AVG: Geef data protectie & vernietiging prioriteit

In onze maatschappij worden data steeds belangrijker. En daarmee wordt beveiliging van data ook steeds relevanter. Voor onszelf en voor onze klanten, maar ook dat het moet. De wet -en regelgeving wordt namelijk aangepast op onze informatiemaatschappij. De Algemene Vordening Gegevens Bescherming, AVG, is hiervan het bekendste voorbeeld. Deze wet treedt eind mei 2018 in werking.

Europese wetgeving rondom gegevensbescherming 

De AVG is Europese wetgeving over de omgang met persoonsgegevens en privacy. Bij AVG gaat het om ‘tot natuurlijke personen herleidbare informatie’ zoals adresgegevens, geboortedata, foto’s, Burgerservicenummers, postcodes en IP-adressen. Beveiliging van persoonlijke informatie is er niet voor niets: Met (sommige) uitgelekte persoonsgegevens kan bijvoorbeeld identiteitsfraude worden gepleegd.

Strenge eisen

De AVG omvat strenge eisen rondom privacygevoelige data. Persoonsgebonden data moet op een rechtmatige manier worden verzameld, conform afspraak worden verwerkt en niet langer dan nodig worden bewaard. Ook vereist AVG een register met een overzicht van alle datastromen, data-verwerkingsprocessen, beveiligingsmaatregelen en doorgegeven persoonsgegevens. Dit register is cruciaal; het moet altijd een correct en volledig overzicht weergeven. Een ander belangrijk onderdeel van de AVG zijn verwerkingsovereenkomsten. De CA+ heeft een verwerkersovereenkomst laten opstellen voor gecertificeerde bedrijven. Deze moeten worden afgesloten met samenwerkingsverbanden van een organisatie als die persoonsgegevens verwerken. Denk hierbij bijvoorbeeld aan gegevensopslag in de Cloud, gebruik van een digitaal platform, de hosting van de website of gebruik van HR-gegevens door externe bureaus.

Meer rechten

Bij AVG draait het om de verruiming van de rechten van personen. Zo is er het recht op ‘data portability’, het recht ‘om vergeten te worden’, het recht op inzage en correctie, enzovoorts. In geval van verlies van persoonlijke data moet dit door de organisatie binnen 72 uur worden gemeld. Doet een organisatie dit niet, dan zijn de potentiële boetes fors: tot maximaal 4% van de wereldwijde (!) jaaromzet.

Compliance slag

Deze boetes zijn een belangrijke reden dat bedrijven in Europa nu hard werken om te voldoen aan de AVG. De meeste organisaties richten zich hierbij vooral op zaken als digitale systemen, data-registers, firewalls en web shops. Maar AVG geldt ook voor papieren documenten. Papieren documenten zijn namelijk nog steeds een belangrijke bron van datalekken. Er wordt immers nog steeds veel geprint en via de post verstuurd. Daarnaast zijn er talloze archieven met daarin persoonlijke gegevens zoals adressen, rekeningnummers die samen kunnen herleid worden tot een natuurlijke persoon.

Databeheer en datavernietiging

Goed databeheer gaat dus verder dan alleen digitaal databeheer. Hoe lang mag ik welke data houden, hoe vernietig ik (papieren) data en welke techniek gebruik ik voor het vernietigen van data(dragers)? De CA+ systematiek (certificering voor vertrouwelijke en juiste archief-, data- en productvernietiging) hanteert objectieve normen en procedures om de vertrouwelijkheid van het te vernietigen materiaal te waarborgen. CA+ kan daarmee een belangrijk ‘slot op de deur’ zijn in het managen van (persoonlijke) data.

De AVG moet onze persoonlijke data gaan beschermen. Daarvoor moet elke organisatie zelf aan de slag. De AVG is in ieder geval opgenomen in de nieuwe CA+ certificering 2018 en borgt op die manier kwalitatieve vernietiging bij CA+ bedrijven.

Dit artikel is tevens te vinden in de FNOI INFO van maart 2018

 

Gepubliceerd op:  28 maart 2018 433 x bekeken
Categorie:  Branche nieuws