Vijf trends om extra op te letten in het jaar van de GDPR

4 min lezen - gepubliceerd op 27 februari 2018

Het is je vast niet ontgaan: de GDPR (General Data Protection Regulation of in het Nederlands de Algemene Verordening Gegevensbescherming) is van kracht. Er zijn strengere regels omtrent het beschermen van de persoonsgegevens. De sancties voor overtreden van de privacyregels zijn een stuk hoger. Dat er veel verandert op het gebied van de bescherming van persoonsgegevens staat dus buiten kijf. Des te belangrijker om je aandacht te richten op de veranderingen die er echt toe doen! Welke trends omtrent de bescherming van persoonsgegevens mag je niet negeren in 2018?

1. Aanvallen met ransomware – Wat te doen?

In 2017 werd de wereld opgeschrikt door aanvallen met ransomware. Ransomware is software die de toegang tot data vergrendelt. De rechtmatige eigenaar van de data krijgt pas weer toegang tot zijn data, als hij ‘losgeld’ betaalt aan de criminelen achter de ransomware. Een van de grootste aanvallen in 2017 werd uitgevoerd met het programma Wannacry. Dit programma trof onder meer een groot aantal ziekenhuizen in Groot-Brittannië.De verwachting is dat er in 2018 meer van dit soort aanvallen plaatsvinden en dat deze destructiever zijn. Criminelen gaan dreigen om onrechtmatig verkregen data te publiceren. Ook komen er mogelijk aanvallen waarbij de ransomware pas na een tijdje actief wordt. Hierdoor kan de ransomware back-ups aantasten. Daarnaast gaat ransomware gebruikmaken van machine learning. Deze ‘slimme ransomware’ kan zichzelf bijvoorbeeld herprogrammeren. Dit maakt het moeilijker voor virusscanners om de ransomware te detecteren.De GDPR vereist dat organisaties technische maatregelen nemen die passen bij de stand van de techniek. Zo moet jouw organisatie onder andere ook machine learning toepassen, alleen dan om ransomware buiten de deur te houden. Organisatorische maatregelen op dit gebied gaan vooral om bewustwording van de medewerkers. Weten zij hoe ze ransomware herkennen en weten zij wat ze moeten doen?

2. Klanten zijn zich bewust van hun rechten - Waar krijg je mee te maken?

Uit een onderzoek van KPMG blijkt dat veel mensen niet weten zijn wat de GDPR precies inhoudt. Zodra zij dit wel weten, blijken ze geïnteresseerd:

  • 51% van de ondervraagden wil gebruik maken van het recht op vergetelheid;

  • 60% van het recht op inzage;

  • 56% van het recht op overdraagbaarheid;

  • 59% van het recht op rectificatie.

Dit betekent nogal wat voor jouw organisatie! Naast data-incidenten met veel media-aandacht kunnen er aanvragen binnenkomen van klanten, die gebruik willen maken van hun rechten. Hoe organiseer je dit?Iedere organisatie heeft dus strakke processen nodig om deze aanvragen af te handelen. Voor het recht op inzage en het recht op overdraagbaarheid is het belangrijk om snel gegevens uit verschillende applicaties te kunnen halen. Deze gegevens moeten leesbaar zijn voor mensen en/of computers (in het geval van overdracht). En hoe zorg je ervoor dat alle gegevens van een klant verwijderd worden, wanneer hij/zij daarom vraagt? Kan dat niet vanwege technische of administratieve redenen, zoals bij een bewaarplicht? Wees hier dan duidelijk en transparant over.

3. Tweede factor authenticatie wordt standaard – Hoe zet je dit in?

Beveiliging met alleen een wachtwoord is al lang niet meer voldoende. De meeste wachtwoorden van gebruikers zijn zwak, en veel gebruikers hebben dezelfde wachtwoorden voor meerdere systemen. In het ergste geval weten collega’s elkaars wachtwoorden. Soms staan deze zelfs op briefjes, die op het bureau liggen. Tegelijkertijd vinden mensen het vervelend wanneer ze elke keer weer opnieuw moeten inloggen. Beide problemen los je op door gebruik te maken van twee factor authenticatie (2FA). Hierbij wordt iets dat de gebruiker weet (het wachtwoord) aangevuld met een extra beveiliging door middel van iets dat de gebruiker heeft (bijvoorbeeld een mobiel apparaat) of wat de gebruiker ‘is’ (zoals een vingerafdruk of een irisscan). Dankzij de voortschrijdende techniek wordt het eenvoudiger om systemen te beveiligen met meerdere methoden. 2FA wordt in steeds meer organisaties gebruikt. Je zou verwachten dat dit meer gedoe oplevert. Het zorgt er echter juist voor dat de gebruikers met minder wachtwoorden hoeven te werken, omdat single sign-on in combinatie met 2FA veilig is. 

4. Voorkomen wordt belangrijker dan genezen – Hoe heb je ‘aantoonbaar’ de controle?

Zelfs in het zeldzame geval dat er in jouw organisatie nooit datalekken en andere incidenten voorkomen, voldoe je niet automatisch aan de GDPR. Je moet aantonen dat je er als organisatie alles aan doet om ongeautoriseerde toegang tot persoonsgegevens uit te sluiten.Dit betekent dat je actief maatregelen moet nemen die het risico op datalekken verkleinen. Deze maatregelen moet je ook documenteren om daarmee te laten zien dat jouw organisatie er op ingericht is een incident te voorkomen. Vraag jezelf ook af wat het antwoord is op onderstaande vragen:

  • Hoe heb je je medewerkers getraind zodat zij zich bewust zijn van de risico’s?

  • Heb je technische maatregelen genomen, zoals een afzonderlijk wifi-netwerk voor gasten, dat afgeschermd is van andere apparaten?

  • Welke waarschuwingen krijgen medewerkers als zij e-mails versturen naar onjuiste adressen?

Tot slot is het belangrijk dat er protocollen zijn, zodat duidelijk is wat er moet gebeuren wanneer er toch een incident plaatsvindt. 

5. De mens als zwakste schakel bij bescherming persoonsgegevens – Wat kan je hiervan leren?

Er is veel mogelijk door technische maatregelen te nemen, maar de menselijke kant van gegevensbescherming blijft belangrijk. Een groot deel van de datalekken is immers het gevolg van menselijke fouten. Denk bijvoorbeeld aan het per ongeluk versturen van een dossier naar een verkeerd e-mailadres of het delen van gevoelige informatie via een publieke dienst.De sleutel tot succes is om met een persoonlijke aanpak te komen, om bewustwording bij medewerkers te creëren. Hiermee zorg je ervoor dat de medewerkers die binnen jouw organisatie met persoonsgegevens in aanraking komen, op de hoogte zijn van de nieuwe privacyregels en jullie (aangepaste) privacybeleid.

  • Zorg ervoor dat je medewerkers op de hoogte zijn van de nieuwe regels die gelden. Organiseer bijvoorbeeld een intern event met een externe spreker die de nieuwe regels van GDPR toelicht, en vertel daarna over jullie nieuwe beleid.

  • Stel per afdeling of team een projectleider aan, die verantwoordelijk is voor de implementatie van dit beleid.

  • Laat elke afdeling of team een inschatting maken van wat wel en niet geoorloofd is.

  • Laat medewerkers meedenken over aanpassingen die nodig zijn om de bescherming van persoonsgegevens optimaal te waarborgen.

  • De projectleider coördineert het geheel en zorgt voor een voortgangsrapportage.

Bedrijven die voorop willen lopen op het gebied van privacy zetten vol in op bewustwording bij alle medewerkers. Het is verstandig software te gebruiken die medewerkers op de achtergrond actief assisteert bij het maken van de juiste keuzes. Alleen als deze software de gebruiker niet in de weg zit en de werkzaamheden niet onnodig complex maakt, levert het een bijdrage aan een veilige werkomgeving. Hoe kom je het jaar van de GDPR ongeschonden door? Bewustwording rondom privacy en de GDPR/AVG is een laag die om de noodzakelijke organisatorische en technische maatregelen zit. Dit is zo belangrijk omdat 46% van de datalekken ontstaat doordat medewerkers niet bewust omgaan met gevoelige gegevens. Maar hoe pak je dit aan? In dit e-book geven wij een antwoord op deze vraag en geven je praktische tips.

Download het e-book

Picture of Francis Mustert

Francis Mustert

Francis studeerde Communicatiewetenschap aan de Universiteit van Amsterdam. Na haar stage bij Vodafone kreeg ze de smaak te pakken en startte zij haar Master Corporate Communication. Daarna ging zij in MKB aan de slag waar zij zelfstandig alle facetten van de marketing en communicatie opzette. Bij ZIVVER vindt ze de gedreven ondernemendheid aanstekelijk. Het meeste energie krijgt zij van kansen signaleren en ten volste benutten. Waarom? Omdat stilstand achteruitgang betekent. In haar vrije tijd staat Francis graag op het volleybalveld, maar geniet ook van de derde helft. Daarnaast maakt ze graag één keer per jaar een mooie reis.