GDPR wordt ook wel de Algemene Verordening Gegevensbescherming of AVG genoemd, en gaat over het beheer en de beveiliging van de persoonlijke gegevens van Europese burgers. Als organisatie moet u vanaf 25 mei 2018 volgende zaken kunnen aantonen:
Welke persoonsgegevens u verzamelt.
Hoe en waarvoor u deze gegevens gebruikt.
Hoe en waarmee u deze gegevens beveiligt (of u dit nu in uw eigen datacenter of in de cloud buiten de EU beheert).
De bedoeling is dat elke organisatie het maximum aan beveiliging voorziet, documenteert waar er met privacygevoelige informatie wordt gewerkt, en correct handelt wanneer er toch een misbruik zou vastgesteld zijn.
Of Advodata voldoet aan deze wetgeving hangt volledig af van de omgeving waarin het gebruikt wordt. Zo is alle informatie die Advodata bevat, opgeslagen in Microsoft Office bestanden (vooral Access- & Word-bestanden). Zolang deze op een voldoende veilige locatie opgeslagen zijn, en alle personen die er toegang tot hebben er op een juiste manier mee omspringen, is er geen probleem. Het belangrijkste is dat alle mogelijke veiligheidsvoorzieningen worden genomen:
Fysieke afscherming van alle computers, hardware en lokalen waar er privacygevoelige gegevens & documenten opgeslagen zijn.
Actieve antivirus beveiliging op alle toestellen waar er met privacygevoelige documenten gewerkt wordt.
Voldoende afscherming van het computernetwerk en eventuele draadloze netwerken, zodat onbevoegden er zeker geen toegang tot kunnen krijgen. Hiervoor moet het volledige netwerk nagekeken worden:
Is er voldoende afscherming naar het internet toe? Bijvoorbeeld d.m.v. een hardware firewall.
Kan je draadloos netwerk nog beter beveiligd worden dan al het geval is?
De gebruikte software op alle computers steeds up-to-date houden.
Op alle toestellen alle gegevens encrypteren of versleutelen, zodat bij diefstal of verlies geen gebruik gemaakt kan worden van deze gegevens. Dit kan bijvoorbeeld met de Bitlocker-technologie van Windows.
Betrouwbare en veilige back-upsystemen op alle toestellen configureren om de veilige opslag van gegevens te garanderen.
Gebruik van externe opslagmediums onmogelijk maken: externe harde schijven, USB-sticks, memory-cards en dergelijke. *
Gebruik van cloudstorage-diensten onmogelijk maken of beperken: Dropbox, Google Drive en dergelijke. *
Correcte toepassing van een sterke password policy: voldoende sterke wachtwoorden gebruiken en wachtwoorden frequent wijzigen.
Naast de technische voorzorgen, vereist GDPR-compliancy dat u de GDPR-regelgeving ook in de administratie van uw onderneming onderbrengt:
Alle bedrijfsprocessen met privacygevoelige gegevens moeten opgenomen worden in een register en moet kunnen voorgelegd worden wanneer dit gevraagd wordt vanuit de bevoegde instanties. Bovenstaande technische voorzorgen worden hier ook in ondergebracht.
Als uw onderneming beroep doet op externe bedrijven voor IT-diensten (ondersteuning en/of software), dan kan er ook een verwerkersovereenkomstafgesloten worden met deze partij. Hierin wordt dan vastgelegd hoe deze externe partij met uw privacygevoelige gegevens moet omgaan.
Daarnaast bent u ook genoodzaakt om de GDPR-regelgeving en al uw voorzorgen in de arbeidscontracten van uw personeel op te nemen. *
GDPR legt uw onderneming tevens op dat u verplicht moet ingaan op de vraag van klanten of contacten, wanneer deze inzage, correctie of verwijdering van hun persoonsgegevens verzoeken (indien dat mogelijk is).
Het is ook aangeraden om steeds een vorm van controle op interne medewerkers te voorzien, om misbruik van gegevens te ontmoedigen en voorkomen. *
Ten slotte definieert u best op voorhand een bedrijfsproces om de bevoegde instanties voldoende snel te kunnen inlichten, indien er door diefstal of misbruik van gegevens een inbreuk in de GDPR-regelgeving plaats zou vinden.
* enkel voor kantoren met medewerkers