Careers      Events      Blogs      Branches            

Wat betekent de General Data Protection Regulation 2018 voor handelsorganisaties?

avg privacywetgeving

Terwijl veel organisaties momenteel nog bezig zijn met de Meldplicht Datalekken, die 1 Januari 2016 van start is gegaan, komt er alweer een nieuwe wet om de hoek kijken. In mei 2018 gaat de nieuwe Europese privacywetgeving in Nederland van kracht. Het niet naleven van deze wetgeving kan hoge sancties tot gevolg hebben.
 

Verwerking persoonsgegevens

General Data Protection Regulation (GDPR) geldt voor alle organisaties die persoonsgegevens verwerken. Het ziet er naar uit dat de Europese wetgeving doorwerkt in de Nederlandse ‘Meldplicht Datalekken’ en de ‘Wet Bescherming Persoonsgegevens’. 

Bij deze wetgeving gaat het niet alleen om bescherming van digitale gegevens, maar ook gegevens op papier. Opvallend is dat deze wetgeving veel middelgrote bedrijven raakt en ook verschillende lagen binnen een organisatie. De boetes liggen in de Europese privacywetgeving een stuk hoger. Dit kan zelfs 4% van de jaarlijkse wereldwijde omzet bedragen. Daarnaast kan geconcludeerd worden dat er inhoudelijk voor Nederland weinig gaat veranderen. Door de ‘Meldplicht Datalekken’ is Nederland goed voorbereid op de Europese wetgeving. 
 

Interne organisatie

Uit onderzoek blijkt dat 70% van alle beveiligingsincidenten worden veroorzaak vanuit de eigen interne organisatie. Dit komt doordat medewerkers niet bewust zijn van bepaalde richtlijnen, procedures en instructies die binnen de organisatie gevolgd moeten worden. Hierdoor worden risico’s vaak niet tijdig onderkent, door gebrek aan kennis en ervaring. Dit blijkt ook uit de uitzending van Zembla op 30 november 2016 waarin wordt ontdekt dat privacygevoelige informatie van particulieren maar ook zeer vertrouwelijke informatie over organisaties (als terrorismebestrijdingsorganisatie Europool) voor het grijpen ligt. In deze uitzending komt duidelijk naar voren dat vrijwel iedere organisatie te hacken is.

Volgens de Europese Commissie zijn het aantal cyberincidenten vorig jaar gestegen met 38%. Zelfs 80% van alle Europese bedrijven heeft wel eens problemen met cybercriminaliteit ondervonden. Dit geeft aan dat de situatie zorgelijk is. 
 

Webwinkels en digitale beveiliging

Wanneer je als handelsorganisatie beschikt over vertrouwelijke bedrijfsinformatie evenals persoonlijke klantinformatie, zoals NAW-, bestel- en betalingsgegevens speelt informatiebeveiliging een grote rol. Uit onderzoek naar de veiligheid van webwinkels (consumentenbond, 2015) is gebleken dat tweederde van de top 100 webwinkels hun digitale beveiliging niet op orde heeft. In 38% van de onderzochte webwinkels ging het om een ernstige veiligheidslek, waarmee gegevens zoals e-mailadressen, bestelinformatie of wachtwoorden van consumenten werd bemachtigd. 

Daarnaast hebben vele organisaties kennis over de klant op het gebied van koopgedrag en smaakvoorkeuren. Denk bijvoorbeeld aan de informatie die retailers bezitten door middel van een bonus- of klantenkaart over de smaakvoorkeuren en het koopgedrag van een klant.
 

Onveilige kanalen

Ook maken medewerkers gebruik van redelijk onveilige kanalen als internet en e-mail. Dergelijke kanalen zijn zeer gevoelig voor digitale criminaliteit als phishing, hacking, et cetera. Medewerkers behoren beschermd te worden tegen deze digitale dreigingen van buitenaf. Wanneer gevoelige informatie zoals persoonsgegevens niet goed beveiligd zijn, kan dat leiden tot datalekken. Of een identiteitshack, waarbij iemands naam, profielfoto en andere persoonlijke informatie gekopieerd en misbruikt op internet. Dit kan ernstige gevolgen hebben. Het doel van de wetgeving is ervoor te zorgen dat ondernemers zorgvuldiger omgaan met deze persoonsgegevens en dat de beveiliging hiervan op orde is om uiteindelijk te voorkomen dat privacygevoelige informatie op straat belandt.

Naast de enorme boetes die je kunt ontvangen bij het niet naleven van deze wetgeving, kan een datalek grote schade aanrichten aan het imago of reputatie van organisaties. De kosten om deze schade te herstellen kunnen daarbij aanzienlijk oplopen.
 

Veilig omgaan met informatie

Maar hoe zorgt u er voor dat alle mensen in de organisatie weten hoe zij omgaan met het beveiligen van hun informatie? Met het Information Security Management System (ISMS) framework van Mavim kunnen processen, procedures, risico’s en wet- en regelgeving in kaart worden gebracht. Aan de hand van de gedefinieerde risico’s en bijhorende maatregelen wordt inzicht gegeven in de mate van risicobeheersing. Beveiligingsrisico’s kunnen eenvoudig geïdentificeerd worden. Het ISMS framework zorgt ervoor aantoonbaar in control te zijn conform het GDPR, ‘Meldplicht Datalekken’ en de ‘Wet Bescherming Persoonsgegevens’. het zorgt tevens voor kostenbesparingen als gevolg van verbeterde operationele controle en verliesbeheersing.

2018 lijkt misschien nog ver weg, maar het implementeren van informatiebeveiliging binnen uw organisatie is een zorgvuldig proces dat de nodige tijd vergt. Begin dus op tijd! Meld je dan nu aan voor de webinar ‘Expert College Informatiebeveiliging’ dat 17 januari 2017 vindt plaats. Of download de factsheet over het ‘ISMS framework’


Auteur: Annick van der Nap


Wordt het voor uw organisatie ook de hoogste tijd om privacygevoelige informatie zorgvuldig te borgen en beveiligen? Zie hier welke stappen u kunt ondernemen in een eerste stap naar privacy compliancy.

Benieuwd hoe u de risico’s van datalekken op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen.

TAGS
avg
algemene verordening gegevensbescherming
gdpr
informatiebeveiliging

Copyright © 2024 Mavim B.V.