Dropbox Business Blog Nederland — Uw gegevens begrijpen

Je leest nu Uw gegevens begrijpen
Delen 
17. januari 2018 — 4 minuten leestijd

Uw gegevens begrijpen

Organisaties die een vestiging hebben in de EU en die persoonsgegevens verwerken in dat kader, zijn vanaf 25 mei 2018 in vrijwel alle gevallen verplicht om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) . Daarnaast is de AVG nu ook van toepassing op organisaties die buiten de EU gevestigd zijn voor zover zij goederen en diensten aanbieden aan, of gedrag monitoren van personen in de EU. Als uw organisatie binnen deze categorieën valt, dan dient u als één van de essentiële eerste stappen in uw reis naar naleving uw gegevens te begrijpen .

Uit recente onderzoeken blijkt dat relatief weinig bedrijven zijn voorbereid: uit een YouGov-onderzoek dat in juni 2017 werd gepubliceerd kwam naar voren dat met minder dan een jaar te gaan, 62% van de senior decision makers in Britse ondernemingen aangaf dat ze zelfs nog nooit van de AVG had gehoord. Ter voorbereiding op de naleving zal uw organisatie de persoonsgegevens moeten evalueren die worden gebruikt: welke gegevens worden verwerkt, waar, door wie en vooral: hoe deze zijn beschermd.

Voordat u gegevens echt goed kunt beschermen, moet u weten wat u precies verwerkt en waarom. De AVG is van toepassing op persoonsgegevens, dat is grofweg elke informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon. Binnen de categorie van persoonsgegevens zijn er specifiekere regels voor bijzondere categorieën gegevens, zoals de etnische of religieuze achtergrond van het individu. Dergelijke gegevens kunnen alleen onder strengere voorwaarden worden verwerkt. Voor uw organisatie is het belangrijk om te begrijpen welke soorten persoonsgegevens u verzamelt en of enige van deze gegevens onder de bijzondere categorieën vallen als gedefinieerd in de AVG. De aard van de beschermingsmaatregelen die moeten worden ingesteld zijn verder afhankelijk van de aard, omvang van de context en het doel van de verwerking.

Zodra u hebt vastgesteld welke persoonsgegevens door uw organisatie worden opgeslagen en verwerkt, wilt u weten waar deze worden opgeslagen en verwerkt. In het bijzonder is het de vraag of dit uitsluitend gebeurt binnen uw organisatie of dat u externe verwerkers of leveranciers gebruikt. Als persoonsgegevens door externe partijen worden verwerkt, moet u ervoor zorgen dat zij die gegevens passend beschermen zoals contractueel is overeengekomen en dat ook zij  zorgen dat zij per mei 2018 de AVG zullen naleven. Denk eraan dat de vereisten van de AVG ook van toepassing zijn als de persoonsgegevens buiten de EU worden opgeslagen, bijvoorbeeld in een datacenter in de VS. Zoals nu ook al het geval is, zullen rechtmatige mechanismen voor internationale doorgifte van gegevens nog steeds vereist zijn, zoals modelcontractclausules of certificering conform het EU-US Privacy Shield  voor de doorgifte van persoonsgegevens van de EU naar de VS.

Na de eerste twee stappen kunt u vervolgens in meer detail onderzoeken wie toegang heeft tot de persoonsgegevens die door of ten behoeve van uw organisatie worden verwerkt. Verschillende leden van uw team zouden toegang nodig kunnen hebben tot verschillende gegevenstypen. Dit heeft gevolgen voor de manier waarop u gegevens dient te beheren en beschermen. Uw organisatie dient de toegang tot gevoelige persoonsgegevens zoveel mogelijk te minimaliseren. Zowel binnen uw organisatie als bij het inzetten van externe verwerkers of leveranciers is het nuttig als u in staat bent om gemakkelijk toegangsrechten tot gegevens op te leggen en goed zicht heeft op wie toegang heeft.

Tenslotte is het belangrijk om te begrijpen welke beveiligingsmaatregelen zijn ingesteld om de gegevens van uw organisatie te beschermen. Grijp de AVG aan als kans om de beveiligingsmaatregelen te beoordelen die u voor uw gegevens hebt ingesteld en of deze geschikt zijn voor het beoogde doel. Denk eraan dat de eindgebruiker vaak de zwakste schakel in de beveiligingsketen is, en dat eenvoudig te implementeren maatregelen - zoals twee-factor verificatie en trainingen om gebruikers bewust te maken van de beveiliging om vaak voorkomende phishingaanvallen te voorkomen - uiterst effectieve middelen kunnen zijn. Nu u een beter beeld hebt van de persoonsgegevens die door uw organisatie worden gebruikt, dient u uw beleid in geval van een datalek opnieuw te beoordelen om te kijken hoe uw gegevens het beste kunnen worden beschermd in het geval van een datalek.

Het voldoen aan de AVG kan niet worden bereikt met het afvinken van een one-size-fits-all checklist, dus elke organisatie dient haar eigen werkwijze te beoordelen op basis van  de vereisten van de nieuwe verordening. Het overzicht van het wat, waar en wie ten aanzien van uw gegevens - plus begrip van de beveiligingsmaatregelen die uw organisatie heeft ingesteld - zal een belangrijke stap zijn in uw reis naar naleving.

Klik hier voor meer stappen die u moet overwegen om u te helpen voor te bereiden op de AVG en voor meer informatie over de manier waarop Dropbox u kan helpen uw gegevens te beschermen en te beheren.

Meer Tips

Let op: soms bloggen we over nieuwe producten of eigenschappen voordat ze uitgebracht zijn,
ende timing en extra functionaliteit van deze eigenschappen kunnen afwijken van wat hier wordt gedeeld.
De beslissing om onze diensten af te nemen moet worden gemaakt op de producten
en kenmerken die op dat moment beschikbaar zijn.