10 stappen voor de naleving van de AVG
De Algemene Verordening Gegevensbescherming is een verordening inzake gegevensbescherming en -beveiliging die door de EU is aangenomen en op 25 mei 2018 in werking is getreden. De AVG legt verplichtingen op aan iedereen die persoonsgegevens van EU-ingezetenen verzamelt en verwerkt, ook als deze buiten de EU opereren.
De AVG geeft EU-inwoners controle over hun persoonsgegevens en verplicht tot;
* Legaal en volgens strikte regels persoonsgegevens verzamelen, verzamelen en beheren
* Bescherm persoonlijke gegevens tegen misbruik, uitbuiting en compromittering
* Respecteer de rechten van individuen om hun gegevens te beheren
De twee belangrijkste aandachtsgebieden van de AVG zijn persoonsgegevens en gegevensverwerking:
Het is ook belangrijk om bekend te zijn met specifieke AVG-termen voor het definiëren van rollen die verband houden met gegevensverwerking: gegevensbeheerders, betrokkenen en gegevensverwerkers.
Iedereen die persoonlijke informatie van EU-ingezetenen opslaat of verwerkt, is verplicht om te voldoen aan de AVG, ook al ben je buiten de EU gevestigd.
De AVG beschermt momenteel persoonsgegevens van inwoners van de volgende landen:
Oostenrijk Estland Italië Portugal
België Finland Letland Roemenië
Bulgarije Frankrijk Litouwen Slowakije
Kroatië Duitsland Luxemburg Slovenië
Cyprus Griekenland Malta Spanje
Tsjechië Hongarije Nederland Zweden
Denemarken Ierland Polen Verenigd Koninkrijk(UK-GDPR gelijk aan de AVG)
De AVG-vereisten beschermen klant- en werknemersgegevens
De AVG stelt hoge eisen aan de beveiliging van persoonsgegevens en verplicht gegevensbeheerders en verwerkers om gevoelige persoonsgegevens te beschermen. Zorgen voor veilige gegevensverwerking is een betrouwbare manier om het risico op beveiligingsincidenten te minimaliseren.
Het negeren van de regelgeving inzake gegevensprivacy kan gevolgen hebben voor de reputatie. Het ervaren van een datalek zal bijvoorbeeld leiden tot onderzoeken, boetes en mogelijke rechtszaken. Door te voldoen aan de vereisten van de AVG kunt u datalekken voorkomen en de status van een betrouwbare en professionele verwerker in de openbaarheid behouden.
Mensen willen weten dat hun gegevens veilig zijn en dat ze er controle over hebben. Er wordt eerder gekozen voor een AVG-conforme dienstverlener of onderaannemer dan voor een niet-conforme.
Niet-naleving van de AVG kan leiden tot onderzoeken, boetes en zelfs datalekken. Boetes voor niet-naleving van de regelgeving kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet of € 20 miljoen (welke van de twee het hoogste is). De hoogte van een boete is afhankelijk van meerdere factoren, waaronder:
* De duur en ernst van de overtreding
* De mate van samenwerking met de toezichthouder
* De betrokken categorieën persoonsgegevens
Privacy-checklist voor gegevensbescherming, kijkt naar de fundamentele principes achter de AVG
1. Zorg voor rechtmatigheid en transparantie van gegevensverwerking
De AVG vereist het vaststellen van een wettelijke basis voor en een transparante wijze van gegevensverwerking.
Het vragen om toestemming van gebruikers heeft enkele nuances. Het is belangrijk dat de gebruiker akkoord gaat met de verwerking van zijn gegevens, dus zorg ervoor dat er toestemming is via een opt-in-actie, zoals het aanklikken van een selectievakje.
Geef duidelijke en beknopte informatie over het verzamelen, opslaan en verwerken van gegevens. Al deze informatie moet gemakkelijk toegankelijk zijn.
2. Controleer het gegevensbeschermingsbeleid
Het ontwikkelen en implementeren van een AVG-conform gegevensbeschermingsbeleid, controleer dat regelmatig.
Het gegevensbeschermingsbeleid al het andere beveiligingsbeleid verenigt in een beleid en volgens het privacy by design-principe, wat inhoudt dat privacy standaard een integraal onderdeel van de IT-infrastructuur moet zijn.
Overweeg om regelmatig zelfcontroles uit te voeren met betrekking tot de naleving van de AVG. Het doel hier is om te valideren dat persoonlijke gegevens veilig worden verzameld, opgeslagen en verwerkt en niet toegankelijk zijn voor meer personen dan nodig is. Controleer ook of de systemen alleen de categorieën persoonsgegevens verwerken die nodig zijn voor specifieke doeleinden.
3. Voer een effectiviteitsbeoordeling uit
Een gegevensbeschermingseffectbeoordeling (DPIA) is een proces dat is ontworpen om de risico’s die voortvloeien uit het verzamelen en verwerken van persoonsgegevens te identificeren en te beperken. Een goed begrip van de risico’s op het gebied van gegevensprivacy kan helpen bij het kiezen van de juiste beveiligingsmaatregelen en het ontwikkelen van relevant cyberbeveiligingsbeleid.
Een DPIA begint met een inventarisatie van alle processen die te maken hebben met het verzamelen en verwerken van persoonsgegevens. Dan is er de beoordeling van risico’s voor de rechten en vrijheden van betrokkenen.
4. Implementeer goede maatregelen voor gegevensbeveiliging
Geen gegevens zijn veilig zonder relevante controles en beschermingsmechanismen. Maatregelen voor cyber beveiliging verdienen speciale aandacht, omdat ze de basis vormen voor uw gegevensbescherming.
5. Zorg voor de privacyrechten van gebruikers
Definieert de rechten van betrokkenen die moeten worden gewaarborgd om naleving van de AVG te waarborgen.
Zorg ervoor dat u de privacyrechten doorneemt om te controleren of zij gemakkelijk aan het volgende voldoen:
Overweeg om de rechten op te nemen in het privacybeleid. Eventuele wijzigingen in het privacybeleid moeten via e-mail aan betrokkenen worden meegedeeld.
6. Documenteer uw naleving van de AVG
Een andere essentiële vereiste van de AVG is het kunnen aantonen van naleving aan toezichthoudende autoriteiten en kunnen aantonen dat alle gegevens legaal worden verwerkt en dat alle mogelijke beveiligingsmaatregelen zijn toegepast.
Overweeg om documentatie bij te houden over hoe naleving en beveiliging van persoonlijke gegevens wordt garandeert. Dit kan in de vorm van een AVG-dagboek dat de gegevensstroom in organisaties in kaart brengt die wordt bijgehouden om naleving aan auditors te bewijzen. In het geval van een datalek kan AVG-dagboek ook worden gebruiken als referentie voor het verbeteren van de beveiliging.
7. Stel een functionaris voor gegevensbescherming aan
Een functionaris voor gegevensbescherming (DPO) is een interne of uitbestede specialist die toeziet op de naleving van IT-vereisten en weet hoe hij GDPR-compatibel moet zijn. Een DPO rapporteert ook aan het management over eventuele risico’s op datalekken.
De AVG vereist dat er een DPO wordt ingehuurd als er aan een van de volgende drie criteria wordt voldaan:
* Je bent een openbaar lichaam of autoriteit, er is vrijstellingen verleend aan rechtbanken en andere onafhankelijke instanties en gerechtelijke autoriteiten
* Je voert grootschalige, regelmatige verwerkingen van persoonsgegevens uit
* Je verwerkt gegevens binnen bijzondere categorieën
8. Bepaal de toezichthoudende autoriteit
Elke EU-lidstaat moet een of meer onafhankelijke overheidsinstanties aanwijzen die verantwoordelijk zijn voor het toezicht op de naleving van de AVG.
Een Gegevensbeschermingsautoriteit (DPA) genoemd, is een relevante toezichthoudende autoriteit die zal dienen als het primaire aanspreekpunt voor alle AVG-vragen.
Van de gegevensbeschermingsautoriteiten wordt verwacht dat zij:
* Toezicht houden op de toepassing van de AVG
* Geven van deskundig advies over gegevensbeschermingskwesties
* Klachten afhandelen met betrekking tot schendingen van de AVG
* Boetes opleggen bij niet-naleving aan verwerkingsverantwoordelijken en verwerkers
7 best practices voor naleving van cyberbeveiliging in banken en financiële instellingen Digital Operational Risk Act (DORA).
9. Meld datalekken direct
De AVG verplicht elke verwerkingsverantwoordelijke om een inbreuk in verband met persoonsgegevens binnen 72 uur na ontdekking te melden, tenzij het onwaarschijnlijk is dat het incident de rechten en vrijheden van de betrokkenen schaadt.
De verordening stelt ook dat gegevensverwerkers gegevensbeheerders moeten informeren over inbreuken op persoonsgegevens als dit gebeurt. Als derden toegang hebben tot gevoelige gegevens, zorg er dan voor dat zij op de hoogte zijn van deze AVG-vereiste.
Melding aan de toezichthoudende autoriteit moet bevatten:
* Beschrijving van de aard van het lek in verband met persoonsgegevens
* Categorieën en het geschatte aantal betrokkenen en persoonlijke records
* Mogelijke gevolgen van het datalek
* Maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorstelt te nemen om het lek in verband met persoonsgegevens aan te pakken en mogelijke gevolgen te beperken
* Contactgegevens van de functionaris voor gegevensbescherming of een andere persoon die meer informatie kan verstrekken
Zorg ervoor dat de details gedocumenteerd zijn van alle inbreuken op de beveiliging van persoonsgegevens en de maatregelen die in dit verband zijn genomen, aangezien dit kan helpen om naleving van de AVG te bewijzen.
10. Leid personeel op voor een veilige gegevensverwerking
Om de risico’s van datalekken en GDPR-schendingen te minimaliseren, moet ervoor gezorgd dat alle medewerkers op de hoogte zijn van de GDPR-vereisten, mogelijke cyberbeveiligingsbedreigingen, persoonlijke gegevensprivacy en mogelijke gevolgen van niet-naleving.
Zorg voor een goed bewustzijn van gegevensverwerking door regelmatig trainingen voor medewerkers te organiseren. Overweeg om het trainingsmateriaal regelmatig bij te werken wanneer zich nieuwe cyberbeveiligingsrisico’s voordoen. Het is ook belangrijk om relevante voorbeelden van inbreuken op de cyberbeveiliging aan het personeel te laten zien en mogelijke incidentresponsscenario’s te bespreken.
Het is essentieel om uw personeel niet alleen de juiste cyberbeveiligingsmaatregelen mee te delen, maar ook de redenen om deze toe te passen. Het is mogelijk dat werknemers bepaalde cyberbeveiligingscontroles of -procedures niet begrijpen en deze gemakshalve negeren.
Het is essentieel om uw personeel niet alleen de juiste cyberbeveiligingsmaatregelen mee te delen, maar ook de redenen om deze toe te passen. Het is mogelijk dat werknemers bepaalde cyberbeveiligingscontroles of -procedures niet begrijpen en deze gemakshalve negeren.
