Gdpr begint vandaag! wat je moet weten

Vanaf vandaag, 25 mei 2018, zal de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) effectief wereldwijde wetgeving worden als het gaat om vragen over hoe persoonsgegevens moeten worden verwerkt door bedrijven. Hoewel je misschien denkt dat een in Europa geratificeerde wet op gegevensbescherming alleen van toepassing zou zijn op Europeanen, heb je het mis. Dat komt omdat GDPR alle EU-burgers beschermt, ongeacht waar ze wonen en met wie ze zaken doen, wat betekent dat Amerikaanse bedrijven met EU-klanten volledig onderworpen zijn aan GDPR-vereisten en, erger nog, sancties. Erger omdat, volgens een recent rapport van Crowd Research Partners, slechts 7 procent van de bedrijven op schema is om GDPR-compliant te zijn tegen de deadline van vandaag.

En hoewel er stappen zijn die u zelfs vandaag nog kunt nemen om uw bedrijf op zijn minst enigszins GDPR-veilig te houden, is volledige naleving geen lichtgewicht project. De processen voor het verzamelen van gegevens moeten relevant zijn voor de manier waarop de gegevens door het bedrijf zullen worden gebruikt (bijvoorbeeld gegevens over consumentenwinkelen, maar geen medische geschiedenisgegevens voor e-commercebedrijven). Bedrijven moeten bereid en in staat zijn om precies uit te leggen welke gegevens zijn verzameld en waarom. Beveiligingspraktijken moeten aantonen dat ze duidelijk kunnen beschermen tegen verlies, schade en vernietiging, en gegevens mogen niet langer worden bewaard dan nodig is. Elk bedrijf dat zich niet aan de verordening houdt, krijgt een verlies van 4 procent van zijn jaarlijkse inkomsten.

"Dit is geen tandeloze set regels en voorschriften", zegt Ankur Laroia, Strategic Solutions Leader bij Alfresco, leverancier van informatiebeheersystemen. Laroia beweert dat verschillende kwesties in de statuten van de verordening het voor bedrijven moeilijk zullen maken om compliant te blijven. Een paar problemen zijn bijvoorbeeld abstract geschreven regels voor de reden waarom gegevens worden verzameld, de vereiste reikwijdte voor het opschonen van klantgegevens wanneer daarom wordt gevraagd, en de noodzaak voor sommige bedrijven om beveiligingsprocedures volledig te vernieuwen, uitsluitend om te zorgen voor naleving. Toch denkt Laroia niet dat de EU aan het rommelen is.

"De EU gaat achter daders aan", voorspelt hij. "Als dit was vastgesteld, zou Equifax veel problemen hebben gehad."

GDPR, dat zich vooral richt op EU-burgers, presenteert ook een nachtmerriescenario voor Amerikaanse ondernemers., breken we af wat Amerikanen moeten weten om aan de reis naar GDPR-naleving te beginnen.

1. Amerikaanse bedrijven zullen moeten voldoen

Als uw moeder en pop-boekwinkel nog nooit een pakket buiten uw woonplaats heeft verzonden, hoeft u zich waarschijnlijk geen zorgen te maken over de AVG. Als u echter zelfs maar één in de EU gevestigde klant heeft, moet u onmiddellijk beginnen met het proces om GDPR-compliant te worden. Volgens de statuten moeten gegevens van EU-burgers worden beschermd en moet u de burger deze gegevens verstrekken als hij of zij hierom vraagt. Wat nog belangrijker is, is het mogelijk dat u die gegevens uit uw systemen moet verwijderen als en wanneer de burger het verzoek indient. Als u dat niet doet en de GDPR-waakhond erachter komt, verliest u 4 procent van uw jaarlijkse inkomsten.

"Hoewel het een EU-richtlijn is, heeft het invloed op elk bedrijf over de hele wereld dat inwoners van de EU als klant heeft", zegt Pete Lindstrom, vice-president van Security Research bij IDC. "Als u adresvelden hebt en ze zijn een Europees adres, worden ze waarschijnlijk als Europees beschouwd."

Er is geen onderscheid tussen een bedrijf met hoofdkantoor in de EU of in een stad zoals Skokie, Illinois. De wet richt zich in plaats daarvan op persoonlijk identificeerbare informatie (PII) en waar de persoon die aan de gegevens is gekoppeld zich bevindt. Iedereen die enige vorm van PII-gegevens over een Europese klant heeft, moet hieraan voldoen.

Zelfs als uw bedrijf een aantal in de EU gevestigde klanten heeft, is het zeer onwaarschijnlijk dat uw lokale boekhandel wordt gecontroleerd door GDPR-waakhonden. Maar grote bedrijven, zoals Facebook en Yahoo, kunnen geen Amerikaanse trouw claimen als een manier om de AVG te omzeilen.

"Als je moeder en vader bent en je hebt een inbreuk, ben je wettelijk aansprakelijk, " zei Laroia. "Het is moeilijk om te zeggen of ze realistisch achter je aan komen… elke EU-lidstaat zal een kantoor van compliance hebben. Dat kantoor zal naar ieders compliance-schema gaan vragen. Ze zullen een inventaris maken van bedrijven die zaken doen in hun regio. Ze gaan de grotere jongens ter plekke controleren en beginnen vragen te stellen."

Amerikaanse bedrijven die niet voldoen, moeten niet verwachten dat de Amerikaanse overheid hen beschermt wanneer de door de AVG gesteunde EU-staten proberen die verbeurde inkomsten te innen. "De Amerikaanse regering is verplicht om ervoor te zorgen dat die beslissingen ten uitvoer worden gelegd", zegt Laroia. "Of ze worden afgedwongen, moet nog blijken, maar de regering in de EU zal moeten vechten."

2. 25 mei Betekent 25 mei

Hoewel de verordening vandaag in werking treedt, 25 mei 2018, werd de wet op 14 april 2016 door het EU-parlement geratificeerd. Dit betekent dat bedrijven wat de EU betreft voldoende tijd hebben gehad om GDPR-conforme praktijken in te voeren. Dus als uw bedrijf morgen wordt getroffen door een enorme cyberaanval en gaten in de gegevens die u over klanten, websitebezoekers en zelfs partners hebt verzameld, op het snode donkere web terechtkomt, kunt u geen 'onvoldoende tijd' claimen als een excuus voor het vrijgeven van gegevens van EU-burgers.

"De statuten werden van kracht", zei Laroia. "U kunt worden gevraagd om uw reis naar compliance al te tonen. Hebt u geïnventariseerd? Wat is uw protocol voor een EU-burger om naar uw gegevens te vragen? Deze bedrijven kunnen nu om deze informatie worden gevraagd. Ze zullen volgend jaar worden beboet als ze kunnen na mei geen conformiteit aantonen."

3. Verwacht geen extensie

In tegenstelling tot de meeste van de wettelijke regelgevechten die we in de VS hebben (bijvoorbeeld Netneutraliteit), kwam niemand in de EU op 24 mei 2018 tussenbeide om GDPR aan te vechten en daardoor de verordening voor onbepaalde tijd uit te stellen. Europeanen wilden dit en nu hebben ze het.

"Dit is het mooie van de manier waarop de voorschriften zijn opgesteld", zegt Laroia. "Omdat ze bedrijven een jaar de tijd gaven om hun recht te zetten, zijn er geen uitdagingen geweest vanuit een procesperspectief. Als we dat zouden zien, zou het al gebeurd zijn. Zou iemand dat kunnen doen nadat ze aangeklaagd zijn?" Ik weet zeker dat ze het zullen proberen, maar het ziet er op dat moment slecht uit."

4. Wat u moet doen om te voldoen

Zoals de verordening vereist, moet u iemand belasten met het beheer van het nalevingsproces. Deze persoon, door wie de GDPR-wet de "Data Protection Officer" (DPO) noemt, zal de verantwoordelijke persoon zijn voor het begeleiden van het GDPR-toezichtsteam door de manieren waarop uw bedrijf zijn gegevens heeft beveiligd. Deze persoon is ook verantwoordelijk voor het samenbrengen van de verschillende bedrijfsonderdelen binnen uw bedrijf om een ​​methode te ontwikkelen voor het verkrijgen en blijven van GDPR-compatibel.

Kortom, de taken van de DPO zijn onderverdeeld in vier hoofdcategorieën:

• Ten eerste moeten ze voldoende vertrouwd zijn met GDPR-details om niet alleen voor het eerste nalevingsproces, maar ook voor alle GDPR-gerelateerde vragen over gegevensverwerking in de toekomst als de belangrijkste persoon te fungeren, en zeker genoeg zodat ze vragen van beide senioren kunnen stellen leidinggevenden en IT-medewerkers op het terrein.
• Ten tweede moeten ze alle lopende gegevensverwerkingsprocessen in uw organisatie kunnen volgen en hun effectiviteit met betrekking tot de veiligheid van persoonlijke gegevens kunnen evalueren.
• Ten derde moeten ze over audit- en controlemogelijkheden beschikken voor elk deel van uw bedrijf dat mogelijk wordt beïnvloed door GDPR en deze regelmatig evalueren op naleving.
• En ten slotte moeten ze in contact staan ​​met de GDPR-autoriteiten voor uw branche, met hen samenwerken en optreden als een aanspreekpunt voor alle verzoeken van die autoriteit.

Dat komt allemaal neer op een persoon die inzicht heeft in gegevensstromen en maatregelen en technologieën voor gegevensbescherming, evenals niet alleen kennis van de details van de GDPR-wetgeving, maar ook kennis van gerelateerde en relevante EU-wetgeving, zoals de e-privacyrichtlijn. Het waarschijnlijke gebrek aan deze vaardigheden heeft iets van een groene veldkans gecreëerd voor zakelijke en IT-adviesbureaus, maar als u dit talent in eigen huis wilt ontwikkelen, is een goede gok om te zoeken naar Engelstalige, Europese online leermiddelen, velen van hen hebben hiervoor GDPR DPO-cursusmateriaal ontwikkeld. Daarnaast zijn er multinationale brancheorganisaties, zoals de International Association of Privacy Professionals (IAPP), die cursussen en certificeringen voor GDPR-training aanbieden.

Meer technisch moet u, om compliant te blijven, ten minste één coderingsmethode gebruiken voor fysieke servers, Network Attached Storage (NAS), schijven en schijven en netwerktoegang. U moet de identiteit van medewerkers verifiëren en multifactor-authenticatie (MFA) instellen bij toegang tot PII en voor transacties die PII-gegevens bevatten. U moet alle praktijken verwijderen die toegang hebben tot of gegevens verwerken voor ongeautoriseerde doeleinden, constant gegevens bewaken en verifiëren om de relevantie te waarborgen en klantgegevens volledig en onomkeerbaar verwijderen als daarom wordt gevraagd. Organisaties moeten volledige risicobeoordelingen uitvoeren en samenwerken met partners, met name die verbonden zijn via API's (Application Programming Interface), om te zorgen voor voortdurende naleving.

Als ten slotte de gegevens van uw organisatie worden geschonden, moet u uw geassocieerde GDPR-supervisor onmiddellijk op de hoogte stellen om de schending en de gevolgen daarvan volledig te beschrijven. En u moet de gevolgen van de inbreuk communiceren aan getroffen klanten.

5. Amerikaanse klanten

Laroia zei dat het uiteindelijk een goed zakelijk inzicht is om klantinformatie te beschermen en goed te beheren. "Je moet dit bekijken vanuit het gezichtspunt van de eindklant, " zei Laroia. "Ze zijn de reden dat deze bedrijven actief zijn. Ja, hoewel het pijnlijk is voor het bedrijf, hebben bedrijven niet geïnvesteerd in technologie of gelijke tred gehouden met het tempo van innovatie."

Helaas staan ​​soortgelijke Amerikaanse voorschriften niet in de boeken. Bedrijven die zaken doen in New York onder de vereisten van Cyber ​​Security van het New York Department of Financial Services, zijn tot op zekere hoogte gedekt. Deze verordening vereist dat in New York gevestigde bedrijven een schriftelijk beleid of beleid implementeren en handhaven, goedgekeurd door een Senior Officer of de raad van bestuur van de Gedekte Entiteit (of een passend comité daarvan) of een gelijkwaardig bestuursorgaan. Dit beschrijft het beleid en de procedures van de Gedekte entiteit voor de bescherming van haar informatiesystemen en niet-openbare informatie die op die informatiesystemen is opgeslagen, volgens de schriftelijke wet.

Andere staten, zoals Colorado, hebben de implementatie van soortgelijke voorschriften besproken. Er bestaat echter geen ingrijpende Amerikaanse federale wetgeving. Maar Laroia is optimistisch dat de VS de volgende zullen zijn. "Amerikanen hebben dergelijke rechten niet, " zei hij. "Maar geef het vijf jaar."