gegevensbescherming

Inhoud De brede regelgeving van de Europese Commissie over de algemene bescherming van persoonsgegevens (GDPR) zal een sterke impact hebben op bedrijven binnen en buiten Europa. Vanaf 2018 moet elke organisatie die persoonlijke informatie over Europese burgers verzamelt, gebruikt of deelt, kunnen aantonen dat zij voldoet aan deze inmiddels fel omstreden regelgeving. Hieronder vallen ook de gebruikte technieken binnen het model en de infrastructuur van de organisatie, waarmee men de persoonlijke gegevens afschermt voor de buitenwereld. Het beschermen van persoonsgegevens moet op alle niveaus geïntegreerd zijn binnen de organisatiestructuur van de onderneming.    De beveiliging van een enorme hoeveelheid data In de Cloud wereld, die 24 uur per dag en zeven dagen per week doorgaat, zien gebruikers hun persoonlijke informatie als een levend systeem. Wat de meeste gebruikers echter niet beseffen is dat hun persoonlijke data intensief wordt gekopieerd, getest en beoordeeld door de organisaties die deze data in beheer hebben. Op deze wijze beoordelen ondernemers de persoonlijke gegevens op integriteit en volledigheid. Een dergelijk integriteitsproces biedt de ondernemers de mogelijkheid om bepaalde gegevens, zoals de financiële status, de woonomstandigheden, de burgerlijke staat en het surfgedrag van de gebruikers, te rangschikken. Hierna worden deze gerangschikte gegevens intern gebruikt en vaak aangeboden en benaderd door derden. Zo kunnen kleinere ondernemingen, bijvoorbeeld op basis van een abonnement, gebruik maken van persoonsgegevens door simpel op de site van de aanbieder in te loggen met een gebruikersnaam en een wachtwoord.   Veranderingen in de interne organisatie De nieuwe regelgeving van de Europese Commissie zal dit patroon aanzienlijk doen veranderen. In de nabije toekomst zal elke software-ontwikkelaar zich terdege bewust moeten zijn van zijn verantwoordelijkheden als databasebeheerder. Een probleem hierbij is dat dit concept of denkpatroon voor veel software-ontwikkelaars geheel onbekend is. Vaak ontwikkelen zij applicaties op basis van innovaties en creativiteit waarbij de beveiliging van de gegevens ondergeschikt is. Alhoewel er bij ondernemers enige verantwoordelijkheid bestaat als het gaat om het beheren en het beveiligen van persoonlijke informatie, zal de nieuwe regelgeving deze ondernemers werkelijk aansprakelijk stellen als het gaat om het beveiligen van persoonsgegevens. Ondernemers worden hierdoor gedwongen om flink te investeren in opleiding, training en technologie zodat zij kunnen voldoen aan de eisen en de regelgeving van de Europese commissie. Voor veel bedrijven zal dit betekenen dat zij hun organisatiestructuur volledig moeten aanpassen zodat zij een data-first model kunnen hanteren.   Investering in technologie Op dit moment wordt geschat dat ongeveer 90 procent van de persoonsgegevens wordt bewaard in kopieën. De eerste stap, in het naleven van de regelgeving van de Europese commissie, is het inventariseren van zowel de productieve als de niet-productieve omgeving zodat men weet waar deze data zich bevindt. De stap die hierop volgt is de aanschaf van de technologie die de mogelijkheid biedt om de verspreide data te lokaliseren en te beveiligen. Dit zal tot een noodzakelijke investering leiden in technologieën waarmee men de bestaande gegevens en de latere kopieën kan afschermen en pseudonimiseren. In het geval van een inbreuk op deze persoonlijke data zullen deze investeringskosten echter verbleken ten opzichte van de mogelijke boete van vier procent van de totale omzet van de onderneming.   Conclusie Gezien de steeds toenemende kansen en de ernst van de inbreuk op persoonlijke gegevens is het van groot belang dat ondernemingen duidelijk aangeven dat zij de regelgeving van de Europese commissie naleven en zij zeer zorgvuldig met de persoonlijke gegevens omgaan. Hiervoor zullen deze bedrijven binnen hun totale organisatiestructuur een databeveiligingsstrategie moeten implementeren waarmee men de persoonlijke gegevens maximaal beveiligt zodat het risico voor hun gebruikers minimaal is. Door te pleiten voor de invoering van deze voorzorgsmaatregelen stuurt de Europese commissie aan op een waarborg dat de persoonlijke gegevens beveiligd zijn of onbruikbaar worden gemaakt indien cybercriminelen succesvol inbreuk maken op de bedrijfssystemen. Met deze regelgeving worden ondernemingen beter beschermd tegen de financiële gevolgen en het reputatieverlies als er inbreuk op de persoonlijke gegevens plaatsvindt. De Europese commissie verwacht als tegenprestatie echter wel dat de zakelijke markt gaat investeren in het beschermen van bedrijfsdata en persoonlijke gegevens van de gebruikers.Bron: bitMIND

Inhoud Na vier jaar onderhandelen is er in Europa een nieuwe dataprotectie overeenkomst. In Straatsburg hebben de lidstaten van de EU hun goedkeuring gegeven aan wetgeving voor de verwerking van privégegevens en richtlijnen voor de handhaving van die wet op justitieel niveau. Sinds 1 januari geldt in Nederland de meldplicht datalekken. Daarmee loopt Nederland tamelijk voorop in Europa. Deze week is de Europese variant goedgekeurd door het Europees parlement. De overige Europese lidstaten krijgen nu nog twee jaar de tijd om hun wet- en regelgeving in lijn te brengen met de Europese wetteksten. Voor consumenten betekent de regulering: Het recht om vergeten te worden. Het recht om je gegevens naar een andere dienstverlener over te zetten. Het recht te weten of je gegevens gehackt zijn. Voor organisaties etekent de regulering: De plicht om nadrukkelijk toestemming te vragen van betrokken personen voor het verwerken van privégegevens. De plicht om privacybeleid helder en begrijpelijk uit te leggen. Strenge handhaving en boetes tot 4 procent van de totale internationale jaaromzet bij overtreding. Met name dat laatste is een verschil met de regelgeving die Nederland inmiddels zelf al heeft opgesteld (in Nederland geldt vanaf 1 januari 2016 een boete van maximaal 820.000 euro tegemoet zien voor iedere keer dat een organisatie in gebreke blijft bij de bescherming van privacygevoelige gegevens). Maar de grootste winst zit in het feit dat er nu eindelijk zicht is op een uniform Europees databeschermingsbeleid.Uniform "Door de General Data Protection Regulation wordt goede uniforme databescherming nu een realiteit in de hele EU”, zegt Jan Philipp Albrecht van de Deense Groenen, die deze wetgeving door het Europees Parlement wist te loodsen. “Burgers kunnen nu zelf beslissen welke persoonlijke informatie ze willen delen en voor bedrijven komt er nu ook eindelijk duidelijkheid. Deze nieuwe wet zorgt voor vertrouwen, juridische eenduidigheid en eerlijke concurrentie.”Encryptie Volgens Pieter Lacroix, Managing Director Sophos Nederland, betekent deze wetgeving opnieuw werk aan de winkel voor veel organisaties. Voor zover dat nog niet gebeurd is onder druk van de meldplicht datalekken, zullen bedrijven nu snel moeten nagaan wat de impact van deze regels zal zijn voor hun Europese business. Zijn advies: "Wacht niet tot alle lidstaten hun wetgeving hebben aangepast, maar maak van databescherming een bestuurstaak. Laat je adviseren waar nodig, en zorg dat alle data die in je bedrijf omgaat proactief beschermd wordt, door encryptie toe te passen en alle beveiligingsoplossingen in de organisatie voortdurend up-to-date te houden. En houd er rekening mee dat deze wetgeving geldt voor alle bedrijven die gegevens bewaren over Europese burgers, ongeacht of zo’n bedrijf zelf een Europese basis heeft of niet."  Bron: biplatform.nl