Weblog

De AVG wetgeving

agree-1728448_1280.jpg

Wie is er niet mee bezig? Sommigen bedrijven vinden het een gedrocht. Het ultieme Brussels bewijs voor werkverschaffing en een legal’s paradise. De andere kant is dat het uitgangspunt wel degelijk hout snijdt: Burgers, werknemers, patiënten en andere betrokkenen wiens gegevens ergens worden opgeslagen, hebben het recht te vertrouwen dat dit op een integere, veilige en betrouwbare manier gebeurt.

 

Waarom wordt iets van mij gevraagd? Hoe lang wordt dat opgeslagen? Wie mag erbij? Is het veilig? Kan ik zien wat er van mij bewaard is? Dit zijn legitieme vragen. En daar werken we hard aan.

De Europese GDPR wet (en de Nederlandse vertaling: AVG) gaat ervan uit dat er zich vroeg of laat een beveiligingsincident voordoet en stelt verwerkers de vraag: ‘Wat doen jullie om dit te voorkomen?’.

 

De wet verplicht verwerkers om zelf na te denken over de manier van beveiligen, toegang tot data etc. en hier ‘passende’ maatregelen voor te nemen zonder te dicteren hoe dit moet. Wat passend is, is per soort gegeven, per risico of dreiging afhankelijk. Daarbij gelden een hoop nuanceringen en is het tevens de markt die ook bepaalt wat ‘standaard’ is. Enkele jaren geleden was nagenoeg alleen internetbankieren beveiligd met een SSL-certificaat en nu bijna iedere website. De lat die aangeeft wat standaard is, komt steeds hoger te liggen.

 

Kijk ook recent naar onze overheid die een Russische virusscanner in de ban doet en Chinese it-apparatuur (USB-sticks etc.) verbiedt.

 

Ook HRvan.nu is afgelopen jaar bezig geweest met de GDPR. We hebben onze processen onder de loep genomen: Wat slaan we op? Waarom? Wie kan daarbij? Is dat noodzakelijk? Welke risico’s en dreigingen zijn er en hoe kunnen we die ondervangen?

 

Het heeft geresulteerd in verbeterde processen, aangepaste werkinstructies en technische (beveiligings-) maatregelen. Zo wordt de data van onze klanten opgeslagen in Nederland in een zeer geavanceerde ISO27001 en ISAE3402 hosting. Ook zijn er binnen het (beveiligde) lokale kantoornetwerk geen gegevens van betrokkenen meer te vinden.

 

Uiteraard zijn we hier nooit mee klaar. Het is een proces waar we al mee bezig waren en continu mee bezig blijven. Periodiek zullen we je op de hoogte houden van nieuwe innovaties op dit gebied. En soms ook niet; want er zijn ook andere type mensen die deze blogs lezen ;-)