Data Protection Day 2017

Bedrijven spelen een belangrijke rol in de bescherming van privacy. Tijdens Data Protection Day (zaterdag 28 januari aanstaande) worden bedrijven nog eens extra aan herinnerd om concrete plannen te maken ten aanzien van General Data Protection Regulation (GDPR). Vanaf mei 2018 treedt de nieuwe Europese verordening in werking en zijn alle organisaties die persoonsgegevens verwerken verplicht aan deze nieuwe privacybescherming te voldoen.

“In minder dan achttien maanden moeten bedrijven volledig aan deze GDPR voldoen”, stelt Peter Magez, Country Director Sophos Belux. “Dit lijkt misschien nog ver weg maar bij een ​​aantal bedrijven zal het nog wel de nodige tijd kosten om klaar te zijn, aangezien ze momenteel niets in huis hebben om data van klanten en werknemers te beschermen. Privacy is niet iets wat kan worden bereikt in een dag: het kost tijd om de juiste processen in te voeren en om de juiste mentaliteit in de hele business te implementeren.”

Tot nu toe konden bedrijven grotendeels wegkomen wanneer persoonsgegevens van klanten of werknemers werden verloren. Met de nieuwe wetgeving krijgen de autoriteiten de bevoegdheid hoge boetes op te leggen die zeker voor kleine bedrijven funest kunnen zijn. Nogmaals Magez: “Het zijn juist deze bedrijven die het meeste risico lopen en volgend jaar mei mogelijk niet kunnen voldoen aan GDPR. De Europese Commissie zal de eerste de beste mogelijkheid aangrijpen om een statement te maken en een boete aan deze kleinere bedrijven uit te delen. Ik verwacht vanaf halverwege dit jaar dat steeds meer bedrijven op zoek gaan naar versleutelingtechnieken. Vanaf dat moment moeten zij GDPR steeds serieuzer nemen waardoor in 2018 het bewustzijn en de interesse zodanig hoog zijn dat bedrijven in mei klaar zijn voor de nieuwe regelgeving rondom bescherming persoonsgegevens.”

Sophos adviseert:

1. Wees niet ‘laks’, neem GDPR én ieders privacy serieus.
2. Verdiep je in GDPR om te weten welke stappen je moet nemen. Overleg met je security officer en/of ga op zoek naar juridische expertise als je het niet zeker weet.
3. Werk met HR om ervoor te zorgen dat werknemers begrijpen welke stappen het bedrijf neemt om medewerkerinformatie te beschermen.
4. Zorg ervoor dat medewerkers weten wat er van hen wordt verwacht als het gaat om de bescherming van bedrijfsgegevens. Zorg dat ze begrijpen dat ook klanten erop vertrouwen dat hun persoonlijke informatie beschermd wordt (op dezelfde manier dat medewerkers kunnen vertrouwen op HR wanneer het gaat om de bescherming van hun eigen persoonlijke gegevens).
5. Geef werknemers geen toegang tot gegevens die ze niet nodig hebben voor hun dagelijkse werk. Onder GDPR is zelfs het lezen van gevoelige gegevens geclassificeerd als een inbreuk op de gegevensbeveiliging.
6. Wanneer je gegevens verzamelt, bescherm deze ook! Als je niet zeker weet of de informatie privé is, behandel dit dan op dezelfde manier als alle andere privégegevens. Beter nog, verzamel geen onnodige gegevens. Oplichters kunnen niet stelen wat je niet hebt.
7. Gebruik het respecteren van de privacy van de klant in je voordeel door aan te geven welke gegevens je precies verzamelt, wat je van plan bent daarmee te doen en hoe lang je de gegevens bewaart. Gebruik geen juridisch jargon maar houd vast aan duidelijke beschrijvingen. Mensen zullen je merk meer betrouwbaar vinden wanneer je direct en eerlijk bent.
8.  Zorg ervoor dat wachtwoorden nooit worden gedeeld en sterk en uniek zijn. Dit maakt het niet alleen moeilijker om de gegevens te stelen, maar zorgt voor verantwoordelijkheid tegen misbruik van bevoegdheden die de privacy kunnen schenden.
9. Gebruik encryptie om gegevens te beschermen tegen dieven en nieuwsgierige ogen. Je zal het nodig hebben om de toezichthouders tevreden te stellen omdat je zo kan laten zien dat je alles wat je kunt doen, hebt gedaan om klantgegevens te beschermen.