Beheer

Dit is een bijdrage van Hiscox Nederland
Security
avg vlag

Cyberrisico en de AVG

Vanaf 25 mei 2018 geldt de AVG voor alle Europese organisaties die persoonsgegevens verwerken.

11 december 2018
Door: Hiscox Nederland, partner

Vanaf 25 mei 2018 geldt de AVG voor alle Europese organisaties die persoonsgegevens verwerken.

En dat creëert nieuwe cyberrisico’s. Hiscox, specialist in cyberverzekeringen, noemt er een paar.

Over de AVG (Algemene Verordening Gegevensbescherming) is al veel geschreven. Ter herinnering nog even de essentie van deze verordening: de AVG bevat nieuwe Europese regelgeving ter bescherming van persoonsgegevens. Elke organisatie die persoonsgegevens van Europese staatsburgers opslaat en gebruikt, moet zich eraan houden. Wie dat niet doet, riskeert een boete van maximaal vier procent van de bedrijfsomzet of twintig miljoen euro.

Ook uw organisatie?

De AVG geldt zodra uw bedrijf of organisatie persoonsgegevens opslaat. Daartoe behoren namen, adressen, HR-documenten, klantenlijsten, maar ook gegevens die iemand online kunnen identificeren, zoals IP-adressen van computers. Het gaat dus om data van bijvoorbeeld uw klanten, relaties, partners, leveranciers, medewerkers en overige burgers, maar ook om metadata, zoals een klantnummer of de datum waarop u persoonsgegevens hebt opgeslagen.

En wat zijn de eisen?

De AGV stelt onder meer deze normen:

  • uw organisatie moet persoonsgegevens zo goed mogelijk beveiligen
  • als iemand dat vraagt, moet u persoonsgegevens verwijderen
  • personen moeten altijd inzage in hun gegevens krijgen
  • u moet kunnen aantonen waarom u gegevens bewaart
  • u moet kunnen bewijzen dat u de data alleen voor dit doel gebruikt
  • als leveranciers namens u persoonsgegevens verwerken, moet u clausules toevoegen aan uw contracten met hen volgens artikel 28(3) van de AVG
  • u kunt verplicht zijn om een data protection impact assessment uit te voeren
  • u moet mogelijk een FG (functionaris voor de gegevensbescherming) in dienst nemen.

 

De functionaris voor de gegevensbescherming

Veel bedrijven maken zich zorgen over deze FG-verplichting. Het goede nieuws is: een FG is niet altijd verplicht. Als uw organisatie minder dan 250 medewerkers heeft, hoeft het bijvoorbeeld niet. Overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. Als uw kleine bedrijf tóch op grote schaal gevoelige gegevens verwerkt, moet u alsnog een FG aanwijzen. Een paar voorbeelden van zo’n situatie:

  • u hebt een medische organisatie die patiëntgegevens verzamelt
  • u verzamelt reisgegevens van klanten, bijvoorbeeld als taxibedrijf
  • u verzamelt klantgegevens als verzekeringsbedrijf of bank
  • u verzamelt data over raciale of etnische afkomst, religieuze of politieke meningen
  • overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. Het kan gaan om de rijksoverheid, gemeenten en provincies, maar ook om bijvoorbeeld zorg- en onderwijsinstellingen. 

Een FG mag niet zomaar een IT-medewerker zijn. U moet een FG aanstellen die onafhankelijk is van het management en het team dat de verwerking uitvoert.

Wat te doen bij hacken?

Ook de regels rond een datainbreuk wijzigen. U moet een (hack) datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Dit geldt als de datainbreuk een risico vormt voor de rechten en vrijheden van personen. Dit is het geval als de gestolen gegevens bijvoorbeeld kunnen leiden tot discriminatie, reputatieschade, financieel verlies, verlies van vertrouwelijkheid of enig ander aanzienlijk economisch of sociaal nadeel. Ook moet u de inbreuk melden aan de betrokken personen. Deze rapporteringsplicht is strikter dan in de huidige Wet bescherming persoonsgegevens

Is dat alles?

Nee, de AVG heeft nog meer gevolgen. Verzekeraar Hiscox heeft ze op een rij gezet in een handige brochure. U kunt hem hier gratis en uiteraard zonder enige registratie downloaden.

Reactie toevoegen