
Voldoe aan de GDPR om te voldoen aan de nieuwe EU-wet bescherming persoonsgegevens
GDPR-naleving blijft een voortdurende uitdaging voor IT-organisaties wereldwijd. Wat is de GDPR en waarom is naleving van de GDPR zo belangrijk?
We leven in een wereld waarin extreem veel data wordt gegenereerd en verzameld, gedreven door onze interactie met een groeiend aantal applicaties, systemen en apparaten. Het Internet of Things (IoT) zal deze datageneratie en -verzameling exponentieel verder versnellen.
Beveiligings- en nalevingsuitdagingen ontstaan telkens wanneer gevoelige gegevens worden verzameld, geanalyseerd en gedeeld, vooral wanneer gedeelde data organisatiegrenzen overschrijdt. In sectoren zoals de financiële sector en de zorgprocessen schrijven sectorspecifieke regelgeving zoals Gramm-Leach-Bliley en HIPAA voor dat klantgegevens privé en beschermd moeten blijven tegen manipulatie en ongeautoriseerde toegang, of de data nu binnen een organisatie blijft of extern wordt gedeeld.
Maar niet alle regelgeving rondom gegevensbescherming is beperkt tot specifieke sectoren. Sommige wetten en regels vereisen dat alle klantgegevens worden beschermd, ongeacht de sector.
GDPR-naleving uitgelegd
De meest ingrijpende en verstrekkende van deze niet-sectorspecifieke regelgeving is de nieuwe Algemene Verordening Gegevensbescherming (GDPR) van de Europese Unie. De GDPR werd op 14 april 2016 aangenomen door de Commissie Burgerlijke Vrijheden van het Europees Parlement en treedt op 25 mei 2018 in werking, waarmee het de wet wordt in alle 29 EU-lidstaten.
Voortbouwend op de EU-richtlijn gegevensbescherming (95/46/eg) is de GDPR een gedurfde poging om een robuust juridisch kader te creëren voor het beschermen van privacy in het tijdperk van sociale media, geografisch verspreide cloudcomputerdiensten en brede overheidssurveillance. Het bevestigt het recht op privacy van iedere EU-burger en stelt strikte vereisten aan organisaties die persoonlijk identificeerbare informatie (PII) van EU-burgers verzamelen of verwerken.
Bescherming van persoonlijk identificeerbare informatie voor GDPR-naleving
Het concept PII staat centraal in zowel de Richtlijn gegevensbescherming als de GDPR. Dit is hoe de GDPR deze belangrijke term definieert:
alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘betrokkene’); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan de hand van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Voorbeelden van PII zijn onder andere:
- Een CRM-database met de naam, het adres en telefoonnummer van een klant.
- Het IP-adres of MAC-adres van de smartphone, tablet of laptop van een burger.
- Een paspoortnummer.
- Een foto die kan worden gebruikt voor gezichtsherkenning.
- Een bericht van een burger op een sociaal mediaplatform zoals Facebook over politiek, religie of gezondheidstoestand.
- Genetische of biometrische gegevens die een individu uniek kunnen identificeren, waaronder vingerafdrukken, handtekeningen, spraakopnames en zelfs toetsaanslagpatronen.
- Een omschrijving die indirect een individu identificeert, zoals “de salesvertegenwoordiger van het bedrijf voor de regio Parijs”.
Door gegevensbescherming te standaardiseren in alle lidstaten, bevestigt de GDPR het recht van een EU-burger om te weten welke PII door andere partijen wordt verzameld. Het geeft burgers het recht te weten waarom PII wordt verzameld, hoe de PII wordt gebruikt en met welk doel. In de meeste gevallen bevestigt de regelgeving ook het recht van burgers om hun PII te laten corrigeren of verwijderen.
Om GDPR-naleving te bereiken, moeten ondernemingen die PII van EU-burgers verzamelen of verwerken kunnen aantonen dat zij zich houden aan de GDPR-richtlijnen voor het omgaan met PII. Let op: GDPR-naleving is vereist, ongeacht of de onderneming die de PII verzamelt of verwerkt in de EU is gevestigd. GDPR-naleving is uitsluitend verplicht op basis van de nationaliteit van de burgers van wie de PII wordt beheerd.
Raden van bestuur, IT-organisaties, beveiligingsteams en compliance-teams in wereldwijde ondernemingen moeten zich nu voorbereiden om GDPR-naleving te realiseren. Het niet behalen van GDPR-naleving kan leiden tot forse financiële sancties—tot wel 4% van de jaarlijkse omzet van een organisatie—en blijvende schade aan de merkreputatie.
Bereik GDPR-naleving met beveiligde bestandsoverdracht en gegevensbeheer
Om GDPR-naleving te realiseren, hebben ondernemingen een allesomvattende oplossing nodig voor klantprivacy, gegevensbeveiliging en het delen van PII. Niet-naleving leidt niet alleen tot hoge boetes, maar ook tot klantenverlies en merkschade. Gelukkig helpt het beveiligde bestandsoverdrachtplatform van Kiteworks organisaties bij het behalen van GDPR-naleving.
Het Kiteworks-platform biedt een organisatiebrede laag van gegevensbeveiliging en controle, en integreert met en handhaaft beveiligingsbeleid voor alle on-premises en cloudgebaseerde content-systemen binnen de organisatie, zoals Microsoft SharePoint en OpenText, evenals cloudgebaseerde diensten als Box, Dropbox en Google Drive.
Beveiligingsfuncties omvatten encryptie van gegevens in rust en onderweg, rolgebaseerde toegangscontrole, beveiligde containers die privégegevens zoals PII op mobiele apparaten beschermen tegen ongeautoriseerde toegang en malware-infectie, en speciale controles zoals alleen-lezen content om te waarborgen dat vertrouwelijke inhoud vertrouwelijk blijft. Daarnaast wordt alle contentdeling binnen het Kiteworks-platform gelogd en gemonitord. CISO’s en IT-beheerders kunnen gebruikersactiviteiten controleren om te garanderen dat PII alleen door geautoriseerde gebruikers wordt benaderd, waarmee naleving van regelgeving zoals de GDPR wordt geborgd.
Omdat het Kiteworks-platform is ontworpen voor schaalbaarheid en flexibiliteit op ondernemingsniveau, kan het elke infrastructuurstrategie ondersteunen: on-premises, IaaS-cloud, private hosting door Kiteworks of een hybride scenario. Nodes kunnen wereldwijd worden verspreid om externe kantoren te bereiken, prestaties te garanderen en te voldoen aan regelgeving over datasoevereiniteit. IT-organisaties kunnen beleid beheren en handhaven om gegevens te beschermen en naleving van regelgeving te waarborgen, terwijl vertrouwde zakelijke gebruikers geselecteerde content en contentdeling kunnen beheren om productiviteit te bevorderen en het juiste vertrouwensniveau te garanderen.
Wil je meer weten over het Kiteworks-platform en hoe Kiteworks jouw organisatie kan helpen te voldoen aan de GDPR en andere regelgeving rondom gegevensbescherming? Plan dan vandaag nog een aangepaste demo van Kiteworks in.
Veelgestelde vragen
GDPR-naleving verwijst naar het voldoen aan de regels zoals vastgelegd in de Algemene Verordening Gegevensbescherming (GDPR), een uitgebreide privacywet in de Europese Unie (EU). De GDPR geeft richtlijnen voor hoe persoonlijke gegevens van EU-burgers en -inwoners moeten worden verzameld, verwerkt, opgeslagen en gedeeld door organisaties, ongeacht of deze organisaties in de EU of elders zijn gevestigd. Om GDPR-compliant te zijn, moeten organisaties stappen ondernemen om de persoonlijke gegevens van EU-burgers en -inwoners te beschermen en hun privacyrechten te respecteren.
De GDPR is gebaseerd op een aantal principes voor hoe persoonlijke gegevens moeten worden verwerkt. Deze principes zijn bedoeld om ervoor te zorgen dat organisaties persoonlijke gegevens van EU-burgers en -inwoners eerlijk, transparant en veilig behandelen.
De drie belangrijkste principes van GDPR-naleving zijn:
- Rechtmatigheid, eerlijkheid en transparantie: Organisaties moeten persoonlijke gegevens op een rechtmatige, eerlijke en transparante manier verwerken. Dit houdt in dat individuen duidelijke en beknopte informatie moeten krijgen over hoe hun gegevens worden verwerkt.
- Doelbeperking: Persoonsgegevens mogen alleen worden verzameld en verwerkt voor specifieke, expliciete en legitieme doeleinden. Organisaties mogen persoonsgegevens niet verwerken op een manier die onverenigbaar is met deze doeleinden.
- Dataminimalisatie: Organisaties mogen alleen de persoonsgegevens verzamelen en verwerken die noodzakelijk zijn voor de doeleinden waarvoor ze worden verwerkt. Ze moeten er ook voor zorgen dat de gegevens accuraat en up-to-date zijn.
Organisaties kunnen GDPR-naleving waarborgen door diverse stappen te nemen om de persoonlijke gegevens van EU-burgers en -inwoners te beschermen en hun privacyrechten te respecteren. Deze stappen kunnen het implementeren van beleid en procedures voor gegevensbescherming omvatten, het aanstellen van een functionaris voor gegevensprivacy (DPO) en het uitvoeren van regelmatige Data Protection Impact Assessments.
Stappen die organisaties kunnen nemen om GDPR-naleving te waarborgen zijn onder andere:
- Het herzien en updaten van beleid en procedures voor gegevensbescherming om te zorgen dat deze in lijn zijn met de GDPR-vereisten
- Het implementeren van passende technische en organisatorische maatregelen, zoals encryptie, toegangscontroles en pseudonimisering, om de veiligheid van persoonsgegevens te waarborgen
- Zorgen dat individuen toegang hebben tot hun persoonsgegevens en hun rechten onder de GDPR kunnen uitoefenen, zoals het recht op verwijdering en het recht om bezwaar te maken
- Het uitvoeren van regelmatige audits van gegevensverwerkingsactiviteiten om naleving van de GDPR-vereisten te controleren en verbeterpunten te identificeren
- Zorgen dat eventuele externe verwerkers, zoals cloudserviceproviders, GDPR-compliant zijn en passende waarborgen hebben om persoonsgegevens te beschermen
- Het ontwikkelen van een incident response plan om datalekken en ongeautoriseerde toegang tot persoonsgegevens te beheren
- Het bijhouden van documentatie en logs van gegevensverwerkingsactiviteiten om naleving van de GDPR-vereisten aan te tonen
Een Data Protection Impact Assessment (DPIA) is een proces om de privacyrisico’s te identificeren en te beoordelen die gepaard gaan met een specifieke gegevensverwerkingsactiviteit. Een DPIA is verplicht onder de GDPR voor bepaalde soorten verwerkingen die waarschijnlijk een hoog risico vormen voor de privacyrechten van EU-burgers en -inwoners.
Ja, Amerikaanse bedrijven moeten voldoen aan de GDPR als zij persoonsgegevens van EU-burgers en -inwoners verwerken. Elk bedrijf, ongeacht waar het is gevestigd, moet voldoen aan de GDPR als het persoonsgegevens van EU-burgers en -inwoners verwerkt, opslaat of deelt.