De definitieve analyse: wat je moet weten over de Europese GDPR-wetgeving
De Europese General Data Protection Regulation (GDPR) heeft verstrekkende gevolgen voor zowel cloudafnemers als -leveranciers, zo bleek eerder uit onze samenvatting van de nieuwe Privacywet. Nu de wet definitief is doorgevoerd, is het aan de securityafdelingen om eraan te voldoen, voor zover dat niet al is gebeurd.
Uit een recent onderzoek van TRUSTe blijkt dat ongeveer vijftig procent van de organisaties wereldwijd de GDPR kent. Rond de 65 procent daarvan heeft al actie ondernomen om zich erop voor te bereiden. Om binnen twee jaar volledig compliant te zijn, bevinden grote organisaties zich in een race tegen de klok. Het vinden van een data protection officer (DPO), het vastleggen van securityprocedures en
-processen, en ervoor zorgen dat data is te verwijderen als het gebruiksdoel is verlopen – al dat soort activiteiten kost zomaar de volledige twee jaar.
Wat is er nu eigenlijk veranderd sinds de laatste keer dat we over deze wetgeving schreven?
- Data Protection Impact Assessments (DPIA) moeten uitgevoerd worden als aan dataverwerking ‘mogelijk een hoog risico’ kleeft.
- Boetes zijn er op twee niveaus, afhankelijk van de overtreding:
- een maximale boete van twintig miljoen euro of vier procent van de wereldwijde omzet – de hoogste van de twee – voor zaken waarin de rechten van de betrokkenen zijn geschonden (denk aan het verwerken van data zonder legale grondslag of het uitvoeren van internationale datatransfers);
- een maximale boete van tien miljoen euro of twee procent van de wereldwijde omzet – de hoogste van de twee – voor zaken waarbij datacontrollers of -verwerkers niet voldoen aan hun verplichtingen. Hieronder vallen onder meer de volgende scenario’s:
- security is niet adequaat,
- men heeft geen DPO aangesteld,
- DPIA’s zijn niet op de vereiste plekken uitgevoerd,
- er is geen dataprocessorovereenkomst.
Andere veranderingen aan de GDPR zijn de toevoeging van biometrie aan de lijst van ‘speciale data’ en het maken van meer regels omtrent het beschermen van kindergegevens.
De uitdagingen rondom de cloud en schaduw-IT zorgen ervoor dat persoonlijke gegevens nog moeilijker zijn te tracken en te beheren. De securityteams met daarin datacontrollers moeten processen, beleid en producten nauwkeurig vastleggen om de rechten van de betrokkenen en de gegevensbeveiliging van processors te beveiligen. Laat ons weten wat de nieuwe wetgeving betekent voor jouw branche – discussieer mee op Twitter via @netskope.
Meer weten over de GDPR? En erachter komen wat jouw organisatie nodig heeft om vóór 2017 ‘cloud-ready’ te zijn? Lees onze whitepaper die is geschreven door onze Europese privacy- en legal-expert Jeroen Terstegge. Om te weten welke specifieke stappen je moet nemen, lees je onze GDPR cloud-compliance-checklist.
Thomas Kramps is Regional Director Benelux bij Netskope