ICT informatiecentrum|
Nieuwe privacywet GDPR: wat geldt voor wie? De belangrijkste valkuilen op een rij:
1. Wij verwerken geen gegevens van consumenten
Personeel valt ook onder consumenten/burgers. Het gaat dus niet alleen om klanten of partners.
2. Onze organisatie heeft minder dan 250 medewerkers
GDPR geldt niet alleen voor bedrijven met meer dan 250 werknemers. De meeste bepalingen gelden voor iedereen die op een of andere manier persoonsgegevens verwerkt.
3. Wij vallen onder de AVG en dus niet de GDPR
AVG is niet anders dan de GDPR. AVG is slechts de Nederlandse vertaling van GDPR.
4. We zijn GDPR-proof met een ISO 27001-certificering
Security is niet het enige aspect waar GDR betrekking op heeft. Het gaat ook om procedures, afspraken, rollen en functies.
5. Er worden alleen persoonsgegevens uitgewisseld met ‘veilige’ landen
Ondanks het feit dat een aantal landen de stempel ‘veilig’ hebben, moet u nog steeds waarborgen voor gegevensbescherming treffen en daarnaast controleren of de buitenlandse partij zich ook aan de regels houdt.
6. Onze omgeving is GDPR-proof volgens een grondige pentest
Een Pentest is slechts bedoeld voor het testen van uw security, maar dit zegt niet altijd iets over de bescherming van privacygevoelige informatie.
7. Volgens onze juridische afdeling zijn we klaar voor de GDPR
De GDPR is deels interpretatie en gezond verstand. Dit biedt randvoorwaarden voor de verwerking, die ook getoetst zouden moeten worden op hun technische en procedurele onderbouwing.
8. Nederlandse burgers zijn helemaal niet zo angstig over hun privacy
Er schuilen gevaren in zaken waarvan u die niet zou verwachten. Achter foto’s online plaatsen schuilen metadata, bijvoorbeeld van uw locatie/telefoon. Denk niet te snel dat het geen kwaad kan.
9. De GDPR draait alleen om privacybescherming van digitale gegevens
GDPR draait ook om alles op papier staat en gevoelige informatie bevat, zoals een papieren kopie paspoort: daar is veel geld voor over!
10. Een hack of ransomware-aanval valt niet onder datalekken
Een hack of ransomware betekent (een gevaar op) datalek. De hacker kan (vaak) bij al uw gegevens. U bent verantwoordelijk. U moet dus het voorval melden aan de Autoriteit Persoonsgegevens.
Hype en schijnveiligheid
Veel bedrijven spelen (commercieel) in op de hype rond de GDPR en verkopen schijnveiligheid. Uiteindelijk komt het aan op gezond verstand. Zolang u als IT- of security-professional voor uzelf kunt verantwoorden dat persoonsgegevens optimaal beschermd zijn, zou dit ook moeten gelden voor de GDPR.
Bron: Previder
In het boek: ‘Zo voldoet u aan AVG/GDPR’ van het ICT informatiecentrum leest u over wat de nieuwe Europese wetgeving betekent voor uw ICT oplossingen en de omgang met persoonsgegevens. U kunt hem hier aanvragen.