CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

Algemene Verordening Gegevensbescherming samenvatting

2 oktober, 2018

Op 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming van kracht gegaan. Deze nieuwe privacy wet vervangt de oude Wet Bescherming Persoonsgegevens. Wetgeving, met name op het gebied van privacy, kan erg ingewikkeld zijn. Daar u geen privacy specialist bent, leggen we u graag kort en bondig uit wat de nieuwe Algemene Verordening Gegevensbescherming inhoudt middels een samenvatting. Heeft naar aanleiding hiervan behoeft aan ondersteuning op dit gebied? IP4Sure biedt, tegen gunstige tarieven en op flexibele basis, een Privacy specialist aan. Vragen n.a.v. deze samenvatting? Neem dan contact met ons op voor meer informatie.

Algemene Verordening Gegevensbescherming: samenvatting.

Activiteiten die eerst niet onder de privacywet vielen, doen dat nu wel.

Ook IP- en MAC-adressen, cookies en dergelijke vallen nu onder deze wetgeving.

Uw privacyverklaring moet een soort bijsluiter worden in begrijpelijke taal.

U dient uw klanten te wijzen op alle rechten en de mogelijkheid een klacht tegen uw bedrijf in te dienen.

Datalekken moeten intern worden gedocumenteerd.

Voorheen diende u alleen datalekken te documenteren die u aan de toezichthouder moest melden. Vanaf 25 mei 2018 bent u verplicht ALLE datalekken te documenteren.

Alle verwerkingen van persoonlijke gegevens moeten gedocumenteerd worden.

Zelfs uw personeelsadministratie en die nieuwsbrief die u verstuurt.

Alle leveranciers en afnemers moeten met u een verwerkingsovereenkomst afsluiten.

In een verwerkingsovereenkomst maakt u afspraken over de omgang met persoonlijke gegevens. Besteedt u diensten uit waarbij persoonlijke gegevens betrokken zijn? Dan heeft u toestemming nodig van de klant.

Boetes kunnen het einde van uw bedrijf betekenen.

Onder de oude privacywet was de maximale boete per overtreding € 900.000,00. Onder de Algemene Verordening Gegevensbescherming is dit bedrag € 20.000.000,00, of 4% van de wereldwijde jaaromzet.

Risicovolle bewerkingen verlangen een PIA.

Wilt u een risicovolle bewerking uitvoeren, dan dient u een Privacy Impact Assessment uit te voeren. Als de resultaten daarvan bekend zijn en geïmplementeerd, dan pas mag u de risicovolle bewerking uitvoeren.

Verzamel zo min mogelijk privacygevoelige informatie en bewaar deze zo kort mogelijk.

U wordt geacht het minimale aan persoonsgegevens in uw beheer te hebben. Slechts datgene wat u op dat moment nodig heeft. Niet meer nodig? Dan deleten.

Software en diensten moeten vanaf de basis rekening houden met privacy.

Diensten en software moeten vanaf de basis zo ontwikkeld zijn, dat er bij elke stap rekening gehouden is met privacyaspecten. Standaardinstellingen moeten daarbij maximale privacybescherming bieden. Privacy by default dus.

Uw ICT beveiliging moet up to date zijn en blijven.

U dient te zorgen voor het beveiligen van persoonlijk gegevens middels encryptie, 2F authenticatie, uw ICT-systemen moeten met regelmaat worden onderzocht op risico’s en er moet een actief ICT beveiliging beleid gevoerd worden.

Intern privacy beleid publiceren is verplicht.

Uw medewerkers dienen hun rol te kennen inzake het privacy beleid en getraind te worden op regelmatige basis.

Uw organisatie moet weten hoe om te gaan met aanvragen van personen.

Wanneer iemand verzoekt om inzage te krijgen in zijn of haar gegevens, of wanneer er verzocht wordt om verouderde gegevens te vernietigen, dan dient uw bedrijf binnen een maand voldaan te hebben aan dit verzoek.

Slaat u persoonsgegevens op in online diensten?

Zo ja, dan moeten de personen van wie u gegevens opslaat in staat worden gesteld deze data te exporteren naar een standaardformaat en zelf op te kunnen slaan. Ook foto’s, social media berichten en forumbijdragen vallen hieronder.

Slaan buitenlandse partijen gegevens voor u op?

Wanneer u samenwerkt met buitenlandse partijen die gegevens voor u opslaan, dan dient u te weten of dit binnen of buiten de EU gebeurt. In het laatste geval dient er te worden voldaan aan strikte regels en dient het betreffende land door de Europese Commissie te zijn gecertificeerd. Uw klanten mogen van u eisen dat hun gegevens echter niet buiten de EU terechtkomen.

Interesseprofielen en risicoanalyses dienen verklaard te worden.

Wanneer u interesseprofielen of risicoanalyses maakt van uw klanten of bezoekers, dan dient u hen uit te kunnen leggen op welke wijze u dit doet en wat uw bedoelingen daarmee zijn.

Toegangsbeveiliging.

Elke vorm van toegangsbeveiliging waarbij biometrie wordt toegepast (vingerafdrukscan, irisscan, gezichtsherkenning) dient aan strenge veiligheidseisen te voldoen onder de AVG.

Meer weten? Neem contact met ons op!

Bel naar +31 40-2444666
Mail naar info@ip4sure.nl

Of ga naar onze contactpagina.

Wij werken met veel plezier o.a. voor