AVG: 5 veranderingen & 6 technische maatregelen die van belang zijn

In mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG is de opvolger van de Richtlijn 95/46/EG uit 1995. Om even stil te staan bij hoelang geleden dat is: Netscape was de meest gebruikte browser en Google bestond nog niet. De bedoeling is dat de AVG voor een flinke inhaalslag gaat zorgen wat betreft de eisen die aan gegevensbescherming gesteld worden.

In dit blog gaan wij in op een aantal belangrijke veranderingen waar de AVG voor gaat zorgen. Vervolgens vertalen wij deze veranderingen naar de technische maatregelen die u zou kunnen nemen om uw gegevens te beschermen volgens de nieuwe verordening.

5 veranderingen door de AVG

Met de komst van de AVG gaat er veel veranderen op het gebied van gegevensbescherming. Hieronder lichten we er vijf belangrijke veranderingen uit.

1. Toestemming vereist

Eén van de belangrijkste veranderingen in de nieuwe AVG is dat er voortaan uitdrukkelijk toestemming nodig is van mensen, bijvoorbeeld klanten, om hun persoonsgegevens te mogen verwerken. Zorg dat u tijdig begint met het verkrijgen van deze toestemming. Wilt uw klant niet dat zijn gegevens opgeslagen en bewerkt worden? Dan heeft hij dit recht en moet hij zijn toestemming eenvoudig kunnen intrekken.

2. Dataminimalisatie

Dataminimalisatie betekent eigenlijk dat u niet te veel data mag opslaan over uw klanten. U mag alleen die data opslaan en verwerken die nodig is om het doel te bereiken waarvoor u de gegevens verzamelt. Dit betekent bijvoorbeeld dat een webshop bij het plaatsen van een bestelling niet om meer informatie mag vragen dan wat nodig / van belang is om de bestelling af te ronden.

3. De Data Protection Officer

Verwerkt uw bedrijf gevoelige persoonsgegevens zoals, medische gegevens? Organisaties vanaf een bepaalde omvang kunnen, volgens de AVG, verplicht worden iemand in de organisatie aan te stellen als functionaris voor de gegevensbescherming ofwel de Data Protection Officer (DPO). Deze DPO moet voldoende kennis hebben van uw organisatie, de aanwezige data en van gegevensbescherming. In de praktijk zal dit waarschijnlijk betekenen dat uw DPO een cursus moet volgen of een bepaald certificaat moet behalen.

4. Documentatieplicht

Onder de nieuwe AVG moeten bedrijven vastleggen welke maatregelen zij nemen om hun gegevens te beschermen. Hierbij gaat het zowel om technische als organisatorische maatregelen. Daarbij wordt het soms noodzakelijk dat er, bijvoorbeeld wanneer twee systemen met elkaar gekoppeld worden, een Privacy Impact Assessment (PIA) wordt gedaan.

5. Zware boetes

De sancties voor het niet naleven van de AVG zijn erg fors. Boetes kunnen oplopen tot 20 miljoen euro of 4% van uw (wereldwijde) jaaromzet.

Deze 6 technische maatregelen kunt u nemen

Hoewel er veel op het spel staat voor organisaties (de boetes zijn fors) worden er in de AVG helaas geen concrete eisen gesteld aan de technologie die gebruikt moet worden om gegevens te beschermen. Wat er wel in staat is dat de beveiliging conform de laatste stand van de techniek moet zijn. Dit leidt natuurlijk direct tot de vraag: wat is conform de laatste stand van de techniek? Wat zijn zinvolle technische maatregelen die u kunt nemen ten aanzien van de AVG?

1. Encryptie van gegevens 

Het versleutelen van gegevens is gemeengoed geworden in de technologie van vandaag de dag. Zelfs berichten die u via WhatsApp naar vrienden stuurt worden versleuteld. Gegevensencryptie zou daarom gezien kunnen worden als standaard.

2. Two-factor authenticatie

Ook 2-factor authenticatie raakt steeds meer ingeburgerd. Bij internetbankieren of bij de aanvraag van een nieuw wachtwoord komt u er bijna altijd mee in aanraking. Maar er zijn nog altijd veel organisaties waarbij (gevoelige) applicaties met alleen een wachtwoord toegankelijk zijn. Een extra beveiligingslaag wordt een must.

3. Het loggen van de toegang tot gegevens

Uw medewerkers zijn continu bezig met de persoonsgegevens van uw klanten. In het overgrote gedeelte van de gevallen gebeurd dit met een legitieme reden. Maar in de gevallen dat er gegevens worden ingezien waarvoor geen noodzaak is, moet u dit weten. U moet kunnen achterhalen wie die gegevens heeft ingezien. Daarom is het nodig dat er signaleringen worden ingebouwd die uw beheerders kunnen alarmeren wanneer er verdachte activiteiten worden waargenomen.

4. Snel & voortdurend updaten

Er worden geregeld beveiligingslekken ontdekt in (besturings)systemen en applicaties. Er wordt dan ook van uw organisatie verwacht dat u zo snel mogelijk update naar nieuwere, veiligere versies. Maatwerk aan applicaties kan het uitvoeren van updates soms erg vertragen, toch is het nodig dat u de updates snel uitvoert om in lijn te blijven met de AVG.

5. Pseudonimisering

Onder de nieuwe verordening wordt het pseudonimiseren van identificerende gegevens een belangrijke beveiligingsmaatregel. Pseudonimiseren houdt in dat identificerende gegevens vervangen worden door een stukje code. Bijvoorbeeld, in plaats van het klantnummer komt er in het CRM-systeem een onherkenbare code in het veld te staan. De koppeling tussen het klantnummer en de code wordt vervolgens vastgelegd in een aparte tabel. Hierdoor wordt het mogelijk om bij te houden wanneer iemand de vertaling van de code naar het klantnummer gemaakt heeft.

6. Gegevensvernietiging

Door dataminimalisatie, de tweede verandering die we bespraken, mag u niet te veel gegevens bewaren. Eén van de manieren om dit te doen is door gegevens te verwijderen nadat deze niet langer nodig zijn of de wettelijke bewaartermijnen zijn afgelopen. Richt bijvoorbeeld uw boekhoudsysteem zo in dat alle facturen na 7 jaar automatisch worden vernietigd.

Aan de slag!

De AVG is van toepassing met ingang van 25 mei 2018. Er is nu dus nog tijd om uw systemen zo in te richten dat uw gegevens en klantgegevens goed zijn beschermd. Maar onderschat de impact van de verordening niet. Wat betekent dit voor uw applicaties, zoals CRM, boekhoudsoftware of webshop? De verordening zal een impact hebben op uw volledige organisatie, niet alleen op uw IT-afdeling.

Daarom is het goed om te bedenken dat bovenstaande technische maatregelen belangrijk zijn, maar deze alleen zijn niet voldoende. Combineer het met organisatorische maatregelingen, zoals audits, trainingen en een bewustwording. Goede beveiliging zit maar voor een deel in systemen, het grootste deel zit in het gedrag en het bewustzijn van uw medewerkers.

Bent u benieuwd welke technische maatregelen uw organisatie kan nemen ten aanzien van de AVG? Wij helpen u graag! Neem gerust contact met ons op of maak een afspraak!