Voldoen aan de AVG: niet enkel verplichting, maar vooral een kans voor privacy
Wat voor weer wordt het vandaag? U start een weer-app en u krijgt het actuele weerbericht voor de locatie waar u nu bent. U heeft uw boek uit en bent toe aan een nieuwe? ‘Anderen die hetzelfde boek hebben gelezen, adviseren u deze nieuwe titel. Accepteer onze cookies en u krijgt de volledige functionele website’.
Van eenvoudige, dagelijks voorbeelden tot en met fundamenteel onderzoek: gegevens zijn belangrijk voor innovatie, waardecreatie en personalisatie. Een deel van die gegevens zijn persoonlijke gegevens. Gegevens die mij kunnen identificeren, die over mij gaan, of door mij zijn gemaakt. Om alle voordelen van gegevensverwerking mogelijk te maken, moet er vertrouwen zijn. Vertrouwen in degene met wie ik mijn gegevens deel, en vertrouwen in de beveiliging van die gegevens.
Wetgeving helpt mee om dat vertrouwen te onderbouwen. Want er kan en mag wel veel met gegevens, maar dan moeten er een aantal zaken goed geregeld zijn. In Nederland hebben we nu de Wet Bescherming Persoonsgegevens (WBP). Deze WBP wordt per 25 mei 2018 vervangen door de nieuwe Algemene Verordening Gegevensbescherming (AVG). De AVG is de Nederlandse implementatie van de Europese General Data Protection Regulation (GDPR), welke in 2016 door de EU is aangenomen.
Privacy is een fundamenteel recht
In Nederland is het recht op privacy in Artikel 10 van de grondwet opgenomen. De AVG is een belangrijke stap. Onze privacyrechten worden erin beschermd, en we krijgen meer mogelijkheden om controle te houden over onze persoonlijke gegevens. Ook laat de AVG veel ruimte voor alle belangrijke en positieve mogelijkheden van gegevens. Voor mij, als individu, is het belangrijk te weten welke rechten de AVG aan mij geeft. Voor bedrijven die persoonlijke gegevens verwerken is het belangrijk te weten wat de AVG aan verplichtingen brengt. De handhaving van de AVG gaat over een jaar echt beginnen, per 25 mei 2018. Daarom werken bedrijven nu aan de invoering van maatregelen waarmee aan de verplichtingen kan worden voldaan.
Aan de AVG móeten voldoen, of aan de AVG wíllen voldoen
Organisaties die persoonlijke gegevens verzamelen of verwerken, kunnen de AVG zien als een extern opgelegde verplichting. Dat is natuurlijk prima, iedereen moet sowieso aan de wet voldoen. Maar een organisatie kan zich ook differentiëren, door de gedachte achter de AVG te internaliseren en leidend te maken, namelijk dat veiligheid, transparantie en rechten voor het individu wiens gegevens worden verzameld en verwerkt voorop staan. De voorwaarden en verplichtingen uit de AVG ondersteunen het maatschappelijk en zakelijk vertrouwen in technologie. We kunnen wel naar de AVG kijken als een extern opgelegde verplichting, maar we moeten er vooral ook naar kijken als de door onszelf, en door gebruikers van onze technologie gevraagde zekerheden. En dan is het logisch om aan de AVG te wíllen voldoen.
Begin nu
Hoe dan ook, in ieder geval moeten we beginnen. Of eigenlijk al begonnen zijn. Want alle organisaties die persoonlijke gegevens verwerken van EU-ingezetenen, moeten rekening houden met de AVG. De Autoriteit Persoonsgegevens gaat toezicht houden op de AVG en helpt met tien basisstappen voor de voorbereiding.
De AVG is geen eenvoudige wetgeving. En voor een aantal clausules zijn de duidingen en interpretaties nog niet eensgezind. Wat wel heel helder is, is dat er nog meer nadruk ligt op de eigen verantwoordelijkheid van organisaties. Zo moet men kunnen aantonen dat er zorgvuldig met persoonsgegevens wordt omgaan (‘accountability’). De Autoriteit Persoonsgegevens noemt dat een documentatieplicht. U moet bijhouden en aantonen dat de verwerking van persoonsgegevens in uw organisatie in overeenstemming met de AVG verloopt. Ook hier geldt dat het enerzijds móet, maar anderzijds ook dat transparantie over het goed regelen een positieve waarde is richting uw klanten. Positief concurreren op veiligheid en transparantie, daar wordt iedereen in de markt beter van.
Zelf doen, of zelf laten doen
Uit de documentatieplicht volgt dat verwerkers van persoonsgegevens een goed en volledig overzicht moeten hebben van de systemen die de gegevens verwerken. En men moet een goed beeld hebben van toegang tot die systemen, de handelingen op de gegevens, en inzicht in de kwaliteit van de beveiliging van die systemen.
De AVG biedt een context waar de cloud zich van haar beste kant zal laten zien. Onze partner Microsoft heeft voor de Microsoft Online Services transparantie als fundament. Deze diensten, zoals Office 365 en Microsoft Azure, hebben dashboards, audit-rapportage mogelijkheden en meer. Zo weet u waar gegevens zijn opgeslagen, wie er toegang heeft, en wat er met de gegevens is gedaan. Daarmee maakt u een eerste stap om bijvoorbeeld aan de ‘documentatie plicht’ van de AVG te voldoen.
Samengevat zijn er bij het gebruik van Microsoft Online Services drie domeinen die zullen helpen om aan de AVG te voldoen:
1. De standaard mogelijkheden: bijvoorbeeld de beveiliging, audit en rapportages.
2. De keuze en optionele inrichting: bijvoorbeeld 2-factor authenticatie, data loss prevention, en meer opties.
3. Aanvullende maatregelen die u zelf kunt nemen: bijvoorbeeld gebruikers/adoptietraining, beleid over USB sticks en meer.
Niet alles van waarde is weerloos
“Alles van waarde is weerloos,” stelde Lucebert. Maar met de moderne beveiligingsmogelijkheden zijn deze waardevolle gegevens zeker niet meer weerloos. Oude digitale beveiliging richtte zich op de voordeur van systemen. Moderne beveiliging richt zich daarnaast ook op de gegevens zelf. Beschermen, detecteren en reageren is het adagio.
De AVG gaat wat van ons vergen. Tijd, geld, en middelen. Maar de AVG is vooral een nodige modernisering van de wetgeving, die een kans biedt om maatschappelijk vertrouwen in technologie te versterken, en een gelegenheid de beveiliging van waardevolle gegevens te verbeteren.
Meer weten over de mogelijkheden die bijvoorbeeld Office 365 kan bieden op het gebied van veiligheid? Check hier alle oplossingen of schrijf je hier in voor een Customer Immersion Experience om het maximale uit Office 365 te halen.
Efficiënt informatiemanagement voor RHO Adviseurs
Rho Adviseurs koos voor informatiemanagement-systeem M-Files, om te zorgen voor structuur en een systeem waar je makkelijk en veilig actuele informati..
Werkontwikkelbedrijf Ontplooj: Omdat iedereen erbij hoort!
Meedoen in de maatschappij telt, ook als je een afstand tot de arbeidsmarkt hebt. Belangrijk, vindt ook PCI. Samen met adviesbureau Forque ontwikkelde..
PCI Customertalk: CLM
Tijdens PCI Inspire ontmoeten we projectassistenten Nicole Krassenberg en Gera Clements van CLM Onderzoek en Advies uit Culemborg. Nicole Krassenberg ..
Vindsubsidies begeleidt bedrijfssubsidiestromen met PCI als IT-partner
Vindsubsidies ondersteunt organisaties bij het opstellen en indienen van sterke subsidieaanvragen. De organisatie is stevig onderweg om grootse toekom..
PCI Customertalk: Van Mossel
Het Nederlandse Van Mossel Automotive geniet in de hele Benelux bekendheid. Een organisatie met zo’n omvang vereist een strakke, eenduidige organisa..
PCI Customertalks: Hooymeijer
Hooymeijer is een neutrale vervoerder in de haven van Rotterdam die alle containertransport en -opslag regelt voor expediteurs. De hele IT-infrastruct..
PCI Customertalk: TenCate Grass
In PCI Customertalk lees je mini-interviews met onze klanten die aanwezig zijn op één van de PCI-events. Laat je inspireren door onze klanten en lee..
UMCG heeft met komst ledwall de primeur in Nederland
Een van de laatste aanwinsten van het UMCG op audiovisueel vlak is de ledwall die sinds kort in de Blauwe Zaal hangt. ‘De ledwall is een soort video..
