Heeft u ook een AVG opfrisser nodig? In dit artikel leggen wij alles omtrent de AVG nog een keer uit. Ook bespreken we het verschil tussen een datalek en een beveiligingsincident, wanneer u een datalek moet melden en op welke manier \u00e9n hoe u datalekken kunt voorkomen. Zo kunt u (weer) veilig te werk gaan!<\/p>\n
De AVG: wat is het ook al weer?<\/span><\/h2>\nAVG staat voor\u00a0Algemene Verordening Gegevensbescherming<\/strong>. De AVG is de Nederlandse afgeleide van de Europese General Data Protection Regulation (GDPR). Met AVG en GDPR wordt dus naar dezelfde wetgeving verwezen. De AVG wordt per 25 mei 2018 gehandhaafd en wordt ook wel de privacywetgeving genoemd.<\/span><\/p>\nHet doel van de AVG<\/strong>\u00a0is om burgers te beschermen op het gebied van privacyregelgeving en persoonsgegevens. Daarnaast wordt met de AVG-wetgeving de kans op datalekken en beveiligingsincidenten verkleind. Daar gaan we verderop in dit artikel dieper op in.<\/span><\/p>\nDankzij de AVG hebben mensen\u00a0meer privacy rechten<\/strong>\u00a0gekregen. Zo hebben gebruikers meer mogelijkheden om voor zichzelf op te komen als het gaat om de verwerking van hun gegevens. Zij hebben meer zeggenschap over hun gegevens en wat bedrijven daar mee doen. Uw klant kan bijvoorbeeld inzage vragen in opgeslagen data of verleende toestemming intrekken.<\/span><\/p>\n
AVG voor bedrijven: hoe werkt u volgens de AVG?<\/span><\/h3>\nOok voor bedrijven is er wat veranderd.\u00a0Als bedrijf heeft u meer verplichtingen en verantwoordelijkheden<\/strong>\u00a0bij het verwerken van persoonsgegevens dan voorheen. Om als bedrijf volgens de AVG te werken moet u uzelf het volgende afvragen:<\/span><\/p>\n\n- Welke persoonsgegevens verwerkt u?<\/strong>\u00a0Denk aan naam, adres, telefoonnummer en Burgerservicenummer maar ook aan vingerafdruk, beeldmateriaal, emailadres, inkomen, kenteken, politieke opvatting et cetera.<\/span><\/li>\n<\/ul>\n
<\/p>\n
\n- Heeft u een grondslag om persoonsgegevens te verwerken?<\/strong>\u00a0U mag persoonsgegevens alleen verwerken wanneer u deze echt nodig hebt, dus alleen met goede reden. Ook mag u niet meer gegevens verzamelen en gebruiken dan u nodig heeft. Zo heeft een webshop uw Burgerservicenummer helemaal niet nodig en mogen zij daar dus niet naar vragen, maar een overheidswebsite weer wel.<\/span><\/li>\n<\/ul>\n
<\/p>\n
\n\n- Heeft u voldoende maatregelen genomen om de persoonsgegevens te beveiligen?<\/strong>\u00a0Zo moet u gevoelige gegevens altijd beveiligen met wachtwoorden en deze veilig verzenden, bijvoorbeeld via\u00a0FileCap<\/a>. Denk daarbij ook aan de expliciete toestemming die mensen moeten geven wanneer u gegevens wil verzamelen (privacy by default) en het up-to-date houden van uw software om datalekken te voorkomen.<\/span><\/li>\n<\/ul>\n<\/ul>\n\u00a0<\/strong><\/div>\n
\n\n- Heeft u een goede overeenkomst met de partijen die persoonsgegevens voor u verwerken?<\/strong>\u00a0Gaan zij op de juiste manier met persoonsgegevens om? Werk daarom alleen met gecertificeerde bedrijven. Wij werken zelf volgens de strenge eisen van het\u00a0ISO-27001 certificaat<\/a>, dus met ons bent u safe!<\/span><\/li>\n<\/ul>\n<\/ul>\n<\/div>\n
\n- Hoe lang bewaart u de persoonsgegevens?<\/strong>\u00a0U mag persoonsgegevens niet langer bewaren dan nodig. Zo kunt u de persoonsgegevens automatisch laten vernietigen na een bepaalde tijd om grote datalekken te voorkomen.<\/span><\/li>\n<\/ul>\n
<\/h2>\nWat is een datalek?<\/span><\/h2>\nE\u00e9n van de redenen dat de AVG\/GDPR dus is ingevoerd is om de kans op datalekken te verkleinen. Altijd als er persoonsgegevens verzameld of verwerkt worden is er namelijk risico op een datalek. Maar wat is een datalek precies?<\/span><\/p>\nDe wet spreekt van een datalek wanneer persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking, of als er niet kan worden uitgesloten of dit gebeurd is.<\/strong><\/span><\/p>\nVoorbeelden van een datalek zijn:<\/p>\n<\/span><\/h3>\n
\n- <\/strong>Diefstal van uw laptop met niet-versleutelde persoonsgegevens<\/span><\/li>\n
- Kwijtraken van een USB stick met niet-versleutelde gevoelige gegevens<\/span><\/li>\n
- Persoonsgegevens per ongeluk gepubliceerd<\/span><\/li>\n
- Persoonsgegevens per ongeluk naar de verkeerde persoon verstuurd<\/span><\/li>\n
- Gegevens buitgemaakt via malware, hackers of phishing<\/span><\/li>\n
- Vertrouwelijke documenten niet in de papiervernietiger gegooid maar in een normale (papier)bak<\/span><\/li>\n
- Documenten op uw bureau laten liggen<\/span><\/li>\n
- E-mails verzenden waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor de andere geadresseerden<\/span><\/li>\n<\/ul>\n
Het verschil tussen een datalek en een beveiligingsincident<\/span><\/h2>\nNaast een datalek kun je ook nog spreken over een\u00a0beveiligingsincident<\/strong>. Een beveiligingsincident is een gebeurtenis waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatie verwerkende systemen in gevaar is (of in gevaar kan komen). Denk aan een besmetting met een virus of een verloren USB-stick. Maar wat is dan het verschil tussen een datalek en een beveiligingsincident?<\/span><\/p>\nIeder datalek is een beveiligingsincident, maar niet ieder beveiligingsincident is ook een datalek!<\/strong>\u00a0Soms is bijvoorbeeld de software niet up-to-date (beveiligingsincident). Wanneer er ook persoonsgegevens verloren zijn gegaan of onrechtmatig verwerkt (bijvoorbeeld naar iemand verzonden voor wie dat niet bedoeld was of, erger nog, zomaar openbaar gemaakt) dan is er pas sprake van een datalek. Bij een datalek zijn dus ALTIJD persoonsgegevens betrokken!<\/span><\/p>\nIs het u nog steeds onduidelijk?<\/strong>\u00a0Gebruik dan onderstaand stroomschema om te zien of iets een datalek of beveiligingsincident is.
<\/span>
![\"Stroomschema](\"https:\/\/vogelaargroep.nl\/data\/ck\/11\/vogelaar_datalek_of_beveiligingsincident_avg.png\" "\\"Vogelaar_datalek_of_beveiligingsincident_stroomschema\\"")
<\/span><\/a><\/p>\nMelden van een datalek<\/span><\/h2>\nDe AVG stelt strenge eisen aan de registratie van datalekken.\u00a0Alle datalekken<\/strong>\u00a0(groot of klein)\u00a0moeten worden gedocumenteerd<\/strong>\u00a0in een datalekregister. Wanneer er sprake is van een datalek met grote kans op nadelige gevolgen voor de bescherming van persoonsgegevens, dan moet dit gemeld worden aan de Autoriteit Persoonsgegevens (AP). Dit moet\u00a0uiterlijk<\/u>\u00a0binnen 72u gebeuren na constatering van het lek.<\/span><\/p>\nMelden is dus verplicht<\/strong>\u00a0wanneer het datalek een risico vormt\u00a0<\/strong>voor de rechten en vrijheden van de betrokkenen. Ook moet het direct gemeld worden bij de AP wanneer er sprake is van hacking, malware en\/of phishing.<\/span><\/p>\nDaarentegen hoeft een beveiligingsincident niet gemeld te worden. Alleen wanneer dit zich ontwikkelt in een datalek met kans op nadelige gevolgen voor de betrokkenen moet dit gemeld worden, of wanneer er sprake is van hackpogingen, malware of phishing.<\/span><\/p>\nHoe moet u een datalek melden?<\/span><\/h3>\n\n- 1. Eerst intern melden:<\/strong>\u00a0op het moment dat er een vermoeden is van een datalek moet dit eerst gemeld worden bij het eerste aanspreekpunt binnen de organisatie. Dit is bijvoorbeeld de Functionaris Gegevensbescherming (FG), de privacy contactpersoon of de directie.
<\/span><\/li>\n- 2. Verzamel informatie:<\/strong>\u00a0zorg dat er voldoende informatie beschikbaar is om een juiste (risico)inschatting te kunnen maken. Denk aan de mogelijke oorzaak van het lek, alle betrokkenen en hoeveel en welke persoonsgegevens er gecomprimeerd (kunnen) zijn.
<\/span><\/li>\n- 3. Beoordeel de ernst van het lek:<\/strong>\u00a0aan de hand van de beschikbare informatie kan een inschatting gemaakt worden van de gevolgen van het lek. Let op: maakt u ten onrechte geen melding van een datalek dan kunt u een flinke boete krijgen. Onderschat het dus niet!
<\/span><\/li>\n- 4. Herstellen:<\/strong>\u00a0bij een datalek met een technisch aspect dient de ICT-afdeling ingeschakeld te worden om te achterhalen wat de oorzaak is en deze te verhelpen. Vervolgens moeten de gevolgen van het lek zo snel mogelijk beperkt worden.
<\/span><\/li>\n- 5. Melding maken bij de Autoriteit Persoonsgegevens:<\/strong>\u00a0bij een ernstig datalek bent u verplicht om dit te melden. U gebruikt hiervoor de informatie die u verzameld hebt bij stap 2.<\/span><\/li>\n
- Twijfelt u over de ernst van het lek?<\/strong>\u00a0Dan kunt u ook een voorlopige melding maken. Dit is een vooraankondiging van het datalek en laat zien dat uw organisatie bezig is met het oplossen en achterhalen van alles omtrent het datalek.
<\/span><\/li>\n- 6. Betrokkenen informeren:<\/strong>\u00a0als er sprake is van een datalek met een hoog risico voor de rechten en vrijheden van de betrokkenen dan moeten zij daar over ge\u00efnformeerd worden.
<\/span><\/li>\n- 7. Documenteer, evalueer en rapporteer:<\/strong>\u00a0neem elk datalek met de bijbehorende informatie op in een register of logboek. Ook datalekken die u niet gemeld heeft bij de AP moeten daarin staan.
<\/span><\/li>\n<\/ul>\n <\/p>\n
Hoe voorkomt u een datalek?<\/span><\/h2>\nJuist omdat een datalek zo veel impact kan hebben is het belangrijk om er alles aan te doen om een datalek te voorkomen. Naast de nadelige gevolgen voor de betrokken personen zal ook het vertrouwen in uw bedrijf weg zijn en krijgt u een slechte reputatie. Dat wilt u natuurlijk niet.<\/span><\/p>\nZo voorkomt u een datalek:<\/span><\/strong><\/p>\n\n- Werk alleen samen met\u00a0gecertificeerde<\/strong>\u00a0bedrijven<\/strong>, bijvoorbeeld met de\u00a0ISO-27001 certificering.<\/a><\/span><\/li>\n
- Berg papieren met persoonsgegevens direct op na gebruik.<\/span><\/li>\n
- Bewaar digitale data altijd in de cloud of op een netwerkschijf, niet op een USB stick of lokale harde schijf.<\/span><\/li>\n
- Vergrendel uw computer bij het verlaten van uw werkplek.<\/span><\/li>\n
- Beveilig uw mobiele telefoon met een unieke pincode.<\/span><\/li>\n
- Bewaar pincodes en wachtwoorden gescheiden van het apparaat waarvoor ze bestemd zijn.<\/span><\/li>\n
- Deel adresbestanden altijd versleuteld met een wachtwoord en geef dit wachtwoord in een apart bericht door aan de ontvanger.<\/span><\/li>\n
- Bewaar documenten niet langer dan de bewaartermijn.<\/span><\/li>\n
- Houd software en andere technologie up-to-date.<\/span><\/li>\n
- Deel gevoelige informatie altijd via een veilige weg, wij doen dit bijvoorbeeld\u00a0via FileCap<\/a>.<\/span><\/li>\n<\/ul>\n
Wilt u ook werken met een echt veilig bedrijf?<\/span><\/h2>\nDan bent u bij ons aan het juiste adres. Dankzij\u00a0onze ISO-27001<\/a>\u00a0certificering gaan wij iedere dag veilig te werk, zowel offline en online.\u00a0Uw (klant)gegevens zijn bij ons dus altijd in goede handen en worden altijd veilig verwerkt!<\/strong>\u00a0Ook voor advies kunt u bij ons terecht.<\/span><\/p>\nDus wilt u ook de zekerheid dat uw gegevens in goede handen zijn? Of wilt u meer weten over veilig werken volgens de AVG of het voorkomen van datalekken?<\/span><\/p>\nNeem dan contact op met Mark Bonenkamp. Die kan u alles vertellen hierover!<\/p>\n
Het doel van de AVG<\/strong>\u00a0is om burgers te beschermen op het gebied van privacyregelgeving en persoonsgegevens. Daarnaast wordt met de AVG-wetgeving de kans op datalekken en beveiligingsincidenten verkleind. Daar gaan we verderop in dit artikel dieper op in.<\/span><\/p>\n Dankzij de AVG hebben mensen\u00a0meer privacy rechten<\/strong>\u00a0gekregen. Zo hebben gebruikers meer mogelijkheden om voor zichzelf op te komen als het gaat om de verwerking van hun gegevens. Zij hebben meer zeggenschap over hun gegevens en wat bedrijven daar mee doen. Uw klant kan bijvoorbeeld inzage vragen in opgeslagen data of verleende toestemming intrekken.<\/span><\/p>\n Ook voor bedrijven is er wat veranderd.\u00a0Als bedrijf heeft u meer verplichtingen en verantwoordelijkheden<\/strong>\u00a0bij het verwerken van persoonsgegevens dan voorheen. Om als bedrijf volgens de AVG te werken moet u uzelf het volgende afvragen:<\/span><\/p>\n <\/p>\n <\/p>\n E\u00e9n van de redenen dat de AVG\/GDPR dus is ingevoerd is om de kans op datalekken te verkleinen. Altijd als er persoonsgegevens verzameld of verwerkt worden is er namelijk risico op een datalek. Maar wat is een datalek precies?<\/span><\/p>\n De wet spreekt van een datalek wanneer persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking, of als er niet kan worden uitgesloten of dit gebeurd is.<\/strong><\/span><\/p>\n <\/span><\/h3>\n Naast een datalek kun je ook nog spreken over een\u00a0beveiligingsincident<\/strong>. Een beveiligingsincident is een gebeurtenis waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatie verwerkende systemen in gevaar is (of in gevaar kan komen). Denk aan een besmetting met een virus of een verloren USB-stick. Maar wat is dan het verschil tussen een datalek en een beveiligingsincident?<\/span><\/p>\n Ieder datalek is een beveiligingsincident, maar niet ieder beveiligingsincident is ook een datalek!<\/strong>\u00a0Soms is bijvoorbeeld de software niet up-to-date (beveiligingsincident). Wanneer er ook persoonsgegevens verloren zijn gegaan of onrechtmatig verwerkt (bijvoorbeeld naar iemand verzonden voor wie dat niet bedoeld was of, erger nog, zomaar openbaar gemaakt) dan is er pas sprake van een datalek. Bij een datalek zijn dus ALTIJD persoonsgegevens betrokken!<\/span><\/p>\n Is het u nog steeds onduidelijk?<\/strong>\u00a0Gebruik dan onderstaand stroomschema om te zien of iets een datalek of beveiligingsincident is. De AVG stelt strenge eisen aan de registratie van datalekken.\u00a0Alle datalekken<\/strong>\u00a0(groot of klein)\u00a0moeten worden gedocumenteerd<\/strong>\u00a0in een datalekregister. Wanneer er sprake is van een datalek met grote kans op nadelige gevolgen voor de bescherming van persoonsgegevens, dan moet dit gemeld worden aan de Autoriteit Persoonsgegevens (AP). Dit moet\u00a0uiterlijk<\/u>\u00a0binnen 72u gebeuren na constatering van het lek.<\/span><\/p>\n Melden is dus verplicht<\/strong>\u00a0wanneer het datalek een risico vormt\u00a0<\/strong>voor de rechten en vrijheden van de betrokkenen. Ook moet het direct gemeld worden bij de AP wanneer er sprake is van hacking, malware en\/of phishing.<\/span><\/p>\n Daarentegen hoeft een beveiligingsincident niet gemeld te worden. Alleen wanneer dit zich ontwikkelt in een datalek met kans op nadelige gevolgen voor de betrokkenen moet dit gemeld worden, of wanneer er sprake is van hackpogingen, malware of phishing.<\/span><\/p>\n <\/p>\n Juist omdat een datalek zo veel impact kan hebben is het belangrijk om er alles aan te doen om een datalek te voorkomen. Naast de nadelige gevolgen voor de betrokken personen zal ook het vertrouwen in uw bedrijf weg zijn en krijgt u een slechte reputatie. Dat wilt u natuurlijk niet.<\/span><\/p>\n Zo voorkomt u een datalek:<\/span><\/strong><\/p>\n Dan bent u bij ons aan het juiste adres. Dankzij\u00a0onze ISO-27001<\/a>\u00a0certificering gaan wij iedere dag veilig te werk, zowel offline en online.\u00a0Uw (klant)gegevens zijn bij ons dus altijd in goede handen en worden altijd veilig verwerkt!<\/strong>\u00a0Ook voor advies kunt u bij ons terecht.<\/span><\/p>\n Dus wilt u ook de zekerheid dat uw gegevens in goede handen zijn? Of wilt u meer weten over veilig werken volgens de AVG of het voorkomen van datalekken?<\/span><\/p>\n Neem dan contact op met Mark Bonenkamp. Die kan u alles vertellen hierover!<\/p>\n
AVG voor bedrijven: hoe werkt u volgens de AVG?<\/span><\/h3>\n\n
\n
\n
\n
\n
\n
\n
<\/h2>\n
Wat is een datalek?<\/span><\/h2>\n
Voorbeelden van een datalek zijn:<\/p>\n
\n
Het verschil tussen een datalek en een beveiligingsincident<\/span><\/h2>\n
<\/span><\/span><\/a><\/p>\nMelden van een datalek<\/span><\/h2>\n
Hoe moet u een datalek melden?<\/span><\/h3>\n
\n
<\/span><\/li>\n
<\/span><\/li>\n
<\/span><\/li>\n
<\/span><\/li>\n
<\/span><\/li>\n
<\/span><\/li>\n
<\/span><\/li>\n<\/ul>\nHoe voorkomt u een datalek?<\/span><\/h2>\n
\n
Wilt u ook werken met een echt veilig bedrijf?<\/span><\/h2>\n