDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMZinnovation
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...AKD
 
GDPR - Red Hat & ISAAC round table info session
GDPR - Red Hat & ISAAC round table info sessionGDPR - Red Hat & ISAAC round table info session
GDPR - Red Hat & ISAAC round table info sessionRudy van Haandel
 
cybercrime-awareness
cybercrime-awarenesscybercrime-awareness
cybercrime-awarenessJohan Sneek
 
Workshop ketenunits jeugdcriminaliteit
Workshop ketenunits jeugdcriminaliteitWorkshop ketenunits jeugdcriminaliteit
Workshop ketenunits jeugdcriminaliteitHenk Fernald
 

Ähnlich wie Whitepaper businessleads.nu avg_2019 (1) (20)

Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 
Manifestgroep door Frans Bentvelsen
Manifestgroep door Frans BentvelsenManifestgroep door Frans Bentvelsen
Manifestgroep door Frans Bentvelsen
 
Presentatie cybercrime
Presentatie cybercrimePresentatie cybercrime
Presentatie cybercrime
 
Lees in 3 minuten hoe je kunt voldoen aan de AVG.
Lees in 3 minuten hoe je kunt voldoen aan de AVG.Lees in 3 minuten hoe je kunt voldoen aan de AVG.
Lees in 3 minuten hoe je kunt voldoen aan de AVG.
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
 
Gdpr
GdprGdpr
Gdpr
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
Omgaan met data in e-commerce na de komst van GDPR en ePrivacy
Omgaan met data in e-commerce na de komst van GDPR en ePrivacyOmgaan met data in e-commerce na de komst van GDPR en ePrivacy
Omgaan met data in e-commerce na de komst van GDPR en ePrivacy
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
 
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
 
AVG als grootste zorg-def
AVG als grootste zorg-defAVG als grootste zorg-def
AVG als grootste zorg-def
 
GDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRMGDPR Privacywetgeving en CRM
GDPR Privacywetgeving en CRM
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
 
GDPR - Red Hat & ISAAC round table info session
GDPR - Red Hat & ISAAC round table info sessionGDPR - Red Hat & ISAAC round table info session
GDPR - Red Hat & ISAAC round table info session
 
cybercrime-awareness
cybercrime-awarenesscybercrime-awareness
cybercrime-awareness
 
Workshop ketenunits jeugdcriminaliteit
Workshop ketenunits jeugdcriminaliteitWorkshop ketenunits jeugdcriminaliteit
Workshop ketenunits jeugdcriminaliteit
 

Whitepaper businessleads.nu avg_2019 (1)

  • 1. Pagina 1 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht AVG: de stand van zaken De invoering van de Wet Algemene Verordening Gegevensbescherming (AVG) dateert alweer van een jaar geleden. Tijd om te kijken hoe de stand van zaken is, of er al boetes zijn uitgedeeld en vooral wat u als ondernemer nog meer kan doen om datalekken, waarschuwingen en boetes te voorkomen. De Algemene Verordening Gegevensbescherming (AVG) Met ingang van 25 mei 2018 is een nieuwe privacywet in werking gesteld: de Algemene Verordening Gegevensbescherming (AVG). Hiermee gelden in heel Europa dezelfde regels rond privacy. De AVG geeft richtlijnen hoe persoonlijke informatie moet worden opgeslagen, gebruikt en verwerkt. Zo zijn organisaties verplicht om: • Transparant te zijn over hoe persoonlijke data wordt verkregen en gebruikt; • Een privacybeleid vaststellen en communiceren; • Verantwoording te dragen over hoe deze data worden opgeslagen, verwerkt en gebruikt; • Alles te doen om persoonlijke data te beschermen en eventuele datalekken te voorkomen; • Een protocol op te stellen en datalekken te registreren. Wie niet aan de AVG voldoet, riskeert hoge boetes: per overtreding tot 20 miljoen euro of (voor bedrijven met een omzet van meer dan een half miljard) maximaal 4% van de jaaromzet.
  • 2. Pagina 2 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Vragen, klachten en boete Sinds de inwerkingtreding van de AVG is er, zichtbaar en achter de schermen, al veel gebeurd wat betreft meldingen, verbeteringen en controle. Zo ontving de Autoriteit Persoonsgegevens sinds mei 2018 22.000 vragen. 11.000 hiervan betroffen meteen een klacht. Meer dan de helft van deze vragen is inmiddels afgehandeld. In 2018 heeft de Autoriteit Persoonsgegevens (AP) bij 298 datalekmeldingen actie ondernomen richting de organisaties die dat datalek meldden. Over het algemeen leidden deze acties tot een waarschuwing en ook beëindiging van de overtreding. Hieronder vielen ook interventies betreffende mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Ook de eerste boetes zijn inmiddels uitgedeeld. Zo kreeg Uber een boete van 600.000 euro voor het willens en wetens te laat melden van een datalek. In Oostenrijk werd een boete opgelegd aan een wedkantoor dat met de camera aan het pand een deel van de openbare weg filmde. De toezichthouder oordeelde dat het bedrijf daarvoor geen gegronde reden had en dat betrokkenen hier onvoldoende over waren geïnformeerd. De boete bedroeg in dit geval € 4.800. Niet heel hoog, omdat er meteen rekening is gehouden met de draagkracht van het kantoor. De wet is immers niet bedoeld om tot faillissementen te leiden, wel als prikkel om snel het gedrag omtrent data- en privacybescherming aan te passen. Een ziekenhuis in Portugal kreeg een boete van € 400.000 boete wegens grove schendingen van de AVG die al langer aan de gang waren. Zo hadden bijna 1.000 personen toegang tot medische gegevens, terwijl er slechts 296 artsen werkzaam waren. Ook de beveiliging van systemen liet te wensen over. In Nederland heeft het UWV inmiddels een dwangsom opgelegd gekregen in het kader van de AVG (let wel: dit is geen boete!). Tot nu lag de nadruk veelal op het geven van uitleg over beveiliging en beveiligingsmaatregelen. De meeste overtredingen die in 2018 gemeld zijn, leidden alleen nog tot een waarschuwing van de Autoriteit Persoonsgegevens en uitleg over te nemen beveiligingsmaatregelen. In 2019 zal de AP de aandacht verschuiven naar het niet of te laat melden van een datalek. Let op: die melding moet door de organisatie worden gedaan, dus niet door de betrokken persoon! Fors meer meldingen sinds 2018 De verwachting is dat er vanaf nu meer waarschuwingen en ook boetes zullen volgen. Kijk maar naar het gestegen aantal meldingen. In 2018 zijn er 20.881 datalekken gemeld aan de Autoriteit Persoonsgegevens. Dat is een verdubbeling ten opzichte van 2017 en fors meer dan in de voorgaande jaren. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (29%), financiële dienstverlening (26%) en openbaar bestuur (17%). De gegevens die het meest ‘op straat kwamen te liggen’ na een datalek waren NAW-gegevens, BSN-nummers, financiële gegevens en medische gegevens. De meest voorkomende manieren waarop een datalek ontstaat zijn: • Het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger (46%), bijvoorbeeld als een e-mail of brief per ongeluk verzonden wordt aan de verkeerde
  • 3. Pagina 3 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht persoon. Ook het gebruik van de CC functie in plaats van de BCC functie in e-mails kunnen onder deze categorie vallen. Let dus goed op met het klakkeloos doorsturen van e-mails! • Het kwijtraken of de diefstal van een gegevensdrager (denk aan laptops, externe harde schijven, smartphones, tablets of usb-sticks) (14%). • Het kwijtraken van een brief of pakket of deze geopend retour ontvangen (10%). • Hacking, malware en/of phishing (6%). • Het per ongeluk publiceren van persoonsgegevens (4%). • Een klant krijgt in een online omgeving de verkeerde klantgegevens te zien (4%). Datalekken die ook wel eens voorkomen zijn situaties waarin persoonsgegevens nog aanwezig zijn op een afgedankt apparaat (<1%) of waarin documenten met persoonsgegevens bij het oud papier worden gezet (<1%). Wat hoe dan ook opvalt, is dat een datalek meestal niet wordt veroorzaakt door hacking of phishing, maar vooral en meestel door menselijke fouten (>80%!). Voorkomen is beter dan genezen Hoe kunt u de kans op datalekken zo goed mogelijk minimaliseren? Onder andere de Autoriteit Persoonsgegevens geeft tips: • Zorg dat e-mailadressen niet automatisch worden aangevuld, maar stel uw e- mailprogramma zo in dat het gehele e-mailadres ingetypt moet worden. • Werk zo veel mogelijk in de cloud (middels goed beveiligde servers en verbindingen uiteraard), en zet geen gevoelige data op sticks of (externe) harde schijven. Kies uiteraard een als veilig aangemerkte cloudprovider en maak goede afspraken over gebruik en aansprakelijkheid mocht er toch iets misgaan. • Installeer goede antivirussoftware en voer updates direct uit. • Bezoek alleen websites die als ‘veilig’ zijn gemarkeerd en maak gebruik van firewalls. • Versleutel uw usb-sticks en externe harde schijven. • Open geen e-mails van onbekenden; open nooit links in e-mails als u die niet 100% vertrouwt. • Controleer regelmatig of de klantomgevingen op uw websites goed werken en adequaat beveiligd zijn én controleer goed wat u er op zet. • Maak uw (eventuele) medewerkers bewust van de risico’s van datalekken en de redenen waarom privacy zo belangrijk is. Blijf dit herhalen.Train uzelf en uw medewerkers in het herkennen van phishing- en ransomware e-mails en malware en in het aanpassen van hun online gedrag. • Stel een AVG-verantwoordelijke of zelfs een aparte AVG-functionaris aan (afhankelijk van de grootte van uw onderneming).
  • 4. Pagina 4 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Wacht niet met het melden van een datalek Het kan elke organisatie gebeuren dat er toch data naar buiten lekt. Wacht in dat geval niet met het ondernemen van actie. De AVG schrijft voor dat uw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens moet melden bij de Autoriteit Persoonsgegevens. In sommige situaties moet u ook de betrokkenen (bijvoorbeeld klanten, leveranciers of werknemers) over het lek informeren. Wat u in ieder geval koste wat kost moet zien te voorkomen, is dat u aangeschreven wordt door de Autoriteit Persoonsgegevens over een datalek binnen uw organisatie waar u zelf niet eens weet van hebt. Meld een datalek dus direct, en sowieso binnen 72 uur. Dit om mogelijke verdere schade en problemen te voorkomen. Zorg dat medewerkers te allen tijde weten bij wie ze intern het lek moeten melden en stimuleer ze ook dat te doen (al is er slechts sprake van een vermoeden van een lek). Registreer alle beveiligingsincidenten en (mogelijke) datalekken, analyseer deze regelmatig en kijk keer op keer of er verbeteringen mogelijk zijn. Leg alle bevindingen en veranderingen in uw data- en privacybeleid vast. Hieronder zetten we de verplichtingen bij een datalek nog even kort op een rij: • Meld een datalek altijd binnen 72 uur nadat u er kennis van heeft genomen bij de Autoriteit Persoonsgegevens. Weekenden en vakanties tellen mee in deze 72 uur! Gebruik voor de melding het digitale meldingsformulier op de website van de AP. • Gezien de strikte termijn is het belangrijk om een duidelijk stappenplan op te stellen en dat ook duidelijk te communiceren naar alle werknemers (blijf het herhalen). • Wel is het zo dat er een zogenaamde gelaagde melding van het datalek mogelijk is. Dat betekent dat u de Autoriteit Persoonsgegevens binnen die 72 uur op de hoogte stelt van het datalek, maar dat u binnen die termijn het interne onderzoek nog niet afgerond hoeft te hebben. • Een datalek hoeft niet gemeld te worden als het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens. • Wanneer een inbreuk waarschijnlijk wel een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient u de betrokkene(n) per direct te informeren. Dit hoeft dan weer niet als u de persoonsgegevens onbegrijpelijk heeft gemaakt, bijvoorbeeld door versleuteling van gegevens. • Een (sub)verwerker, zoals een leverancier of serviceprovider, moet u, omdat u verantwoordelijke bent, onverwijld informeren zodra hij kennis heeft genomen van een datalek, zodat u nog de gelegenheid hebt om tijdig de Autoriteit Persoonsgegevens te informeren. Leg deze verplichting vast. • U dient alle datalekken – inclusief de feiten omtrent en omstandigheden rondom de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen maatregelen – te documenteren. Dit betreft zowel datalekken die u niet heeft gemeld
  • 5. Pagina 5 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht aan de Autoriteit Persoonsgegevens als datalekken die u wel heeft gemeld. Het vastleggen kan bijvoorbeeld in een incidentenregister. (Bron: sra.nl) Meld liever te vaak dan te weinig! U bepaalt uiteindelijk elke keer zelf of u een datalek wel of niet meldt. Toch is het raadzaam altijd te melden, ook als er nog twijfel bestaat of dit wel nodig is. Meldt u niet, leg dan in ieder geval wel vast waarom u dat niet heeft gedaan. Bijvoorbeeld omdat er geen risico op schade is voor de betrokken individuen (omdat de persoonsgegevens versleuteld waren of omdat u 100% zeker weet dat er geen vertrouwelijke informatie naar buiten gekomen kan zijn). Als u een datalek niet meldt terwijl dit wel verplicht was gezien de aard van het lek, dan kunt u een extra boete krijgen. Vergeet uw papieren data niet Uit onderzoek van ACCO Brands bleek onlangs dat het merendeel van de bedrijven flinke stappen heeft gemaakt in het beveiligen van digitale gegevens, maar dat 75% van alle ondervraagde bedrijven niets heeft gedaan om de beveiliging van papieren data te vergroten. Zo worden documenten met potentieel gevoelige informatie nog vaak gewoon weggegooid zonder dat ze eerst door een papierversnipperaar met een hoog veiligheidsniveau zijn gehaald. 50% van alle ondervraagden heeft zelfs überhaupt geen papiervernietiger en dat terwijl in het verleden is gebleken dat veel veiligheidsincidenten zich juíst voordoen met papieren of geprinte data. En die papieren documenten worden nog volop gebruikt in het bedrijfsleven. Een volledig papierloze bedrijfsvoering blijkt simpelweg meestal niet haalbaar. Zo verloopt in veel branches belangrijke correspondentie nog altijd via de post en worden digitale data nog regelmatig uitgeprint. Om de AVG correct na te kunnen leven, moet een bedrijf daarom niet alleen heldere procedures opstellen over hoe deze data worden beheerd, maar ook hoe deze moeten worden vernietigd. Beschouw het vernietigen van potentieel gevoelige papieren data daarom voortaan als een integraal onderdeel van uw bedrijfsvoering, waarbij u het veiligheidsniveau van uw papiervernietiger afstemt op de gevoeligheid van uw bedrijfsactiviteiten. De door veel bedrijven gebruikte strip-cut papiervernietigers, die een A4 vel in circa 35 rechte stroken snijden, bieden doorgaans een te laag veiligheidsniveau voor bedrijfsmatig gebruik. Voor bedrijven of ZZP’ers die met licht vertrouwelijke gegevens werken, voldoet in veel gevallen een machine met veiligheidsniveau P3 of P4. Dit zijn ‘cross-cut’ machines die een A4-vel in respectievelijk 200 of 400 snippers snijden. Echter, voor bedrijven die regelmatig met zeer gevoelige informatie werken, zoals juridische, financiële of gemeentelijke instellingen, wordt een machine met veiligheidsniveau P5 of hoger aangeraden. Het veilig vernietigen van zeer gevoelige data op papier vereist een machine met ‘micro-cut’ techniek, die een A4 in meer dan 2.000 stukjes snijdt.
  • 6. Pagina 6 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Acht tips van de AP om optimaal te voldoen aan de AVG De Autoriteit Persoonsgegevens geeft tot slot acht tips die u helpen een datalek in de toekomst te voorkomen en om de gevolgen er van te beperken: 1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen die u heeft genomen duidelijk en volledig 2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het Datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in een actieplan. 3. Voorkom versnippering van registraties: maak 1 overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde detailniveau wordt ingevuld. Overweeg ook om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen raadplegen voordat zij zelf iets registreren. 4. Leg per incident vast of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd. 5. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier duidelijk en tijdig over. Bewaar het bewijs van die mededeling en neem ook dit op in het Datalekregister. 6. Stel een handleiding op en verzorg een training voor de medewerkers die het Datalekregister invullen. 7. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk. 8. Bespreek het Datalekregister regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo leert u het best van fouten.
  • 7. Pagina 7 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Europese ePrivacy Verordening Er komt trouwens alweer een nieuw uitvloeisel van de AVG aan waar u als ondernemer mee te maken krijgt: de Europese ePrivacy Verordening (ePV). De ePV gaat na inwerkingtreding, de Europese ePrivacy Richtlijn (EPR) vervangen en daarmee ook de Nederlandse Telecommunicatiewet die hierop is gebaseerd. De ePV richt zich op de verwerking van persoonsgegevens voor elektronische communicatiediensten, waaronder WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber en soortgelijke communicatiediensten. Niet alleen de inhoud van elektronische berichten wordt beter beschermd, maar ook de metadata ervan, zoals de plaats en het tijdstip van verzending. Naast het beschermen van online communicatie omvat de ePV ook het plaatsen van cookies, de vereiste toestemming hiervoor en het spamverbod. Voor het plaatsen van niet- noodzakelijke cookies, zoals advertentiecookies, is toestemming nodig. Websites mogen iemand alleen nog blokkeren als diegene de cookies niet accepteert terwijl er geen alternatief is. Bijvoorbeeld in het geval van overheidheidsinformatie. Naast cookies mogen bedrijven mensen ook niet elektronisch of telefonisch benaderen met reclame/aanbiedingen als daar geen expliciete toestemming voor is gegeven middels opt-in. Er moet nog overeenstemming worden bereikt over de ePV tussen het Europees Parlement en de lidstaten. Als die er is, hebben lidstaten 2 jaar de gelegenheid om de ePV te implementeren in hun wetgeving. Waarschijnlijk wordt de verordening medio 2019 aangenomen in het Europese Parlement en met inachtneming van de overgangstermijn zal de ePV dan in 2021 wet zijn.