cases to be proud of

Sincerus over de AVG ‘Uitstellen is geen optie meer’

De AVG staat voor de deur. Momenteel loopt de overgangsperiode nog, maar vanaf 25 mei 2018 treedt de nieuwe privacy verordening echt in werking. Zeker nu cloud computing een vlucht heeft genomen is het belangrijk dat organisaties tijdig de juiste maatregelen treffen. Bij de verwerking van data in de cloud, vervanging van eigen servers en opslag of het uitbesteden van bedrijfsprocessen zijn namelijk meestal persoonsgegevens betrokken. Juist omdat cloudleveranciers deze data opslaan of verwerken, is het belangrijk om goede afspraken te maken over aspecten zoals informatiebeveiliging en deze afspraken ook te toetsen.

Maar waar moet een organisatie alert op zijn om boetes en imagoschade te voorkomen? Wij vroegen het Hans Meijer, Consultant Security bij onze partner Sincerus. Deze partner legt zich sinds 2004 toe op informatiebeveiliging (IT Security) met kwalitatief hoogwaardige diensten bij het efficiënt identificeren, verminderen en voorkomen van (technische) IT-beveiligingsrisico’s.

Hoe groot is de impact van de AVG?

“Als bedrijven de Wet bescherming persoonsgegevens (Wbp) al goed hebben ingevoerd, valt de impact van de AVG wel mee. Het doel van de wet is de privacy van burgers beter te beschermen. Zij krijgen meer zeggenschap over wat er met hun gegevens gebeurt. Nieuw is bijvoorbeeld het recht op vergetelheid en dataportabiliteit. Organisaties zullen hiermee aan de slag moeten. Juist omdat data inmiddels bij verschillende partners en leveranciers in beheer is, is inzicht in de gehele keten die data doorloopt cruciaal. Organisaties die persoonsgegevens verwerken, moeten dus vastleggen welke gegevens worden verwerkt, met welk doel, wat de herkomst is en met wie deze worden gedeeld. En de Autoriteit Persoonsgegevens gaat dit alles strikter handhaven.

“Juist omdat data inmiddels bij verschillende partners en leveranciers in beheer is, is inzicht in de gehele keten die data doorloopt cruciaal.”

Hoe terecht is de angst voor hoge boetes?

“Hoewel ik niet verwacht dat er op 25 mei 2018 meteen met boetes gestrooid wordt, moet een organisatie wel kunnen aantonen dat ze maatregelen nemen om aan de AVG te voldoen. Dat geldt bijvoorbeeld voor de verwerkersovereenkomst. Daarbij speelt goede informatiebeveiliging een sleutelrol. Binnen de Wbp was ‘passende’ informatiebeveiliging nog voldoende. Omdat een organisatie zelf verantwoordelijk is voor de data, ook als deze bij een leverancier staat, moeten afspraken duidelijk, transparant en toetsbaar zijn. Je moet dus zelf controleren of een cloudleverancier aan de verplichtingen voldoet. Daarbij bieden certificeringen zoals ISO27001, ISO27002 en NEN7510 of BIR/BIG een fundament. Hoewel er wel verschillende modellen zijn, is er nog geen breed gedragen standaard voor een verwerkersovereenkomst. Standaardisatie is volgens mij wel wezenlijk voor de uitvoering van de AVG. Daarmee kunnen aspecten zoals informatiebeveiliging en aansprakelijkheid evenwichtig geregeld worden. Bovendien blijven dan de investeringen voor grote en kleine organisaties behapbaar.”

“Je moet dus zelf controleren of een cloudleverancier aan de verplichtingen voldoet. Daarbij bieden certificeringen zoals ISO27001, ISO27002 en NEN7510 of BIR/BIG een fundament.”

Wat wordt de rol van de functionaris gegevensbescherming?

“Organisaties die veel persoonsgegevens verwerken zijn binnen de AVG verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Die is verantwoordelijk voor de meldplicht van incidenten en bekleedt een onafhankelijke positie binnen de organisatie. Die onafhankelijkheid is heel belangrijk. Tegelijkertijd kan een FG alleen optimaal functioneren als privacy een integraal onderdeel is van de gehele organisatie. En dus onderdeel is van ieder proces. Alle medewerkers moet zich daarvan bewust zijn en dit onderwerp serieus nemen. Hoewel de FG dus onafhankelijk is, is samenwerking met de Security Officer onmisbaar. Effectieve informatiebescherming is een randvoorwaarde voor privacy. Samen kunnen en moeten zij de privacy en informatiebeveiliging borgen en in alle processen verweven. Wat dat betreft is het goed dat de nieuwe wetgeving organisaties dwingt om de bedrijfsprocessen met betrekking tot data goed onder de loep te nemen en de juiste maatregelen te nemen. Uitstellen is daarbij geen optie meer.”

Uiteraard is het voor een gespecialiseerde partij als Sincerus belangrijk samen te werken met partijen die, net als zij, veel belang hechten aan informatiebeveiliging. “We weten dat Fundaments met de ISO27001 en NEN7510 certificering voldoet aan onze beveiligingseisen en hier ook jaarlijks op getoetst wordt. Bovendien zijn wij bij Fundaments verzekerd van het feit dat alle data in Nederland blijft. Daarom is Fundaments een goede partner voor ons als Sincerus.”

Data in de Fundaments Cloud blijft gegarandeerd in Nederland en de integriteit van bedrijfs- of klantgegevens blijft gewaarborgd. Daarom hanteren we een verwerkersovereenkomst met onze partners en zijn onze datacenters ISO27001 en NEN7510 gecertificeerd. Wilt u graag meer weten hierover? Neem dan gerust contact met ons op via 088 4227 227 of mail naar info@fundaments.nl.