Klaar voor de GDPR?

Als voorloper van de General Data Protection Regulation (GDPR) heeft Nederland per 1 januari 2016 als stap 1 de ‘Meldplicht Datalekken’ ingevoerd. “Zowel private als publieke organisaties die persoonsgegevens verwerken worden met ingang van 1 januari 2016 verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen.”

In april 2016 is als tweede stap door het Europese parlement de GDPR aangenomen. Deze verordening heeft het kenmerk dat het direct geldig is in alle Europese lidstaten, waarbij de verordening boven de nationale wetgeving staat in geval van strijdigheid. De naar het Nederlands vertaalde GDPR ‘Algemene Verordening Gegevensbescherming (AVG)’ houdt in dat de Autoriteit Persoonsgegevens vanaf mei 2018 actief gaat controleren op de naleving van de verordening en eventueel boetes zal opleggen bij het niet naleven ervan. Deze boetes zullen in lijn zijn met de huidige boeteregeling in de Wet Meldplicht Datalekken.

De wet dwingt tot vele maatregelen om aantoonbaar aan deze wet- en regelgeving te voldoen, wat een noodzaak is op het moment dat een organisatie met persoonsgegevens omgaat, uitwisselt en/of verwerkt.


Uitgangspunten wetgeving:
De GDPR introduceert kernbeginselen waaraan alle verwerkingen van persoonsgegevens moeten voldoen, te weten:

  • Persoonsgegevens moeten op behoorlijke, rechtmatige en transparante manier worden verwerkt;
  • Persoonsgegevens mogen alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt;
  • Alleen persoonsgegevens die noodzakelijk zijn voor het doel mogen worden verwekt;
  • Gegevens moeten correct en actueel zijn;
  • Als identificatie niet meer noodzakelijk is voor het doel, dan moeten de persoonsgegevens worden verwijderd of ten minste geanonimiseerd,
  • De persoonsgegevens moeten worden beveiligd door middel van technische en organisatorische maatregelen.

 

Verantwoordelijkheid: de opdrachtgever moet kunnen bewijzen dat wordt voldaan aan deze verwerkingsbeginselen. De verantwoordelijke kan hier natuurlijk afspraken over maken met de eventuele bewerker, bijvoorbeeld een dienstverlener.


Bewerkers overeenkomst
Net als onder de Wbp is het onder de GDPR verplicht om een overeenkomst af te sluiten met bewerkers. Nieuw is dat de GDPR een aantal verplichte onderdelen van deze overeenkomst noemt, waaronder:

  • Het doel van de verwerking;
  • Het soort persoonsgegevens dat wordt verwerkt;
  • De categorieën van betrokkenen;
  • Dat passende beveiligingsmaatregelen zullen worden genomen;
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt;
  • Na afloop van de verwerking vernietiging of retourneren van de persoonsgegevens aan de verantwoordelijke.

*Ook mag de bewerker niet meer een derde partij inschakelen zonder de voorafgaande schriftelijke toestemming van de (eind)verantwoordelijke.


Verantwoordelijkheid
: De eindverantwoordelijkheid van de naleving blijft bij de oorspronkelijke eigenaar/opdrachtgever liggen. Zijn de verplichtingen uit de GDPR bij u voldoende gewaarborgd?


Wat betekent dit voor uw organisatie en bestuur?
Deze wetswijziging zorgt voor een aantal concrete gewenste aanpassingen in de organisatie. 

  • U heeft een actief Security beleid in het licht van volledige Controle en leeft dit na;
  • Schadelastbeperking door snelle detectie/response is noodzakelijk;
  • Control wordt gedaan op basis van riskmanagement;
  • Weerbaarheid aansprakelijkheid bestuurder en organisatie ten aanzien van o.a. claims moet actief nagestreefd worden;
  • Tools voor ondersteuning van crisismanagement en riskmanagement moeten geïmplementeerd zijn.

 

Noodzakelijke Forensische informatie voor DPO
De aangestelde Data Protection Officer moet minimaal de volgende zaken kunnen uitvoeren / ondersteunen:

  • Aanvullend onderzoek op basis van geïmplementeerde tooling na vastgesteld lek of risico;
  • Tooling voor analyse melding en/of betrokkene(n) (binnen 72 uur);
  • Vastlegging informatie in het kader van omgekeerde bewijslast;
  • Accountability / auditability ten aanzien van toezichthouders / accountant;
  • Opbouw van wettelijk verplichte incidenten register.

1Appliance kan u ondersteunen bij het maken van een stappenplan en/of het inzichtelijk maken van de eventuele risico’s.