O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Whitepaper businessleads.nu avg_2019 (1)

AVG 1 jaar later...

Livros relacionados

Gratuito durante 30 dias do Scribd

Ver tudo
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Whitepaper businessleads.nu avg_2019 (1)

  1. 1. Pagina 1 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht AVG: de stand van zaken De invoering van de Wet Algemene Verordening Gegevensbescherming (AVG) dateert alweer van een jaar geleden. Tijd om te kijken hoe de stand van zaken is, of er al boetes zijn uitgedeeld en vooral wat u als ondernemer nog meer kan doen om datalekken, waarschuwingen en boetes te voorkomen. De Algemene Verordening Gegevensbescherming (AVG) Met ingang van 25 mei 2018 is een nieuwe privacywet in werking gesteld: de Algemene Verordening Gegevensbescherming (AVG). Hiermee gelden in heel Europa dezelfde regels rond privacy. De AVG geeft richtlijnen hoe persoonlijke informatie moet worden opgeslagen, gebruikt en verwerkt. Zo zijn organisaties verplicht om: • Transparant te zijn over hoe persoonlijke data wordt verkregen en gebruikt; • Een privacybeleid vaststellen en communiceren; • Verantwoording te dragen over hoe deze data worden opgeslagen, verwerkt en gebruikt; • Alles te doen om persoonlijke data te beschermen en eventuele datalekken te voorkomen; • Een protocol op te stellen en datalekken te registreren. Wie niet aan de AVG voldoet, riskeert hoge boetes: per overtreding tot 20 miljoen euro of (voor bedrijven met een omzet van meer dan een half miljard) maximaal 4% van de jaaromzet.
  2. 2. Pagina 2 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Vragen, klachten en boete Sinds de inwerkingtreding van de AVG is er, zichtbaar en achter de schermen, al veel gebeurd wat betreft meldingen, verbeteringen en controle. Zo ontving de Autoriteit Persoonsgegevens sinds mei 2018 22.000 vragen. 11.000 hiervan betroffen meteen een klacht. Meer dan de helft van deze vragen is inmiddels afgehandeld. In 2018 heeft de Autoriteit Persoonsgegevens (AP) bij 298 datalekmeldingen actie ondernomen richting de organisaties die dat datalek meldden. Over het algemeen leidden deze acties tot een waarschuwing en ook beëindiging van de overtreding. Hieronder vielen ook interventies betreffende mogelijke datalekken bij organisaties die dit níet hebben gemeld bij de AP. Ook de eerste boetes zijn inmiddels uitgedeeld. Zo kreeg Uber een boete van 600.000 euro voor het willens en wetens te laat melden van een datalek. In Oostenrijk werd een boete opgelegd aan een wedkantoor dat met de camera aan het pand een deel van de openbare weg filmde. De toezichthouder oordeelde dat het bedrijf daarvoor geen gegronde reden had en dat betrokkenen hier onvoldoende over waren geïnformeerd. De boete bedroeg in dit geval € 4.800. Niet heel hoog, omdat er meteen rekening is gehouden met de draagkracht van het kantoor. De wet is immers niet bedoeld om tot faillissementen te leiden, wel als prikkel om snel het gedrag omtrent data- en privacybescherming aan te passen. Een ziekenhuis in Portugal kreeg een boete van € 400.000 boete wegens grove schendingen van de AVG die al langer aan de gang waren. Zo hadden bijna 1.000 personen toegang tot medische gegevens, terwijl er slechts 296 artsen werkzaam waren. Ook de beveiliging van systemen liet te wensen over. In Nederland heeft het UWV inmiddels een dwangsom opgelegd gekregen in het kader van de AVG (let wel: dit is geen boete!). Tot nu lag de nadruk veelal op het geven van uitleg over beveiliging en beveiligingsmaatregelen. De meeste overtredingen die in 2018 gemeld zijn, leidden alleen nog tot een waarschuwing van de Autoriteit Persoonsgegevens en uitleg over te nemen beveiligingsmaatregelen. In 2019 zal de AP de aandacht verschuiven naar het niet of te laat melden van een datalek. Let op: die melding moet door de organisatie worden gedaan, dus niet door de betrokken persoon! Fors meer meldingen sinds 2018 De verwachting is dat er vanaf nu meer waarschuwingen en ook boetes zullen volgen. Kijk maar naar het gestegen aantal meldingen. In 2018 zijn er 20.881 datalekken gemeld aan de Autoriteit Persoonsgegevens. Dat is een verdubbeling ten opzichte van 2017 en fors meer dan in de voorgaande jaren. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (29%), financiële dienstverlening (26%) en openbaar bestuur (17%). De gegevens die het meest ‘op straat kwamen te liggen’ na een datalek waren NAW-gegevens, BSN-nummers, financiële gegevens en medische gegevens. De meest voorkomende manieren waarop een datalek ontstaat zijn: • Het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger (46%), bijvoorbeeld als een e-mail of brief per ongeluk verzonden wordt aan de verkeerde
  3. 3. Pagina 3 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht persoon. Ook het gebruik van de CC functie in plaats van de BCC functie in e-mails kunnen onder deze categorie vallen. Let dus goed op met het klakkeloos doorsturen van e-mails! • Het kwijtraken of de diefstal van een gegevensdrager (denk aan laptops, externe harde schijven, smartphones, tablets of usb-sticks) (14%). • Het kwijtraken van een brief of pakket of deze geopend retour ontvangen (10%). • Hacking, malware en/of phishing (6%). • Het per ongeluk publiceren van persoonsgegevens (4%). • Een klant krijgt in een online omgeving de verkeerde klantgegevens te zien (4%). Datalekken die ook wel eens voorkomen zijn situaties waarin persoonsgegevens nog aanwezig zijn op een afgedankt apparaat (<1%) of waarin documenten met persoonsgegevens bij het oud papier worden gezet (<1%). Wat hoe dan ook opvalt, is dat een datalek meestal niet wordt veroorzaakt door hacking of phishing, maar vooral en meestel door menselijke fouten (>80%!). Voorkomen is beter dan genezen Hoe kunt u de kans op datalekken zo goed mogelijk minimaliseren? Onder andere de Autoriteit Persoonsgegevens geeft tips: • Zorg dat e-mailadressen niet automatisch worden aangevuld, maar stel uw e- mailprogramma zo in dat het gehele e-mailadres ingetypt moet worden. • Werk zo veel mogelijk in de cloud (middels goed beveiligde servers en verbindingen uiteraard), en zet geen gevoelige data op sticks of (externe) harde schijven. Kies uiteraard een als veilig aangemerkte cloudprovider en maak goede afspraken over gebruik en aansprakelijkheid mocht er toch iets misgaan. • Installeer goede antivirussoftware en voer updates direct uit. • Bezoek alleen websites die als ‘veilig’ zijn gemarkeerd en maak gebruik van firewalls. • Versleutel uw usb-sticks en externe harde schijven. • Open geen e-mails van onbekenden; open nooit links in e-mails als u die niet 100% vertrouwt. • Controleer regelmatig of de klantomgevingen op uw websites goed werken en adequaat beveiligd zijn én controleer goed wat u er op zet. • Maak uw (eventuele) medewerkers bewust van de risico’s van datalekken en de redenen waarom privacy zo belangrijk is. Blijf dit herhalen.Train uzelf en uw medewerkers in het herkennen van phishing- en ransomware e-mails en malware en in het aanpassen van hun online gedrag. • Stel een AVG-verantwoordelijke of zelfs een aparte AVG-functionaris aan (afhankelijk van de grootte van uw onderneming).
  4. 4. Pagina 4 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Wacht niet met het melden van een datalek Het kan elke organisatie gebeuren dat er toch data naar buiten lekt. Wacht in dat geval niet met het ondernemen van actie. De AVG schrijft voor dat uw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens moet melden bij de Autoriteit Persoonsgegevens. In sommige situaties moet u ook de betrokkenen (bijvoorbeeld klanten, leveranciers of werknemers) over het lek informeren. Wat u in ieder geval koste wat kost moet zien te voorkomen, is dat u aangeschreven wordt door de Autoriteit Persoonsgegevens over een datalek binnen uw organisatie waar u zelf niet eens weet van hebt. Meld een datalek dus direct, en sowieso binnen 72 uur. Dit om mogelijke verdere schade en problemen te voorkomen. Zorg dat medewerkers te allen tijde weten bij wie ze intern het lek moeten melden en stimuleer ze ook dat te doen (al is er slechts sprake van een vermoeden van een lek). Registreer alle beveiligingsincidenten en (mogelijke) datalekken, analyseer deze regelmatig en kijk keer op keer of er verbeteringen mogelijk zijn. Leg alle bevindingen en veranderingen in uw data- en privacybeleid vast. Hieronder zetten we de verplichtingen bij een datalek nog even kort op een rij: • Meld een datalek altijd binnen 72 uur nadat u er kennis van heeft genomen bij de Autoriteit Persoonsgegevens. Weekenden en vakanties tellen mee in deze 72 uur! Gebruik voor de melding het digitale meldingsformulier op de website van de AP. • Gezien de strikte termijn is het belangrijk om een duidelijk stappenplan op te stellen en dat ook duidelijk te communiceren naar alle werknemers (blijf het herhalen). • Wel is het zo dat er een zogenaamde gelaagde melding van het datalek mogelijk is. Dat betekent dat u de Autoriteit Persoonsgegevens binnen die 72 uur op de hoogte stelt van het datalek, maar dat u binnen die termijn het interne onderzoek nog niet afgerond hoeft te hebben. • Een datalek hoeft niet gemeld te worden als het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens. • Wanneer een inbreuk waarschijnlijk wel een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dient u de betrokkene(n) per direct te informeren. Dit hoeft dan weer niet als u de persoonsgegevens onbegrijpelijk heeft gemaakt, bijvoorbeeld door versleuteling van gegevens. • Een (sub)verwerker, zoals een leverancier of serviceprovider, moet u, omdat u verantwoordelijke bent, onverwijld informeren zodra hij kennis heeft genomen van een datalek, zodat u nog de gelegenheid hebt om tijdig de Autoriteit Persoonsgegevens te informeren. Leg deze verplichting vast. • U dient alle datalekken – inclusief de feiten omtrent en omstandigheden rondom de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen maatregelen – te documenteren. Dit betreft zowel datalekken die u niet heeft gemeld
  5. 5. Pagina 5 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht aan de Autoriteit Persoonsgegevens als datalekken die u wel heeft gemeld. Het vastleggen kan bijvoorbeeld in een incidentenregister. (Bron: sra.nl) Meld liever te vaak dan te weinig! U bepaalt uiteindelijk elke keer zelf of u een datalek wel of niet meldt. Toch is het raadzaam altijd te melden, ook als er nog twijfel bestaat of dit wel nodig is. Meldt u niet, leg dan in ieder geval wel vast waarom u dat niet heeft gedaan. Bijvoorbeeld omdat er geen risico op schade is voor de betrokken individuen (omdat de persoonsgegevens versleuteld waren of omdat u 100% zeker weet dat er geen vertrouwelijke informatie naar buiten gekomen kan zijn). Als u een datalek niet meldt terwijl dit wel verplicht was gezien de aard van het lek, dan kunt u een extra boete krijgen. Vergeet uw papieren data niet Uit onderzoek van ACCO Brands bleek onlangs dat het merendeel van de bedrijven flinke stappen heeft gemaakt in het beveiligen van digitale gegevens, maar dat 75% van alle ondervraagde bedrijven niets heeft gedaan om de beveiliging van papieren data te vergroten. Zo worden documenten met potentieel gevoelige informatie nog vaak gewoon weggegooid zonder dat ze eerst door een papierversnipperaar met een hoog veiligheidsniveau zijn gehaald. 50% van alle ondervraagden heeft zelfs überhaupt geen papiervernietiger en dat terwijl in het verleden is gebleken dat veel veiligheidsincidenten zich juíst voordoen met papieren of geprinte data. En die papieren documenten worden nog volop gebruikt in het bedrijfsleven. Een volledig papierloze bedrijfsvoering blijkt simpelweg meestal niet haalbaar. Zo verloopt in veel branches belangrijke correspondentie nog altijd via de post en worden digitale data nog regelmatig uitgeprint. Om de AVG correct na te kunnen leven, moet een bedrijf daarom niet alleen heldere procedures opstellen over hoe deze data worden beheerd, maar ook hoe deze moeten worden vernietigd. Beschouw het vernietigen van potentieel gevoelige papieren data daarom voortaan als een integraal onderdeel van uw bedrijfsvoering, waarbij u het veiligheidsniveau van uw papiervernietiger afstemt op de gevoeligheid van uw bedrijfsactiviteiten. De door veel bedrijven gebruikte strip-cut papiervernietigers, die een A4 vel in circa 35 rechte stroken snijden, bieden doorgaans een te laag veiligheidsniveau voor bedrijfsmatig gebruik. Voor bedrijven of ZZP’ers die met licht vertrouwelijke gegevens werken, voldoet in veel gevallen een machine met veiligheidsniveau P3 of P4. Dit zijn ‘cross-cut’ machines die een A4-vel in respectievelijk 200 of 400 snippers snijden. Echter, voor bedrijven die regelmatig met zeer gevoelige informatie werken, zoals juridische, financiële of gemeentelijke instellingen, wordt een machine met veiligheidsniveau P5 of hoger aangeraden. Het veilig vernietigen van zeer gevoelige data op papier vereist een machine met ‘micro-cut’ techniek, die een A4 in meer dan 2.000 stukjes snijdt.
  6. 6. Pagina 6 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Acht tips van de AP om optimaal te voldoen aan de AVG De Autoriteit Persoonsgegevens geeft tot slot acht tips die u helpen een datalek in de toekomst te voorkomen en om de gevolgen er van te beperken: 1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen die u heeft genomen duidelijk en volledig 2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het Datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in een actieplan. 3. Voorkom versnippering van registraties: maak 1 overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde detailniveau wordt ingevuld. Overweeg ook om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen raadplegen voordat zij zelf iets registreren. 4. Leg per incident vast of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd. 5. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier duidelijk en tijdig over. Bewaar het bewijs van die mededeling en neem ook dit op in het Datalekregister. 6. Stel een handleiding op en verzorg een training voor de medewerkers die het Datalekregister invullen. 7. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk. 8. Bespreek het Datalekregister regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo leert u het best van fouten.
  7. 7. Pagina 7 van 7 Whitepaper Redactie www.businessleads.nu E info@businessleads.nu T +31 (0)30 2083 004 A Oorsprongpark 4, 3581 ES, Utrecht Europese ePrivacy Verordening Er komt trouwens alweer een nieuw uitvloeisel van de AVG aan waar u als ondernemer mee te maken krijgt: de Europese ePrivacy Verordening (ePV). De ePV gaat na inwerkingtreding, de Europese ePrivacy Richtlijn (EPR) vervangen en daarmee ook de Nederlandse Telecommunicatiewet die hierop is gebaseerd. De ePV richt zich op de verwerking van persoonsgegevens voor elektronische communicatiediensten, waaronder WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber en soortgelijke communicatiediensten. Niet alleen de inhoud van elektronische berichten wordt beter beschermd, maar ook de metadata ervan, zoals de plaats en het tijdstip van verzending. Naast het beschermen van online communicatie omvat de ePV ook het plaatsen van cookies, de vereiste toestemming hiervoor en het spamverbod. Voor het plaatsen van niet- noodzakelijke cookies, zoals advertentiecookies, is toestemming nodig. Websites mogen iemand alleen nog blokkeren als diegene de cookies niet accepteert terwijl er geen alternatief is. Bijvoorbeeld in het geval van overheidheidsinformatie. Naast cookies mogen bedrijven mensen ook niet elektronisch of telefonisch benaderen met reclame/aanbiedingen als daar geen expliciete toestemming voor is gegeven middels opt-in. Er moet nog overeenstemming worden bereikt over de ePV tussen het Europees Parlement en de lidstaten. Als die er is, hebben lidstaten 2 jaar de gelegenheid om de ePV te implementeren in hun wetgeving. Waarschijnlijk wordt de verordening medio 2019 aangenomen in het Europese Parlement en met inachtneming van de overgangstermijn zal de ePV dan in 2021 wet zijn.

×