1. De invloed van de
General Data Protection
Regulation (GDPR) op uw
facility en ICT-beheer
17 januari 2017
2. Wat is de GDPR?
De General Data Protection Regulation is de huidige Europese
Regelgeving m.b.t. de data privacy of beveiliging van vertrouwelijke
gegevens.
Deze regelgeving is een overeenkomst tussen de Europese Commissie,
het Europees Parlement en de Europese Raad die op 15 december 2015
werd bereikt.
3. Inhoud van de GDPR
De GDPR (of ook Algemene verordening Gegevensbescherming – AVG
genoemd) gaat over het beheer en de beveiliging van persoonlijke
gegevens van Europese burgers.
Als organisatie moet u kunnen aantonen welke persoonsgegevens u
verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt (of u dit nu in
uw datacenter of in de cloud buiten de EU beheert).
4. Van kracht vanaf
De effectieve werking zal van kracht zijn vanaf mei 2018, wat betekent dat
vanaf dat moment, de lokale autoriteiten (van België en van Nederland)
boetes kunnen opleggen aan bedrijven en organisaties die deze
regelgeving niet naleven.
Hiervoor zijn maximale geldboetes vastgesteld die kunnen oplopen tot
4 procent van de wereldwijde omzet van een organisatie of 20 miljoen
euro (wanneer dit hoger is).
5. Bereid u voor!
Het is daarom de hoogste tijd om u hierop voor te bereiden door de
nodigde processen, documentatie en IT-tools te implementeren om de
naleving van deze nieuwe regelgeving te waarborgen.
6. Databeschermingsauthoriteiten bestaan in elk land
In Nederland is dit de Autoriteit Persoonsgegevens.
In Belgie is dit de Commissie voor de Bescherming van de persoonlijke
levenssfeer, beter gekend als de Privacycommissie.
7. De 6 voornaamste principes van deze regelgeving
1. Toepasbaarheid
Deze wetgeving is voor elke organisatie van toepassing, dus zowel voor data
collectors als voor data processors, voor overheid en voor privé-bedrijven, en dit
onafhankelijk van de grootte van de organisatie.
2. Het recht om “vergeten” te worden
Elke persoon heeft het recht om te vragen dat zijn/haar persoonlijke gegevens
verwijderd moeten worden. Een dergelijke aanvraag
dient zonder verwijl uitgevoerd te worden.
8. De 6 voornaamste principes van deze regelgeving
3. Toestemming terugtrekken
Data eigenaars moeten in eerste instantie expliciet of impliciet toestemming geven
voor de verwerking van hun eigen gegevens. Deze toestemming moet op elk
moment kunnen teruggetrokken worden, ook al werd eerder de toestemming
expliciet gegeven. Het is de plicht van de organisatie om de data eigenaars over
deze mogelijkheid te informeren.
4. Kennisgeving van elke inbreuk
Elke inbreuk op de data privacy moet aan de authoriteit van uw
land gemeld worden, en dit binnen 72 uur. Tevens moeten
alle individuën die geïmpacteerd werden onmiddellijk over
de inbreuk en de mogelijke gevolgen geïnformeerd worden.
9. De 6 voornaamste principes van deze regelgeving
5. Toestemming van ouders
Ouderlijke toestemming moet geverifieerd worden voor minderjarigen. Het volstaat
dus niet dat een minderjarige toestemming geeft ; dit moet door een ouder
bevestigd worden.
6. Boetes
Bij ingebrekestelling kan de autoriteit een boete opleggen van
4% van de wereldwijde omzet, met een maximum van 20 miljoen euro.
10. Hoe zich voorbereiden?
Elke organisatie kan best een stappenplannen uitwerken om de naleving
van de regelgeving te waarborgen, om de juiste maatregelen tijdig te
treffen en dus om geldboetes te vermijden Dit omvat de benodigde
policies & procedures, documentatie en ondersteunende IT-Tools.
Het vraagt de nodige voorbereiding dus wacht niet af en leg vandaag uw
stappenplan vast.
11. De 14 voornaamste stappen:
1. Bewustmaking: informeer sleutelfiguren en beleidsmakers
2. Organiseer een interne audit: breng in kaart welke persoonsgegevens je registreert
3. Communicatie: ontwikkel de juiste schriftelijke documenten voor de privacyverklaring
4. Data verwijderen: ga na of data op een veilige manier verwijderd kunnen worden
5. Bewijsvoering: zorg dat je kan aantonen dat de data veilig verwijderd werden
6. Verzoek tot toegang: update je bestaande toegangsprocedures
7. Wettelijke grondslag: identificeer voor elk type gegevensverwerking de wettelijke
grondslag
8. Toestemming: evalueer de wijze waarop je toestemming vraagt, verkrijgt en registreert
9. Kinderen: ontwikkel systemen die de leeftijd nagaan en toestemming van ouders vragen
10. Datalekken: voorzie procedures die datalekken opsporen
11. Ga na hoe je ‘Gegevensbescherming door ontwerp’ en
‘Gegevensbeschermingseffectbeoordeling’ kan implementeren
12. DPO: benoem een Data Protection Officer of functionaris voor
gegevensbescherming
13. Bestaande contracten: wijzig je contracten met onderaannemers
14. Crisis management plan: werk een plan uit om te antwoorden op
eventuele incidenten
12. Specifieke impact of maatregelen voor facilitair en ICT
beheer
Het zijn vooral de stappen 4 & 5 waar facilitair en/of ICT een rol zal spelen, nl.
voor het verwijderen van de gegevensdragers.
Afhankelijk van de situatie is hergebruik van de dragers (devices) al dan niet
toegelaten.
Mogelijke oplossing wanneer hergebruik is toegelaten is een softwarematige
datawiping (x 7) waarbij een rapport met details per
datadrager wordt afgeleverd én een certificaat van vernietiging.
13. Specifieke impact of maatregelen voor facilitair en ICT
beheer
Wanneer hergebruik niet is toegelaten, worden de volgende technieken
toegepast op de gegevensdragers:
- Mechanische perforatie
- Degaussing en/of
- Shredding
14. Specifieke impact of maatregelen voor facilitair en ICT
beheer
Degaussing is het demagnetiserend proces om een hard disk of tape te
wissen.
15. Specifieke impact of maatregelen voor facilitair en ICT
beheer
Shredding is het vermalen van de harde schijf tot op 300 mm2, Conform
DIN66399 klasse H5.
16. Voor meer informatie over deze technieken van
gegevensverwijdering, neemt u contact op met:
Mark Adriaenssens
CEO
mark@outofuse.com
T: 011 27 10 78 - M: 0478 305 873
Out Of Use nv
Lochtemanweg 40 - 3580 Beringen
www.outofuse.com