appwatching-avg-hoogezand

Appwatching was here: AVG-avond in Hoogezand

Afgelopen maandag was Appwatching aanwezig bij het Privacy College in Hoogezand over de impact van de nieuwe Europese privacywet (AVG) op ondernemers en consumenten. De avond werd georganiseerd door Parkmanagement Midden-Groningen en Biblionet Groningen. Rob Platteel, privacy manager van Pprotectum, zette deze avond alle belangrijke punten op een rij.

De avond wordt geïntroduceerd door Platteel met een aantal voorbeelden die de mensen in de zaal weer even bewust maken van wat er allemaal gebeurt tegenwoordig met persoonsgegevens. "Je telefoon weet wanneer je opstaat en gaat slapen, maar ook met wie en hoe vaak. En Facebook luistert met je mee en toont advertenties op basis van wat je zegt." Volgens Platteel laten de voorbeelden zien dat scherpe en duidelijke privacyregels zeer belangrijk zijn.

Grootste veranderingen

Uiteraard begon Plattel bij het begin: wat is AVG nou eigenlijk. AVG staat voor Algemene verordening gegevensbescherming en is een nieuwe wet op het gebied van privacy. Deze wet gaat op 25 mei 2018 van kracht en verandert voor ondernemers de manier waarop zij klantgegevens mogen bewaren. Maar ook voor consumenten is het belangrijk om te weten wat hun rechten zijn. 

Platteel geeft aan dat elke organisatie die ook maar iets van haar klanten of relaties bewaart te maken krijgt met de AVG en moet weten wat het inhoudt. Alleen voor inlichtingen-, veiligheids- en opsporingsdiensten gelden andere regels. "Het moet straks duidelijk zijn wat het doel van de gegevens is die je bewaart en alleen dat wat echt nodig is mag opgeslagen worden", aldus Platteel. Wat er verder in grote lijnen verandert vind je hieronder.

Verantwoordingsplicht

Je moet altijd aan kunnen tonen welke persoonsgegevens je bewaart, waarom je die bewaart en hoe je ze hebt beveiligd.

Register van verwerkingen

Je moet op elk moment een register aan kunnen leveren met opgeslagen gegevens en verantwoording.

Privacy by design/privacy by default

Een vakje voor het aanmelden van bijvoorbeeld de nieuwsbrief mag niet automatisch aangevinkt zijn.

Gegevenseffecten beoordeling (PIA/DPIA)

Je moet bij nieuwe initiatieven aan kunnen tonen of je rekening hebt gehouden met de privacy van betrokkenen.

Functionaris gegevensbescherming

Sommige organisaties moeten verplicht een functionaris gegevensbescherming hebben. 

Meer en zwaarder sanctiemogelijkheden AP

De Autoriteit Persoonsgegevens mag straks boetes uitdelen tot twintig miljoen euro of vier procent van de omzet.

Rechten van betrokkenen

Klanten of relaties moeten uit een systeem worden verwijderd wanneer zij aangeven dat ze dat willen.

Naast dat alle gegevens in een register van verwerkingen moeten kloppen zorgt een register ervoor dat een wijziging meteen in alle systemen wordt doorgevoerd. Een goed werkend register van verwerkingen voorkomt een hoop misverstanden. In het verhaal van Ron Kowsoleea ziet Platteel een mooi voorbeeld. "Kowsoleea was een zakenman waarvan de naam is gebruikt door een oude bekende is opgegeven toen die werd opgepakt. Daarna werd Kowsoleea gezocht en op een gegeven moment opgepakt toen hij op een vliegveld was. Hij kon zijn onschuld bewijzen, maar bleef in alle systemen staan als gezocht."

Online risico's

Aan de hand van online risico's bij het niet zorgvuldig omgaan met gegevens toonde Platteel het belang van de AVG aan. Wanneer een kwaadwillende door een datalek toegang krijgt tot alle klantgegevens van een onderneming kan dit leiden tot bijvoorbeeld identiteitsfraude. Voor een onderneming kan een datalek zorgen voor reputatieschade en onderbreking van de business-continuïteit.

Een opvallend gegeven deze avond is dat in tachtig procent van de gevallen de mens de veroorzaker van een datalek is. "Een medewerker van Rabobank vond eens een usb-stick op de grond voor de Rabobank en dacht dat het van een collega was. Dus de medewerker steekt de usb-stick in een computer met als gevolg dat het hele systeem op tilt slaat", geeft Platteel als voorbeeld. Daarnaast wordt voorspeld dat binnen vijf jaar vijftig procent van de criminaliteit bestaat uit cybercrime. Als ondernemer en consument kun je verschillende maatregelen treffen om je zo goed mogelijk te weren tegen cybercrime:

  • Schrijf inloggegevens niet op een papiertje
  • Voer altijd de laatste updates uit
  • Zorg voor een clean desk/clear screen
  • Zorg voor variatie in je wachtwoorden
  • Gebruik een wachtwoordmanager
  • Gebruik tweetrapsauthenticatie
  • Surf via veilige websites (https)

Dit kun je als ondernemer extra doen:

  • Zorg voor toegangscontrole op ruimtes en gebouwen
  • Beperk gebruik social media via het bedrijfsnetwerk
  • Maak gebruik van een aanname- en uitdienstprotocol
  • Gebruik virusscanners en firewalls
  • Beveilig fysieke apparaten
  • Vernietig oude documenten en apparaten
  • Gebruik geen openbare wifi

Op het moment dat Platteel spreekt over openbare wifi heeft hij een apparaatje in zijn hand. "Met dit apparaatje (een Pineapple, red.) kan je een wifi netwerk opzetten met bijvoorbeeld de naam van een hotel. Wanneer hotelgasten inloggen op dit valse netwerk kunnen al hun gegevens ingezien en gestolen worden."

Voorbereiden op AVG

Het goed beveiligen van klantgegevens is dus een belangrijk onderdeel van de AVG-wet. Daarnaast is voor het bewaren en in kaart brengen van gegevens een goede aanpak vereist. Platteel benadrukt dat het belangrijk is dat alle medewerkers straks bewust zijn van hoe zij om moeten gaan met al die klantgegevens. "Je kan alles technisch en organisatorisch goed inrichten, maar het schiet niet op als medewerkers niet weten wat ze met een phishingmail moeten doen." Voordat je je medewerkers inlicht moet je de volgende punten duidelijk hebben:

  • Om welke soort gegevens het gaat
  • Waarom je die gegevens bewaart
  • Waar de gegevens zijn opgeslagen
  • Alleen medewerkers die het nodig zijn hebben toegang
  • Manier van beveiligen
  • Bewaartermijn

Verder is het belangrijk de volgende documentatie en protocollen op orde te hebben:

  • Een verwerkingsregister
  • Verwerkersovereenkomsten
  • Een procedure van datalekken en incidentenregistratie
  • Uit dienst en in dienst procedures
  • Een procedure voor een inzage verzoek
  • Geheimhoudingsverklaring
Honderd procent veilig bestaat niet

Conclusie

Woorden die telkens terugkeerden deze avond waren: wat, waarom, doel en toestemming. In grote lijnen moet je dus straks als ondernemer duidelijk hebben wat je bewaart, waarom je het bewaart en wat het doel is van de gegevens. Daarnaast hebt je te allen tijde toestemming nodig van de klanten of relaties. Hierbij spelen bewustzijn, beveiliging en het vastleggen van beleid en acties een cruciale rol. Rob benadrukte in zijn conclusie  wel dat honderd procent veilig of inzichtbaar niet bestaat.  

 

 

 -
Geschreven door:
Thomas van Holsteijn

Verder lezen


appwatching-chat

Mijnwebwinkel koppelt met LiveChat Service

Klanten van Mijnwebwinkel kunnen vanaf vrijdag een livechat aanbieden in hun webwinkel.

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
Appwatching 13.jpg

Digitalisering MKB groeit licht

Bij bedrijven in Nederland steeg de digitalisering licht van 54 naar 56 procent. De digitalisering bij...

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
appwatching-ideal.png

Informer geeft de mogelijkheid BTW-aangifte met iDeal te betalen

Boekhoudsoftware-aanbieder Informer maakt het voor klanten mogelijk om de tweede BTW-aangifte van 2018...

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
Products