Dat(a) lijkt te lekken…

26 februari 2018
Dat(a) lijkt te lekken…

De tijd dringt: de EU-verordening algemene gegevensbescherming (EU GDPR) treedt in werking op 25 mei 2018. Als bedrijven niet aan de nieuwe vereisten kunnen voldoen, kunnen de kosten oplopen tot 20 miljoen euro of 4 procent van de totale inkomsten van een bedrijf (afhankelijk van welke het hoogste is). In het licht van deze hoge financiële straffen is het verrassend dat 75 procent van de ondervraagde bedrijven uit Duitstalige landen nog steeds niet voorbereid zijn op de EU GDPR.

Dat(a) lijkt te lekken..

Volgens de wet is een datalek; iedere schending van de beveiliging waardoor persoonsgegevens in verkeerde handen vallen of zijn kwijt geraakt. Er wordt hierbij geen onderscheid gemaakt tussen een hack of een simpel slordigheidsfoutje. Daarnaast dienen datalekken binnen 72 uur na ontdekking te worden gemeld. Deze melding gebeurt digitaal en vereist duidelijke uitleg van wat er misging, welke gegevens in gevaar zijn geraakt en wat uw vervolgstappen zijn. Bent u binnen die tijd niet in staat alle gegevens aan te dragen, dan kunt u een voorlopige melding maken en de overige informatie later indienen. Maar een datalek kan niet alleen intern plaats vinden, het is natuurlijk ook mogelijk dat een datalek zich voordoet bij een partij die bij u in dienst is. Voor dergelijke lekken bent u óók aansprakelijk!

Belangrijk is het dus duidelijke afspraken te maken over beveiliging maar ook over hoe een derde partij deze datalekken bij uw bedrijf meldt. Met dergelijk hoge verwachtingen komt veel verantwoordelijkheid te liggen bij de informatiebeveiligingsexpert, om uw organisatie te laten voldoen aan de AVG. Vanaf de ontwikkeling van nieuwe software tot en met het aantoonbaar voldoen aan de beheersing van de ICT ter ondersteuning van de administratie van persoonsgegevens.

Lost in translation

Toch is uit onderzoek van SER-groep gebleken dat zo’n 75% van de bedrijven die zijn ondervraagd uit Duitstalige landen nog steeds niet voorbereid is op de General Data Protection Regulation. Zelfs 45% weet niet hoe te voldoen aan vereisten als; het recht om te wissen. Wat inhoud dat persoonlijke gegevens op verzoek volledig moeten worden verwijderd.

Het is al snel duidelijk aan te wijzen waar het probleem ligt, namelijk; de IT-landschappen van veel organisaties zitten vol met decentrale informatie opslagruimtes. Zo wordt informatie die persoonsgebonden is vaak in verschillende verouderde archieven opgeslagen, in verouderde systemen, in bestandssystemen of zelfs e-mailpostvakken. Zo blijkt dat 77% van de 1.826 reagerende Chief Information Officers, IT-managers en Procesmanagers te denken dat dit verschillende problemen veroorzaakt. Één daarvan is dat het de toegang tot informatie lastiger maakt, hierdoor wordt het nog ingewikkelder en moeilijker te voldoen aan de GDPR wetgeving.

“Veel bedrijven moeten eerst een cruciale vraag beantwoorden: weten ze zelfs waar persoonsgegevens worden opgeslagen? Als ze deze vraag niet kunnen beantwoorden, kunnen ze geen maatregelen nemen om te voldoen aan de wettelijke vereisten van de GDPR”, verteld Manfred Zerwas, managing partner van de SER-groep.

Het GDPR Live congres

Op 25 april 2018 vindt “GDPR Live” plaats en helpt u met de implementatie van de nieuwe dataprivacy wetgeving.

Tijdens dit congres wordt u op de hoogte gebracht van de actuele gevaren en de technische- en culturele oplossingen hiervoor. Een gedegen privacy strategie is noodzakelijk om het vertrouwen van klanten, burgers en stakeholders te winnen én vast te houden. Hierbij kijken we naar de factor mens, de processen en techniek.

Naast een inhoudelijk sterk congresprogramma biedt het congres u ook de mogelijkheid om te netwerken met uw vakgenoten. Meld u direct aan en laat u inspireren!

Onderwerpen die tijdens het congres besproken worden zijn:

  • Wet- en regelgeving gegevensbescherming
  • Meldplicht Datalekken
  • Data Protection Officer
  • Private Impact Assessments
  • Privacy by design, privacy by default
  • Binding Corporate Rules
  • Security