AVG-compliancy: een privacy uitdaging ombuigen tot kans

vrijdag, 26 januari 2018

De reis naar AVG-compliancy biedt organisaties mooie kansen om te innoveren, reduceert de kans op identiteitsfraude en daarmee reputatieschade. Uiteindelijk betekent dat winst voor iedereen.

Login consultants avg compliancy privacy uitdaging kans

Uw LinkedIn newsfeed staat er waarschijnlijk vol mee. Dreigende berichten omtrent de Algemene verordening gegevensbescherming (AVG), de Nederlandse afgeleide van de Europese privacyverordening ‘General Data Protection Regulation’ (kortweg: GDPR), die 25 mei 2018 van kracht wordt. Nieuw is het niet, actueel wel. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp) en stelt de bezoeker/burger/patiënt centraal. Elke organisatie die over persoonsgegevens van EU-inwoners beschikt dient rechtmatig, verantwoord en transparant met deze data om te gaan. In veel artikelen zijn vooral de juridische en organisatorische uitdagingen voor AVG-compliancy belicht. In deze blog zoomen we graag wat verder in op de mogelijke technische implicaties:

Iedere organisatie heeft persoonlijke data

Wanneer we over persoonlijke data bij organisaties spreken wordt vaak gedacht aan omvangrijke NAW-databases die door commerciële afdelingen worden gebruikt voor het versturen van nieuwsbrieven en aanbiedingen op maat. Of aan overheids- en zorginstellingen die over aanvullende persoonlijke data beschikken zoals medische informatie, etniciteit etc. Deze zogeheten ‘bijzondere persoonsgegevens’ worden overigens extra beschermd door de nieuwe privacywet. In beide gevallen is de AVG dus ook inderdaad van toepassing.

Maar vergist u zich niet, iedere organisatie beschikt over persoonlijke data. Denk alleen al aan een personeelsdossier of de contactgegevens van (toe)leveranciers. De nieuwe privacywet gaat zelfs nog een stapje verder: ook informatie die (in-)direct terug te voeren is naar levende personen valt onder de nieuwe privacyverordening. Deze Persoonlijk Herleidbare Informatie (PHI) ligt ondermeer besloten in IP-adressen, cookies en andere courante data voor web analytics. De AVG verlangt dat u zicht heeft op welke PHI u verzamelt, wat de informatierisico’s zijn en hoe deze risico’s kunnen worden gereduceerd.

‘Privacy by default’ en ‘privacy by design’

Organisaties die persoonsgegevens verzamelen zijn verplicht tot privacy by default en privacy by design. Oftewel: gegevensbescherming door standaardinstellingen en ontwerp. Met gegevensbescherming door standaardinstellingen wordt eigenlijk simpelweg privacynormering bedoeld. Denk bijvoorbeeld aan een verplichte opt-in van gebruikers voor nieuwsbrieven. Met gegevensbescherming door ontwerp wordt bedoeld dat u al tijdens de ontwikkelingsfase van diensten en/of producten privacyverhogende maatregelen in acht neemt. Enkel de strikt noodzakelijke data mag worden gebruikt en de gebruiker moet controle kunnen uitoefenen op de informatieverwerking van zijn/haar gegevens.

Versleuteling

Naast cyberaanvallen van hackers met kwade intenties, wordt een groot deel van de datalekken onopzettelijk veroorzaakt door de eigen medewerkers. Bijvoorbeeld een medewerker die zijn/haar laptop in de trein heeft laten liggen of het verlies van een USB-stick. Een ander veelvoorkomend incident is dat een onversleuteld e-mailbericht met privacygevoelige informatie per ongeluk naar de verkeerde personen wordt gestuurd. Het toepassen van encryptie – het versleutelen van data – biedt uitkomst. Toch is het simpelweg installeren van encryptiesoftware op uw desktops en mobiele apparaten niet verdoende. In het geval van de verloren laptop zou u bijvoorbeeld ook moeten kunnen aantonen dat de versleuteling actief was op het moment van zoek raken. Adequate bescherming valt of staat dus met de juiste configuratie en instellingen.

Zie de AVG als een kans

Er gaan verschillende spookverhalen rond over de strenge naleving van de nieuwe privacywet. Overtreders zouden torenhoge boetes riskeren en bestuurders zouden hoofdelijk aansprakelijk kunnen worden gesteld. Hoewel dergelijke maatregelen inderdaad tot de mogelijkheden behoren, dient men ook vooral te kijken naar het beoogde doel van de wet toen deze door het Europese Parlement werd goedgekeurd. Dat doel was niet zozeer om ondernemers hoge boetes op te leggen, maar om een ‘privacy mindset’ bij organisaties doorgevoerd te krijgen, zowel in bedrijfsvoering als productontwikkeling. Beschouw de nieuwe wetgeving daarom niet zozeer als een bedreiging, maar als een kans. Immers, de reis naar AVG-compliancy biedt organisaties mooie kansen om te innoveren, reduceert de kans op identiteitsfraude en daarmee reputatieschade. Uiteindelijk betekent dat winst voor iedereen.

Neem contact met ons op voor een kosteloos assessment en ontdek hoe wij u kunnen helpen met uw privacydoelstellingen.