Please download to get full document.

View again

of 6
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.

EU General Data Protection Regulation: ook belangrijk voor automotive branche

Category:

Finance

Publish on:

Views: 91 | Pages: 6

Extension: PDF | Download: 0

Share
Related documents
Description
Europese Privacy Verordening EU General Data Protection Regulation: ook belangrijk voor automotive branche Het is zo ver! Afgelopen zomer is de definitieve tekst van de nieuwe Europese privacywetgeving
Transcript
Europese Privacy Verordening EU General Data Protection Regulation: ook belangrijk voor automotive branche Het is zo ver! Afgelopen zomer is de definitieve tekst van de nieuwe Europese privacywetgeving (GDPR, General Data Protection Regulation) gepubliceerd. Zij het met een aantal wijzigingen ten opzichte van de eerste versie, maar als de wetgeving daadwerkelijk in werking treedt ( , na een inloopperiode ) zullen er behoorlijke risico s op de loer liggen voor bedrijven en instellingen die hun zaakjes niet op orde hebben. Er worden nog net geen lijfstraffen uitgedeeld, maar wel forse boetes die kunnen oplopen tot miljoenen euro s (zijnde maximaal 4 procent van de wereldwijde omzet). Automotive bedrijven gaan zich ook meer en meer gedragen als Big Data bedrijven: er gaan veel (vertrouwelijke) gegevens rond en daar moet je wat mee. Je moet er vooral goed mee omgaan De stand van zaken over deze privacywetgeving. Van de redactie Sebastiaan Palm en Theo Stockmann van Marxman Advocaten zien dat bedrijven zich nu eindelijk bewust worden van het gevaar. Veel bedrijven zijn zich rot geschrokken Theo Stockmann, advocaat Intellectueel Eigendoms- en IT-recht: Natuurlijk is er een overgangsperiode tot mei 2018 en word je ook nog gewaarschuwd voor je daadwerkelijk een boete krijgt. Maar toch, het wordt nu wel steeds serieuzer. Europese landen, en daarmee hun bedrijven en organisaties, hebben na de inwerkingtreding van deze nieuwe Europese wet maximaal twee jaar om zich op te maken voor de General Data Protection Regulation. Nederland loopt januari 2017 AutoleaseWereld Magazine 31 Theo Stockmann (links) en Sebastiaan Palm voorop: onze Meldplicht Datalekken met de daaraan gekoppelde uitbreiding boetebevoegdheid, zoals beschreven in de Wet Bescherming Persoonsgegevens is al sinds januari 2016 van kracht. Het is de voorloper voor de GDPR. Nederlandse bedrijven hebben dus al te maken met strenger wordende privacywetgeving. Diezelfde Wet Bescherming Persoonsgegevens wordt in mei 2018 vervolgens vervangen voor deze Europese regelgeving. Overigens: bedrijven en organisaties lijken zich vooral te bekommeren om bescherming van digitale gegevens, maar de strikte regels en hoge boetes gelden in veel gevallen ook voor gegevens op papier. Maatregelen nemen Sebastiaan Palm, partner bij Marxman Advocaten en advocaat Intellectueel Eigendoms- en IT-recht: Daarom is het van belang maatregelen te nemen zoals de verantwoordelijken benoemen, richtlijnen opstellen, je medewerkers voorlichten en vooral ook controleren of medewerkers de regels naleven. Dat laatste is, zo blijkt uit onderzoek, nog weleens onderhevig aan slijtage, om het maar voorzichtig uit te drukken. Je kunt natuurlijk regels opstellen wat je wilt, maar als niemand controleert of ze worden nageleefd, sta je nog met lege handen. Het gaat juist om die garanties die je moet kunnen afgeven met betrekking tot een juiste verwerking van zogenoemde persoonsgegevens. Kort gezegd gaat het dan om alle naar personen herleidbare informatie (PHI). Informatie die je op het spoor kan brengen van een individu en waarvan derden zouden kunnen profiteren of waarbij op een andere wijze het individu kan worden benadeeld. Wetgeving ter bescherming De General Data Protection Regulation (GDPR) is namelijk vooral bedoeld om mensen te beschermen tegen bedrijven die munt willen slaan uit hun persoonsgegevens. Bijvoorbeeld door verschillende gegevens te combineren, te analyseren en de resultaten daarvan - de samengestelde data - aan derden te verkopen. Daar kun je als bedrijf snel wat aan doen. Stockmann: Het begint bij het begin: welke gegevens sla je op en waarom? Je moet ook veel informatie helemaal niet willen hebben. Een beperkende regulering met betrekking tot privacygevoelige gegevens was er altijd al, dus waarom die risico s? Nadenken over wat wel en wat niet te bewaren, kan echt geen kwaad. Alles opslaan omdat je nooit weet waar het goed voor is is absoluut geen goede optie. Dat was het eigenlijk nooit. Onderzoeken hebben echter uitge- 32 AutoleaseWereld Magazine januari 2017 wezen dat het in de praktijk wel gebeurde: sla maar ergens op, daar kunnen we er later misschien nog wel wat mee doen; of ik weet niet zeker of ik het moet bewaren of niet, dus bewaar maar voor de zekerheid. Dan kun je al snel een wet overtreden. Gegevens die privacygevoelig zijn mag je alleen opslaan onder strikte voorwaarden en meestal ook nog onder de voorwaarde van expliciete toestemming van de betrokkene, dus de persoon van wie de gegevens verwerkt worden. Hoe helder is helder? Palm: Maar dat geeft ook niet direct helderheid. Je zou denken dat als je als betrokkene toestemming geeft dat het helder is voor iedereen wat je als bedrijf mag doen met die gegevens. Maar dat is niet zo. Want weet je wel waarvoor je als betrokkene dan precies toestemming geeft? Hoe moet je toestemming geven? Is dat bewust en actief, of is impliciet instemmen met voorwaarden na een update of het installeren van een applicatie bijvoorbeeld voldoende? We weten allemaal hoezeer dergelijke privacybepalingen soms verborgen zitten. Als je instemt met het gebruik van een applicatie, geef je vaak zomaar ook toestemming voor de opslag en het gebruik van je persoonlijke gegevens. Het staat bijna nooit duidelijk vermeld waar de toestemming betrekking op heeft. Of je kunt een app gewoon niet gebruiken zonder die toestemming. Dan zijn gebruikers sneller geneigd om toch maar wel die toestemming te geven, zonder de gevolgen ervan te beseffen. Je weet dan nooit precies wat het bedrijf of die instelling (later) met jouw gegevens gaat doen. Dat weten ze overigens zelf waarschijnlijk vaak nog niet eens. Daarom is het belangrijk dat bedrijven van tevoren duidelijk maken om welke gegevens het gaat en waar die gegevens precies voor gebruikt worden. Op basis daarvan kun je dan weloverwogen bepalen of je toestemming wilt geven. Je zou het misschien niet zeggen, maar dat is wat de huidige privacywetgeving nu al van de bedrijven vraagt. Met de komst van de nieuwe Europese regelgeving worden die regels allemaal nog net wat strenger. Dan moet iemand echt actief toestemming geven en mag dit niet verstopt zitten in bijvoorbeeld algemene voorwaarden. Verandert er iets? Of de GDPR nu zoveel verandering gaat brengen, waagt het duo toch te betwijfelen. Met name de handhaving roept vraagtekens op. Stockmann: Maar het zet in ieder geval het proces van bewustwording in gang. Hoe ga je serieus om met gevoelige en persoonlijke data? En daarmee is al veel gewonnen. Voor Europa is dit een grote stap. Nederland had zijn zaakjes met de Wet Bescherming Persoonsgegevens en de Meldplicht Datalekken al redelijk goed voor elkaar, eerlijk gezegd. Maar als deze GDPR over twee jaar daadwerkelijk door alle lidstaten moet zijn ingevoerd, vervallen die Nederlandse varianten en wordt alleen de Europese wetgeving van kracht. Palm onderstreept nog maar eens hoezeer die bewustwording van belang is. In principe is het technologisch mogelijk om alle data boven water te halen, als je maar slim genoeg bent. Dat geldt dus voor mensen die te goeder trouw zijn, maar ook voor de mensen die het wat minder met ons voor hebben en een slaatje willen slaan uit die januari 2017 AutoleaseWereld Magazine 33 gegevens. Of maatregelen willen nemen op basis van gegevens waarover ze eigenlijk niet zouden mogen beschikken. Zoals medische gegevens; die kunnen doorslaggevend zijn bij wel of niet worden aangenomen bij een sollicitatie of bij het afsluiten van een verzekering. Met al die wearables tegenwoordig (denk aan een smartwatch of allerlei sport gimmicks die je prestaties en routes e.d. bijhouden) worden allerlei persoonlijke en (deels) medische gegevens verzameld en opgeslagen. Maar waar? In de cloud? Welke cloud? En wie beheert die gegevens? Hoe kunnen zekerheden worden ingebouwd dat niemand anders die gegevens inziet? Die zekerheden worden in veel gevallen niet gegeven en je hebt impliciet door het gebruik van zo n app al toestemming gegeven om die gegevens daar op te slaan. Het gaat zo makkelijk, mensen denken er niet altijd even goed over na. Er is op die manier een enorme hoeveelheid gevoelige informatie waar je niet elke dag bij stilstaat, maar die langzaamaan wel een serieuze bedreiging vormt voor het beschermen van je privacy. Information and Image Management) laat zien dat veertig procent van de medewerkers op kantoor (ook als dat denkt digitaal te zijn) een voorkeur heeft voor papier. Ook blijkt dat veertig procent van de bedrijven hun facturen digitaal krijgt aangeleverd, maar dat 35 procent de rekeningen nog steeds afdrukt. Een probleem van papier is dat een kopietje zo is gemaakt. Mensen nemen het mee naar huis om nog even door te nemen. Of het document ligt ergens onderin een la. Of de papieren zijn niet goed gearchiveerd. Veel organisaties hebben werkelijk geen idee waar al die documenten rondslingeren, laat staan dat ze weten welke gevoelige informatie erin staat. Dat weten ze al niet eens van hun eigen computer. Wedden dat ergens op uw pc een scan staat van een identiteitsbewijs of gegevens van uw creditcard? Ooit gebruikt om een vakantie te boeken of een leuk cadeau voor uw vrouw te kopen. Maar die informatie staat er nog steeds en op het moment dat uw computer wordt gehackt bent u de klos. En het is niet de vraag óf die computer wordt gehackt, maar wanneer. Ook analoge gegevens Het gaat niet alleen over digitale informatie, alhoewel die hoeveelheid en beschikbaarheid met de dag groeien. Stockmann: Vergeet niet hoeveel informatie binnen organisaties op papier rust. Onderzoek van de internationale beroepsorganisatie voor informatiemanagers AIIM (Association for Inventarisatie Bescherming van persoonsgegevens begint volgens het duo met de erkenning dat bedrijfsregels hiervoor nodig zijn. Vervolgens kunnen organisaties beleid opstellen, uitvoeren en trainen. 34 AutoleaseWereld Magazine januari 2017 Palm: Het belangrijkste is natuurlijk om te weten welke informatie je in huis hebt. Niet alleen letterlijk in huis, dus binnen de muren van de organisatie, want tegenwoordig worden medewerkers steeds mobieler en werken op uiteenlopende tijden en plaatsen. Liefst met hun eigen apparaten, die zowel voor zakelijk als privé worden gebruikt. Ook daarvan moet je weten welke informatie zich waar bevindt. De nieuwe wet geeft mensen immers ook het recht om vergeten te worden. Bedrijven moeten gevolg geven aan een verzoek om persoonlijke informatie te vernietigen ook op de eigen laptop en thuiswerkplek. Structuur en beheer Om grip te houden op dergelijke gevoelige persoonlijke informatie is het eigenlijk alleen maar logisch om een goed geordend en gestructureerd informatiebeheer en -beleid te hanteren. Stockmann: Een goede start is om te beginnen met vaststellen welke afdelingen waarschijnlijk persoonsgegevens onder hun beheer hebben. Dáár moet je beginnen met ervoor te zorgen dat papieren en digitale bestanden veilig en vindbaar worden opgeslagen. Dat betekent dat er een helder archiveringssysteem moet zijn voor dossiers: met labels, beschrijvingen zeg maar: de metadata op mappen en dozen voor papier en in een DMS als het om digitaal gaat. Daarnaast is het van belang vast te leggen wie waartoe bevoegd is met betrekking tot de documenten: zorg voor duidelijke toegangsrechten en verantwoordelijkheden en leg deze vast! Maar bovenal, controleer of mensen zich eraan houden. Uit onderzoeken blijkt maar al te duidelijk dat menselijk falen de hoofdoorzaak is bij incidenten waarbij de persoonsbescherming in het geding is. De GDPR schrijft voor dat bescherming van persoonsgegevens uitgangspunt moet zijn bij het creëren van informatie, het beheer ervan en de uiteindelijke vernietiging ervan. Palm: Het is niet iets wat je achteraf gaat regelen, dat moet je vanaf het begin op orde hebben. Dat was al zo, maar de nieuwe Europese wetgeving zet het accent nog eens extra aan. Diefstal van persoonsgegevens Cybercriminelen hebben zich in 2015 meer gericht op het stelen van persoonsgegevens en identiteiten dan het jaar ervoor. In totaal zijn er in ,5 miljoen gegevens gestolen. Er waren in 2015 welgeteld gemelde inbraken op computersystemen. Dat blijkt uit het jaarlijkse rapport Breach Level Index, dat over 2015 is gepubliceerd door het Nederlandse veiligheidsbedrijf Gemalto. Volgens de onderzoekers hebben de criminelen zich veel meer gericht op het stelen van persoonlijke informatie. Bij 53 procent van de inbraken waren criminelen op zoek naar persoonsgegevens. In 2013 en 2014 werden vooral financiële gegevens en creditcardinformatie gestolen was daarnaast een recordjaar met meer dan een miljard gestolen gegevens bij grote en kleine inbraken. In 2015 werden in theorie elke seconde 22 computerbestanden gestolen. Dat is in totaal 39 procent minder dan het jaar ervoor, maar er zijn wel veel meer persoonsgegevens buitgemaakt. Alle reden dus om je zorgen te maken. Datalekken Naast alle reguliere datalekken, kende Nederland in 2015 een recordaantal van negen enorme datalekken. Per lek werden zeker tien miljoen gegevens gestolen, blijkt uit een jaarlijks veiligheidsrapport van antivirusmaker Symantec, dat april 2015 werd gepubliceerd. Er waren ruim driehonderd gemelde aanvallen waarbij criminelen data hebben buitgemaakt. Door cybercriminaliteit zijn er vorig jaar meer dan een half miljard gegevens gestolen of verloren gegaan, stelt Symantec in het rapport. januari 2017 AutoleaseWereld Magazine 35 Op het internet zijn in 2015 ook meer dan 430 miljoen unieke vormen van malware gevonden. Dat is 36 procent meer dan het jaar ervoor. Veel activiteiten in het cybercriminele circuit worden overigens vanuit Nederland ondernomen. Het gaat volgens het onderzoek om 2,3 procent van alle gemelde cyberbedreigingen. Daarmee staat Nederland vierde in de internationale lijst van cyberdreiging. Alleen uit China (23,7 procent), de VS (18,9 procent) en India (3,4 procent) kwamen meer cyberaanvallen. Acties AP De AP heeft ruim binnengekomen meldingen nader bekeken en soms aanvullende vragen gesteld. Ruim 100 organisaties kregen naar aanleiding hiervan een waarschuwing van de AP. In enkele andere tientallen gevallen doet de AP een diepgaander onderzoek. Deze onderzoeken lopen nog. Bron: Autoriteit Persoonsgegevens Het regent lekken. Sinds de wet Meldplicht Datalekken is ingegaan (1-1-16) zijn er flink wat meldingen gedaan. In bijna een jaar tijd (gemeten tot 15 december 2016) heeft de Autoriteit Persoonsgegevens (AP) bijna 5500 meldingen ontvangen van datalekken. De AP is inmiddels met tientallen onderzoeken bezig naar aanleiding van datalekmeldingen. De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten). Niet alles is direct even ernstig in de zin dat sprake zou zijn van kwader trouw. Er zijn veel datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders ziet. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen. Niettemin is dergelijke onachtzaamheid minstens net zo onwenselijk. 36 AutoleaseWereld Magazine januari 2017
Similar documents
View more...
Search Related
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks