Was 25 mei 2018 een mijlpaal en dus de finish, of ook een beginpunt?

Foto. Met dank aan THE RIVER COMMUNITY CHURCH

Veel organisaties hebben zich, in meer of mindere mate, ingespannen om de AVG datum 25 mei 2018 te “halen”.
Dit met wisselend succes en lang niet altijd is het duidelijk WAT er is “gehaald”.

Wat gebeurde er feitelijk op 25 mei?
De Wet bescherming persoonsgegevens (Wbp) dateert al van 6 juli 2000!
De opvolger, de Algemene Verordening Gegevensbescherming (AVG) is 5 mei 2016 in werking getreden!
Dus waarom dan die datum 25 mei?

Een lang verhaal, over 2e en 1e Kamer e.d.
Kort, het volgende gebeurde op 25 mei:

  • Ingangsdatum Verantwoordingsplicht (accountability). Zie AVG art. 5 lid 2.
  • Ingangsdatum sanctie beleid.

Om wat misverstanden over die sancties uit de wereld te helpen:

  • Er zijn 10 maatregelen mogelijk”. Enkele daarvan zijn meer ingrijpend dan een administratieve geldboete. Denk hierbij aan een dwangsom, het afdwingen de verwerking te stoppen, …!
  • Er wordt wel degelijk gehandhaafd!
    • Theodoor Gillissen Bankiers. Dwangsom. Een bedrag van € 48.000 is voldaan wegens het onjuist behandelen van een inzageverzoek (dateert van 2016)[1].
    • Nationale Politie. Dezelfde maatregel wegens het niet tijdig oplossen van 5 kwetsbaarheden[2]

[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/tgb-betaalt-dwangsom-na-niet-voldoen-aan-inzageverzoek
[2] https://autoriteitpersoonsgegevens.nl/nl/nieuws/nationale-politie-moet-politiegegevens-beter-beschermen

 

Tot zover de achteruitkijkspiegel. Een bik vooruit

Een paar aandachtspunten:

  • Nieuwe/gewijzigde producten en diensten moeten, in de hele keten, voldoen aan de criteria voor privacy by design (AVG artikel 25). Organisaties moeten dit kunnen aantonen.
  • De preventie van datalekken. Meer dan in het verleden is het zaak zeer zorgvuldig de keten partners uit te kiezen! Of de huidige partners opnieuw te beoordelen. Hoe zeker kan je zijn van de privacy (en security) aanpak en maatregelen van die ketenpartners? Op orde en transparant? Of wordt er terughoudend gereageerd op vragen?
  • Let op! Een juridisch verantwoorde verwerkersovereenkomst is NIET VOLDOENDE!  Wel een, goed, gedocumenteerd inzicht in:
    • WAAR (bij welke sub-/Verwerker) de persoons (en financiële) gegevens werkelijk staan.
    • HOE deze beschermd worden.
    • WELKE aansprakelijkheid een ketenpartner aanvaardt(AVG Artikel 82)!
  • Als onderdeel van de eigen verantwoordingsplicht:
    • De risico’s en blinde vlekken binnen de eigen organisatie en daarbuiten.
    • Een goed inzicht in welke “spullen” (assets, CI’s, eindpunten) je hebt en gebruikt. En wat de status daarvan is.
Samengevat
Je moet al de blinde vlekken, mogelijke risico’s en problemen kennen!
Zowel in-huis als bij jouw leveranciers!

 

Eén van de beschikbare mogelijkheden om voor- en achteruit te kunnen kijken


https://www.youtube.com/watch?v=13vcngpehz4
AVG – Verantwoorden en in control.
Een product en dienst van N. van Es Management & Advies
https://securityenprivacy.nl/