Sertalink

sales@sertalink.com  BE: +32(0)3/337.17.01.    LUX: +352(0)27/94.06.59.

Sertalink

EU-GDPR 25 May 2018

Homepage / Data Governance & Compliance / EU-GDPR 25 May 2018

Overzicht van de Algemene Verordening Gegevensbescherming (AVG)

De Europese Commissie heeft haar EU Data Protection Reform in January 2012 om Europa geschikt te maken voor het digitale tijdperk. Meer dan 90% van de Europeanen zegt dat ze overal in de EU dezelfde gegevensbeschermingsrechten willen - en ongeacht waar hun gegevens worden verwerkt.

The Regulation is an essential step to strengthen citizens’ fundamental rights in the digital age and facilitate business by simplifying rules for companies in the Digital Single Market. A single law will also do away with the current fragmentation and costly administrative burdens, leading to savings for businesses of around €2.3 billion a year. The Directive for the police and criminal justice sector protects citizens’ fundamental right to data protection whenever personal data is used by criminal law enforcement authorities. It will in particular ensure that the personal data of victims, witnesses, and suspects of crime are duly protected and will facilitate cross-border cooperation in the fight against crime and terrorism.

On 15 December 2015, the European Parliament, the Council and the Commission reached agreement on the new data protection rules, establishing a modern and harmonised data protection framework across the EU. The European Parliament’s Civil Liberties committee and the Permanent Representatives Committee (Coreper) of the Council then approved the agreements with very large majorities. The agreements were also welcomed by the European Council of 17-18 December as a major step forward in the implementation of the Digital Single Market Strategy.

Op 8 april 2016 heeft de Raad de verordening en de richtlijn aangenomen. En op 14 april 2016 zijn de verordening en de richtlijn aangenomen door het Europees Parlement.

Op 4 mei 2016 zijn de officiële teksten van de verordening en de richtlijn in alle officiële talen gepubliceerd in het EU-Publicatieblad. Terwijl de Regulatie treedt in werking op 24 mei 2016 en is van toepassing vanaf 25 mei 2018De Richtlijn treedt op 5 mei 2016 in werking en de EU-lidstaten moeten de richtlijn uiterlijk omzetten in hun nationale wetgeving 6 mei 2018.

Regulation (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46 / EG (algemene verordening gegevensbescherming)

Directive (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of de uitvoering van strafrechtelijke sancties , en betreffende het vrije verkeer van dergelijke gegevens, en tot intrekking van Kaderbesluit 2008/977 / JBZ van de Raad

 

Cybersecurity en de AVG

Het cybersecurity-landschap verandert snel dankzij onze steeds digitaler wordende levensstijl, de wildgroei van verbonden apparaten en een evolutie in de manier waarop informatie door een organisatie stroomt. Naarmate gegevens bijvoorbeeld meer beschikbaar komen voor zakelijke gebruikers, wordt het voor cybercriminelen veel gemakkelijker om er toegang toe te krijgen en er misbruik van te maken. Nu de Britse Data Protection Act snel achterhaald raakt, presenteert de AVG een nieuwe, uniforme oplossing voor het beschermen van gevoelige informatie, een oplossing die consistent is in de hele regio en in staat is om informatie beter te beschermen in dit tijdperk van sociaal, mobiel en cloudgebaseerd delen.

Het is begrijpelijk dat de nieuwe verordening verschillende gevolgen zal hebben voor bedrijven die gegevens van EU-burgers verwerken – ongeacht hun locatie – en er moeten voorbereidingen worden getroffen om ervoor te zorgen dat steeds strengere sancties worden nageleefd en voorkomen. Bij handhaving bepaalt de AVG dat datalekken binnen 72 uur na ontdekking aan de relevante autoriteiten moeten worden gemeld als ze de rechten en vrijheden van de getroffen personen in gevaar kunnen brengen, en moeten van al deze incidenten gegevens worden bijgehouden.

Met betrekking tot de bovengenoemde sancties, niet-conforme organisaties nu geconfronteerd met boetes van maximaal vier procent van hun wereldwijde omzet of € 20.000.000 - afhankelijk van wat hoger is, wat ongetwijfeld een ernstige impact zal hebben op de bottom line van een bedrijf. Voor minder ernstige incidenten wordt de boete verlaagd tot twee procent van de omzet of 10.000.000 euro.

Wat moet worden geclassificeerd als gevoelige gegevens?

Een belangrijke vraag om te overwegen is die welke betrekking heeft op de definitie van "gevoelige gegevens". Naarmate we meer informatie online plaatsen, is dit een definitie die voortdurend evolueert, en als zodanig is de term onlangs uitgebreid met genetische en biometrische gegevens, evenals online-id's zoals cookies, RFID-tags en IP-adressen. Wanneer een organisatie dergelijke informatie verwerkt, moet zij eerst een grondige controle uitvoeren van beschermende maatregelen rond die gegevens, waaronder waarborgen, beveiliging en mechanismen om het risico van blootstelling te verlagen en ervoor te zorgen dat de AVG wordt nageleefd.

Voor veel bedrijven is het een moeilijke uitdaging om IT-beveiliging goed te krijgen. We zijn getuige geweest van grote schendingen bij high profile merken van VTech naar TalkTalk to Target, evenals de schadelijke gevolgen van een financieel en reputatieperspectief. De AVG biedt organisaties de kans om hun bestaande beveiligingsmechanismen serieus te analyseren aan de hand van een vaststaand criterium dat niet alleen hun cybersecuritypositie versterkt, maar ook het risico op een zeer dure inbreuk vermindert. Voor velen zal dit aanpassingsproces moeilijk, tijdrovend en kostbaar zijn, dus het zou een goed idee zijn om te beginnen met het maken van toekomstbestendige beveiligingsstrategieën, het plannen van de veranderingen en het investeren in geschikte technologie eerder vroeger dan later.

Versleutel alles

Nu cybercriminelen tot het uiterste gaan om gevoelige of lucratieve gegevens te bemachtigen, zou het uiteindelijke doel voor organisaties moeten zijn om die gegevens koste wat het kost te beschermen. We leven in een tijd waarin datalekken bijna onvermijdelijk zijn, dus het is logisch om data met encryptie te verdedigen, zodat het onleesbaar en vrijwel onbruikbaar blijft als en wanneer het in verkeerde handen valt. Er moet een inventarisatie worden gemaakt waarin rekening wordt gehouden met alle gegevens die worden geproduceerd, verwerkt en opgeslagen, zodat volledig inzicht kan worden verkregen in hoe en waar de informatie stroomt. Een standaardstrategie van 'alles versleutelen' is van cruciaal belang om naleving te garanderen, en de technologische vooruitgang van vandaag betekent dat versleuteling niet langer een duur of omslachtig proces is - in feite is het nu sneller en gemakkelijker dan ooit tevoren om gegevens te beveiligen met versleuteling, dus er is heel weinig excuus voor organisaties die dit niet doen.

Dat gezegd hebbende, terwijl dit een goed begin is, moet effectieve bescherming verder gaan dan encryptie - vooral bij het overwegen van de dreiging van binnenuit. Toegangscontroles zijn een belangrijke extra verdedigingslaag, die ervoor zorgt dat alleen gebruikers met het juiste niveau van autorisatie toegang hebben tot bepaalde gegevenssets. Zodra een gebruiker toegang krijgt tot een versleutelingssleutel, wordt het gebruik ervan volledig gecontroleerd en verantwoord, waarbij regels voor gegevensrechten worden afgedwongen, waardoor het delen van toegang met een andere gebruiker en andere factoren zoals het tijdstip van de dag wordt voorkomen.

Met deze basismaatregelen zullen organisaties beter in staat zijn om te opereren in een post-GDPR-wereld. Echter, dingen veranderen en het is belangrijk om niet zelfgenoegzaam te worden. In plaats daarvan moet gegevensbeveiliging worden beschouwd als een constant werk in uitvoering, met regelmatige tests en evaluatie van de effectiviteit van deze instrumenten die in de algemene strategie voor gegevensbescherming zijn ingebouwd.

Kortom, de GDPR is een duidelijke stap in de goede richting, en zal hopelijk leiden tot de broodnodige verandering in organisaties die momenteel achterop raken op kritieke beveiligingsvereisten - maar hoewel de deadline nu misschien ver weg lijkt, zal het ons zeker besluipen, met verwoestende gevolgen voor degenen die er niet in geslaagd zijn om aandacht te besteden.

X