IngramMicroCloud.nl
Hoe je jouw bedrijf kan voorbereiden op de GDPR IngramMicroCloud
IngramMicroCloud.nl
1.
Wat is de General Data Protection Regulation (GDPR)?
2.
Welke bedrijven hebben te maken met de GDPR?
3.
Wat zijn de gevolgen van het niet naleven van de nieuwe wet?
5.
Hoe maak je jouw klanten GDPR-ready?
6.
Samenvatting
Het doel van GDPR De basiselementen van de GDPR
Inhoud 4.
Hoe bereid je jouw bedrijf voor op de GDPR? 1
2
Breng in kaart welke persoonsgegevens jouw bedrijf heeft Identificeer jouw rol in het gebruik van persoonsgegevens
3
Ontwikkel een sterk beveiligingsprogramma
4
Bepaal of jouw bedrijf een Data Protection Officer nodig hebt
5
Ontwikkel een beleid bij een datalek
1
Identificeren
2
Beheren
3
Beveiligen
4
Rapporteren
IngramMicroCloud.nl
1. Wat is de General Data Protection Regulation (“GDPR”)? De General Data Protection Regulation (“GDPR”) is een nieuwe privacywetgeving die geldig is in de Europese Unie. De nieuwe wet geeft Europese burgers meer controle over hun persoonsgegevens, garandeert transparantie over het gebruik van data en vereist bepaalde technische en organisatorische maatregelen om data te beschermen.
Wat zijn persoonsgegevens?
De GDPR is vanaf 25 mei 2018 van toepassing in de gehele EU en vervangt de Wet bescherming persoonsgegevens (Wbp). De
Bij de GDPR gaat het allemaal om het beveiligen en verwerken van
GDPR is al in april 2016 ingevoerd in de EU, maar gezien de grote
persoonsgegevens. Hier valt veel meer onder dan je in eerste instantie zou
veranderingen die sommige organisaties moeten ondergaan
denken. Persoonsgegevens zijn volgens de nieuwe wet ‘alle gegevens over een
om te kunnen voldoen aan de wet, is er een overgangstermijn
geïdentificeerde of identificeerbaar persoon.’
van twee jaar. Met andere woorden: alle informatie waarmee je een persoon kan herkennen. Denk aan iemands naam, e-mailadres, telefoonnummer, adres, bestelgeschiedenis, creditcardgegevens en transacties.
IngramMicroCloud.nl
Het doel van GDPR
De basiselementen van de GDPR
Ten eerste wil de EU mensen meer controle geven over hoe hun
De GDPR heeft zes basiselementen:
1.
Transparant zijn over verwerking en gebruik van persoonsgegevens.
op. Door de wetgeving inzake gegevensbescherming te verbeteren
2.
Beperken van verwerking van persoonsgegevens tot specifieke, legitieme
en strengere handhavingsmaatregelen te treffen, hoopt de EU om
doeleinden.
persoonsgegevens worden gebruikt. De Wbp was vastgesteld voordat internet en cloudtechnologieĂŤn nieuwe manieren creĂŤerden om persoonsgegevens te verwerken. De GDPR richt zich hier juist
het vertrouwen te vergroten in de opkomende digitale economie. 3.
Beperken van verzameling en opslag van persoonsgegevens tot beoogd gebruik.
duidelijke juridische omgeving bieden om te functioneren, waardoor
4.
In staat stellen van individuen om persoonsgegevens te corrigeren of om
wetgeving inzake gegevensbescherming in de hele EU-markt
verwijdering te vragen.
5.
Beperken van de opslagduur van persoonsgegevens tot zo lang als nodig is
voor het beoogd gebruik.
6.
Beveiligen van persoonsgegevens met geschikte beveiligingsmethoden.
Ten tweede wil de EU organisaties een meer eenvoudige en
identiek wordt. De EU schat dat bedrijven collectief â‚Ź 2,3 miljard per jaar zullen besparen.
IngramMicroCloud.nl
2.
3.
Welke bedrijven hebben te maken met de GDPR?
Wat zijn de gevolgen van het niet naleven van de nieuwe wet?
De kans is groot dat de GDPR ook voor jouw bedrijf van
Bedrijven die zich niet houden aan de GDPR, kunnen flinke boetes verwachten van
toepassing is. De GDPR geldt namelijk voor alle bedrijven
de Autoriteit Persoonsgegevens (“AP”), de toezichthouder op de naleving van de
die persoonsgegevens van Europese betrokkenen (Europese
wettelijke regels voor bescherming van persoonsgegevens.
burgers) verwerken. Ook bedrijven die gevestigd zijn buiten de EU, maar producten en diensten aanbieden aan Europese
Artikel 58 van de GDPR bepaalt dat de AP boetes mag opleggen op basis van
burgers en daarbij hun gegevens verwerken, moeten zich aan
verschillende factoren die in artikel 83 staan. Er wordt gekeken naar:
de verordening houden. Deze organisaties zullen een GDPR compliance programma moeten ontwikkelen.
de aard, ernst en duur van de overtreding (bijvoorbeeld hoeveel mensen er zijn
getroffen en hoeveel schade zij hebben geleden);
of de overtreding een bewuste keuze is of door nalatigheid;
het type persoonsgegevens dat betrokken is.
Er zijn twee boetecategorieën die bedrijven kunnen verwachten als ze niet aan de wet voldoen. De eerste categorie zijn boetes van maximaal 10 miljoen euro of 2 procent van de wereldwijde omzet. Deze boetes zullen doorgaans worden uitgedeeld bij eerste overtredingen. De tweede categorie zijn boetes van maximaal 20 miljoen euro of 4 procent van de wereldwijze omzet. Een organisatie kan deze type boetes verwachten in geval van nalatigheid, herhaalde overtredingen of grove schendingen.
IngramMicroCloud.nl
1
Breng in kaart welke persoonsgegevens jouw bedrijf heeft
4.
Ten eerste is het belangrijk om te bepalen of de GDPR voor jouw bedrijf geldt en zo ja, in welke mate. De analyse begint met het identificeren welke persoonsgegevens je hebt en hoe het is opgeslagen en verwerkt. Door jouw bedrijfsdata in kaart te brengen, begrijp je welke data persoonsgegevens zijn en kun je identificeren op welke systemen de persoonsgegevens verzameld en opgeslagen zijn. Daarnaast begrijp je waarom deze gegevens zijn verzameld, hoe ze zijn verwerkt en
Hoe bereid je jouw bedrijf voor op de GDPR?
gedeeld en hoe lang ze bewaard worden
25 mei 2018 komt steeds dichterbij en dus ook de deadline om op alle vlakken te voldoen aan de GDPR. Als jouw bedrijf persoonsgegevens van Europese betrokkenen verwerkt en
2
Identificeer jouw rol in het gebruik van persoonsgegevens
nog niet aan het voorbereiden is op de GDPR, dan is het nu tijd om actie te ondernemen.
De volgende stap is het identificeren van jouw rol in het gebruik van persoonsgegevens. Ben je een data-controller of data-processor? Een data-controller stelt vast hoe en waarom persoonsgegevens zijn verwerkt, terwijl een data-processor daadwerkelijk de persoonsgegevens verwerkt. De data-controller kan elke organisatie zijn, van een commercieel bedrijf tot een non-profit organisatie of een overheidsinstantie. Een data-processor kan een IT-bedrijf zijn die daadwerkelijk de data verwerkt. Als je eenmaal weet wat jouw rol is, dan kun je bepalen wat jouw verantwoordelijkheden zijn wat betreft databeveiliging.
IngramMicroCloud.nl 5
3 De komst van de GDPR is een mooie
Ontwikkel een sterk beveiligingsprogramma
kans om jouw beveiligingsprogramma te
analyseren
Databeveiliging
en vereist
verbeteren. een
sterk
beveiligingsprogramma. Hierbij moet
Officer (“DPO”) nodig heeft. Om te voldoen aan de GDPR moeten sommige organisaties een DPO, in het Nederlands een Functionaris voor de Gegevensbescherming (“FG”). Een DPO is verantwoordelijk voor het bewaken en implementeren van een databeveiliging strategie, zodat het bedrijf voldoet aan de
en technologieën die helpen om jouw
GDPR. Organisaties moeten een DPO in dienst hebben voordat
organisatie
de GDPR in werking treedt. Het is dus belangrijk om op tijd een
te
beschermen
tegen
Daarnaast is het belangrijk dat je weet
hoe
de
persoonsgegevens
verzameld worden en dat dit juridisch ondersteund kan worden. Zo mag je alleen persoonsgegevens verwerken als
DPO te werven en aan te nemen.
We raden aan om een gekwalificeerd persoon verantwoordelijk te stellen voor het beveiligen van persoonsgegevens en GDPR compliance. In een aantal situaties is een bedrijf echter verplicht een DPO aan te stellen:
je expliciet toestemming hebt gekregen van de betrokkene. Jouw bedrijf kan
4
Bepaal of jouw bedrijf een Data Protection Officer nodig heeft
je denken aan een beleid, systemen
ongeautoriseerde toegang en misbruik.
Verwerk persoonsgegevens alleen bij toestemming van betrokkenen
Bovendien moet je bepalen of jouw bedrijf een Data Protection
bijvoorbeeld persoonsgegevens van een klant hebben gekregen om een product of dienst te leveren, maar dit betekent niet dat je ook toestemming hebt om over toekomstige producten of promoties te communiceren. Voor elke
specifieke
activiteit
moet
je
toestemming krijgen. De toestemming moet altijd weer ingetrokken kunnen worden.
De persoonsgegevens worden beheerd of verwerkt door een overheidsorganisatie. Rechtbanken vormen de uitzondering op deze regel. Bedrijven die regelmatig en systematisch op zeer grote schaal persoonsgegevens verwerken. Bedrijven die op grote schaal persoonsgegevens verwerken van bijzondere, vaak voor strafrechtelijke doeleinden bestemde informatie. Gegevens met betrekking tot misdaden en veroordelingen vallen hier ook onder.
IngramMicroCloud.nl
De verantwoordelijkheden van een DPO zijn:
Informeren en adviseren van werknemers over hun verplichtingen in het kader van de GDPR. Trainen van het personeel die betrokken is bij verwerking van persoonsgegevens. Toezien op de naleving van betreffende audits. Optreden als contactpunt voor het bedrijf en de toezichthoudende autoriteit. Bijhouden van begrijpelijke rapporten van alle activiteiten die te maken hebben met het verwerken van persoonsgegevens, inclusief het doel van deze activiteiten, die op verzoek openbaar moeten worden gemaakt. Communiceren met betrokkenen om hen te informeren over hoe hun gegevens worden gebruikt, hun rechten wat betreft de verwijdering van persoonsgegevens en welke maatregelen het bedrijf treft om hun persoonsgegevens te beschermen.
IngramMicroCloud.nl
6
Ontwikkel een beleid bij een datalek
Wat is een datalek? Een datalek is een inbreuk op de beveiliging van
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht
persoonsgegevens.
Bij een datalek zijn de persoonsgegevens blootgelegd aan verlies of onrechtmatige verwerking
houdt in dat een bedrijf een melding moet doen bij de AP in geval
– dus aan datgene waartegen de
van een ernstig datalek. Soms moet het datalek ook gemeld worden
beveiligingsmaatregelen
aan de betrokkenen (de mensen van wie de persoonsgegevens zijn
bescherming moeten
gelekt). De meldplicht datalekken blijft onder de GDPR grotendeels
bieden.
hetzelfde. De GDPR stelt wel strengere eisen aan jouw registratie van de datalekken. De Europese Commissie heeft in oktober 2017 richtlijnen gepubliceerd over de meldplicht datalekken onder de GDPR. De GDPR legt vast dat bij een datalek in jouw bedrijf, je binnen 72 uur een melding moet maken bij de AP. De acties die in de eerste 24 uur ondernomen worden, zijn cruciaal. Een snelle reactie kan ervoor dat een datalek minder impact heeft op de betrokkenen. Een datalek-beleid helpt bij het voorbereiden en beheren van een datalek. In dit framework staat welke mensen verantwoordelijk zijn en wat hun verantwoordelijkheden zijn. In het beleid staat ook welke stappen er ondernomen moeten worden bij een datalek. Het beleid omvat: Voorbeelden
De leden van het datalek team (response team);
van datalekken zijn:
De acties die ondernomen moeten worden als een werknemer een
Een kwijtgeraakt apparaat met
datalek vermoedt, ontdekt of rapporteert, inclusief wanneer diegene
persoonsgegevens, een inbraak in een databestand door een
het response team moet inschakelen;
hacker of iemand die persoonsgegevens per ongeluk naar de
De acties die ondernomen moeten worden door het response team.
verkeerde persoon verstuurd.
4
Rapporteren
Onderneem actie op
Hoe maak je jouw klanten GDPR-ready?
gegevensverzoeken, 3
Beveiligen
Misschien stellen jouw eindklanten
Stel beveiligingscontroles
al vragen over de GDPR.
in om kwetsbaarheden en 2
Jij kan ze helpen om GDPR-ready
Beheren
te zijn door te focussen op vier belangrijke stappen:
Controleer hoe 1
Identificeren
Stel vast welke persoonsgegevens je hebt en waar ze zijn opgeslagen.
persoonsgegevens worden gebruikt en benaderd.
gegevensschendingen te voorkomen, te ontdekken en erop te reageren.
rapporteer inbreuk op gegevens en bewaar vereiste documentatie.
IngramMicroCloud.nl
Cloud oplossingen 1
Identificeren De eerste stap is om de data van jouw klant in kaart te brengen.
Enterprise Mobility + Security biedt functies met identiteitsgestuurde beveiligingstechnologieën waarmee je persoonsgegevens binnen het bedrijf
Hierdoor weet je welke data persoonsgegevens zijn en waar deze worden opgeslagen. Persoonsgegevens zijn volgens de
van jouw klant ontdekt, beheert en beveiligt. Daarnaast kun je mogelijke blinde vlekken blootleggen en gegevensinbreuken ontdekken op het moment dat ze plaatsvinden.
nieuwe wet ‘alle gegevens over een geïdentificeerde of identificeerbaar natuurlijk persoon.’ Office 365 (Data Loss Prevention) kan meer dan 80 Met andere woorden: alle informatie waarmee je een persoon kan herkennen. Denk aan iemands
veelvoorkomende types vertrouwelijke gegevens ontdekken, waaronder financiële, medische en persoonlijke informatie.
naam, e-mailadres, telefoonnummer, adres, bestelgeschiedenis, creditcardgegevens en transacties.
Microsoft Dynamics 365 Dynamics 365 biedt via de Rapportage- en analysedashboards verschillende zichtbaarheidsen auditmogelijkheden voor het identificeren van persoonsgegevens.
IngramMicroCloud.nl
Cloud oplossingen
2
Beheren
Azure Active Directory is een oplossing voor identiteits- en toegangsbeheer in de cloud. Het is
Nadat de data in kaart is gebracht, is de volgende belangrijke stap het ontwikkelen en implementeren van een gegevensbeheerplan.
bedoeld voor beheer van identiteiten en van de toegang tot Azure en lokale en andere cloudbronnen, gegevens en toepassingen.
Een dergelijk plan ondersteunt jouw klant bij het opstellen van beleid, rollen en verantwoordelijkheden voor de toegang tot en het beheer en gebruik van persoonsgegevens.
Enterprise Mobility + Security (Azure Information Protection) helpt je om gegevens te classificeren en labelen op het moment van aanmaken of bij aanpassingen. Beveiliging of visuele markeringen kunnen
vervolgens
toegepast
vertrouwelijke gegevens.
worden
op
IngramMicroCloud.nl
3
Beveiligen
De GDPR verplicht organisaties om de juiste technische en organisatorische maatregelen te nemen zodat persoonsgegevens beveiligd zijn tegen verlies en ongeautoriseerde toegang of openbaarmaking. Gegevensbeveiliging is een complexe zaak. Er zijn veel risico’s waar je rekening mee moet houden: een fysieke inbreuk, frauduleuze werknemers, onopzettelijk verlies of hackers. Cloud oplossingen kunnen jouw klanten beschermen tegen zulke risico’s.
Cloud oplossingen
Symantec
Endpoint
Protection
Kaspersky biedt bescherming tegen malware,
McAfee richt zich op het ontwikkelen van
beschermt zakelijke en persoonlijke apparaten
ransomware
proactieve, bewezen beveiligingsoplossingen
op verschillende platformen tegen gerichte
bedreigingen.
aanvallen en ransomware.
Cloud
en
geavanceerde
online
en services die systemen, netwerken en mobiele apparaten beschermen voor zakelijk en persoonlijk gebruik wereldwijd.
IngramMicroCloud.nl
4
Rapporteren
Met de komst van de GDPR worden er nieuwe standaarden gezet op het gebied van transparantie, accountability en het bijhouden van gegevens. Jouw klanten moeten transparanter worden over hoe ze omgaan met persoonsgegevens. Maar ook over hoe zij actief documentatie bijhouden over processen voor persoonsgegevens en het gebruik ervan. Jouw klanten moeten overzichten bijhouden van hun verwerkingsdoelen, de categorieĂŤn waarbinnen de verwerkte gegevens vallen en de identiteit van externe partijen met wie de gegevens zijn gedeeld. Door correcte audit tools te gebruiken, weet je zeker dat elke vorm van gegevensverwerking wordt bijgehouden en opgeslagen.
Cloud oplossingen
Microsoft Azure bevat tools voor
Enterprise
beveiligingscontrole,
(Azure
en
–meldingen.
Met
-rapportage
Mobility Information
+
Security Protection)
Microsoft
biedt geavanceerde logging- en
Azure Monitor kunnen jouw klanten
rapportagemogelijkheden waarmee
eenvoudig al hun controle-activiteiten
je kunt analyseren hoe vertrouwelijke
voor gegevens bekijken en beheren
gegevens worden verspreid.
via een centraal dashboard.
IngramMicroCloud.nl
Samenvatting De General Data Protection Regulation (“GDPR�)
De GDPR geldt voor alle bedrijven in Europa en
Zorg ervoor dat jouw klanten GDPR-ready zijn door te
is een nieuwe privacywetgeving die geldig is in
bedrijven die gevestigd zijn buiten de EU die
focussen op vier belangrijke stappen:
de Europese Unie. De nieuwe wet geeft Europese
persoonsgegevens van Europese betrokkenen
burgers meer controle over hun persoonsgegevens,
(Europese burgers) verwerken. Bedrijven die zich niet
garandeert transparantie over het gebruik van data
houden aan de GDPR kunnen boetes verwachten
en vereist bepaalde technische en organisatorische
van maximaal 20 miljoen euro of 4 procent van
maatregelen om data te beschermen. De GDPR is
de wereldwijze omzet. 25 mei 2018 komt steeds
vanaf 25 mei 2018 van toepassing in de gehele EU.
dichterbij en dus ook de deadline om op alle
1
Identificeren: stel vast welke persoonsgegevens je hebt en waar ze zijn opgeslagen.
2
Beheren: controleer hoe persoonsgegevens worden gebruikt en benaderd.
vlakken te voldoen aan de GDPR. Als jouw bedrijf De GDPR heeft zes basiselementen: 1
2
5
Transparant zijn over verwerking en gebruik van
GDPR, dan is het tijd om actie te ondernemen. Houd
voorkomen, te ontdekken en erop te reageren.
persoonsgegevens.
rekening met het volgende:
Beperken van verwerking van persoonsgegevens tot
4 1
Beperken van verzameling en opslag van 2
In staat stellen van individuen om persoonsgegevens
Rapporteren: onderneem actie op
Breng in kaart welke persoonsgegevens jouw bedrijf
gegevensverzoeken, rapporteer inbreuk op gegevens
heeft
en bewaar vereiste documentatie.
Identificeer jouw rol in het gebruik van persoonsgegevens
Elk bedrijf weet het beste wat de behoeftes van hun
te corrigeren of om verwijdering te vragen.
3
Ontwikkel een sterkbeveiligingsprogramma
klanten zijn. Het is belangrijk om transparant te blijven
Beperken van de opslagduur van persoonsgegevens
4
Bepaal of jouw bedrijf een Data Protection Officer
en jouw klanten te ondersteunen bij hun verplichtingen
nodig hebt
en eisen. Hierdoor kun jij je onderscheiden van jouw
Ontwikkel een beleid bij een datalek
concurrenten.
tot zo lang als nodig is voor het beoogd gebruik. 6
Beveiligen: stel beveiligingscontroles in om kwetsbaarheden en gegevensschendingen te
persoonsgegevens tot beoogd gebruik. 4
3
verwerkt en nog niet aan het voorbereiden is op de
specifieke, legitieme doeleinden. 3
persoonsgegevens van Europese betrokkenen
Beveiligen van persoonsgegevens met geschikte beveiligingsmethoden.
5
www.IngramMicroCloud.nl