Toename computercriminaliteit vraagt om extra maatregelen bij bedrijven.
Het onderwerp computercriminaliteit is actueler dan ooit. Vooral nu blijkt hoe kwetsbaar sommige systemen zijn door hacker aanvallen. Alleen al vorige maand werden tienduizenden euro’s betaald door bedrijven om de gijzelsoftware ongedaan te maken. Een nutteloze actie vaak. Het feit dat zoveel bedrijven niet weten hoe om te gaan met dit soort ‘digitaal terrorisme’, is op z’n minst zorgwekkend. Het wordt nog zorgwekkender met de wetenschap dat u als website-eigenaar verantwoordelijk bent voor de privacy van uw website-bezoekers en online relaties.
Vanaf mei volgend jaar dient uw organisatie te voldoen aan de richtlijnen van de nieuwe Europese privacywet ‘Algemene Verordening Gegevensbescherming (AVG, in het Engels GDPR genaamd).
Wat dat inhoudt? We vatten het beknopt samen in de volgende punten.
1) Online verkregen gegevens eerder privacy gevoelig.
Naast naam- en adresgegevens, zijn voortaan ook bezoek- en surfgegevens (cookies) privacygevoelig.
2) Transparante privacyverklaring.
Naast het feit dat u bezoekers en online relaties dient uit te leggen wat u met privacy-gevoelige gegevens doet, dient u uw online relaties te attenderen op hun privacy rechten.
3) Verslag van datalekken.
Volgens het nieuwe AVG dient u alle datalekken te administreren en archiveren. Krijgt u te maken met een datalek met privacy gevoelige informatie van een opdrachtgever, dan dient u die ook te melden aan betreffende opdrachtgever.
4) Vastleggen persoonlijke gegevens.
In een verwerkingsregister dient u aan te geven welke persoonsgegevens online verwerkt worden.
5) Verwerkingsovereenkomst afsluiten.
In een verplichte verwerkersovereenkomst geven afnemers of toeleveranciers een akkoord over gebruik en verwerking van privacygevoelige informatie door u.
6) Grotere organisatie dienen ‘Privacy officer’ aan te sluiten.
Wanneer op grote schaal privacygevoelige informatie wordt verwerkt, is een privacy officer nodig die onafhankelijk rapporteert over naleving van de AVG.
7) Risico’s afdekken door Privacy Impact Assessment (PIA)
Grotere organisaties dienen privacy risico’s in kaart te brengen met een PIA.
8) Verwijderen van niet relevante persoonlijke informatie.
De AVG stelt dat niet relevante privacygevoelige informatie zo snel mogelijk weer verwijderd wordt.
9) Zorg voor een optimale beveiliging.
Uw ICT systemen zullen encryptie-en authenticatiesystemen dienen te bevatten om optimale veiligheid te garanderen.
10) Inzage op verzoek.
Samenhangend met de noodzaak voor transparantie, dient u binnen 1 maand inzage te kunnen geven op de status en verwerking van persoonsgegevens van betreffende partij.
11) Persoonlijke informatie op standaard formaten.
Wanneer uw website de mogelijkheid geeft aan derden om bestanden of persoonlijke informatie op te slaan, dan dient dat in standaard formaat te gebeuren, zodat gegevens gemakkelijk overgedragen kunnen worden.
12) Transparant over interesse- en gedragsregistratie.
Wanneer u software toepast om interesses, gedrag en risico-analyses te maken van bezoekers, dan dient u op verzoek aan te geven hoe – en met welke software – u dit doet.
Wilt u meer weten over de AVG?
Maak een afspraak met één van onze experts.
Info@beksadvocaten.nl