07 December 2017   | 0
Security

Zes manieren waarop GDPR dataverwerking verandert

Zes manieren waarop GDPR dataverwerking verandert

Mei 2018, het duurt nog maar even. De invoering van de General Data Protection Regulation (GDPR) is nabij. Wat gaat er veranderen?

Het belang van de Europese richtlijn voor databescherming GDPR kan niet genoeg benadrukt worden. Door een nog niet eerder in de geschiedenis vertoonde snelheid van technologische ontwikkeling, is de schaal waarop organisaties de laatste jaren data verzamelen en uitwisselen enorm toegenomen. Oude wetgeving voor databescherming was hier helemaal niet op toegerust. In Nederland krijgt de GDPR gestalte in de vorm van de Algemene Verordening Gegevensbescherming (AVG) en bedrijven moeten zich hierop voorbereiden. Wie dit niet doet, moet rekening houden met forse boetes. Wij zetten zes belangrijke veranderingen op een rij:

Definities voor persoonlijke data

Wat zijn persoonlijke data? Er kan sprake zijn van economische, sociale, medische of zelfs genetische informatie. Het is van groot belang alle data onder de loep te nemen om te bepalen welke valt onder GDPR-wetgeving en in hoeverre bestaand bedrijfsbeleid dit ondersteunt. Onderschat veranderingen in definities niet, omdat het lastig kan zijn om (individuele of organisatorische) normen aan te passen wanneer deze al jaren bestaan.

Extraterritorialiteit

Behalve het scrabble-woord van de week is extraterritorialiteit de verantwoordelijkheid voor data, waar deze zich ook bevindt. Dit heeft grote gevolgen voor internationaal dataverkeer en samenwerken met partners. IT-verantwoordelijken moeten alle data-uitwisselingen kritisch beoordelen en partners goed screenen alvorens deze toegang te geven tot data.

Duidelijke toestemming is nodig

Individuen krijgen met de GDPR meer controle over hun data. Dit gaat verder dan alleen het aanvinken van een vakje waarmee zij bedrijven toestemming geven om data te verzamelen. Het gaat om het recht van het individu om deze toestemming op elk moment weer in te kunnen trekken. Dit vraagt om de juiste oplossing om burgers deze mogelijkheid te geven. Logischerwijs is het kunnen vinden en verwijderen van de juiste data hier een belangrijk aspect.

Nieuwe rechten

Het uitgangspunt van de wetgever om het individu te beschermen betekent dat de GDPR een aantal nieuwe rechten introduceert. Bedrijven moeten deze begrijpen en mogelijk maken. Neem bijvoorbeeld dataportabiliteit. Dit houdt in dat personen kunnen verzoeken dat hun data beschikbaar wordt gemaakt en elektronisch wordt verstuurd naar een ander bedrijf op een veilige manier. Ook is er het ‘recht om vergeten te worden’. De GDPR geeft meer ruimte aan personen om te verzoeken tot het verwijderen van data (bijvoorbeeld in zoekmachines en databases) die schadelijk voor hen is.

Melden van lekken binnen 72 uur

Wanneer een bedrijf een serieus datalek ontdekt, moeten zij dit binnen 72 uur melden aan hun nationale autoriteit voor databescherming (in Nederland de Autoriteit Persoonsgegevens) en aan personen waarop de data betrekking heeft. Het spreekt voor zich dat het essentieel is om processen en systemen hierop in te richten, niet alleen om snel incidenten te ontdekken maar ook om de situatie helder te communiceren naar betrokkenen.

Data Protection Impact Assessments (DPIA’s)

Dit is een extra stap die risico’s helpt te verlagen bij het verwerken van data op grote schaal. Door een DPIA uit te voeren zijn organisaties in staat hun systemen of strategieën zodanig aanpassen dat deze een veilige, effectieve en verantwoordelijke manier met data omspringen.

 

De GDPR was ook tijdens de meest recente editie van de Fujitsu World Tour een hot item. Lees wat hierover gezegd werd en bekijk de presentaties hier.

Laat een reactie achter

*