AVG normen binnen de IT dienstverlening:

Als ICT dienstverlener krijgt u zeker regelmatig te maken met het verwerken van bedrijfsgevoelige gegevens. Hieronder vallen ook de persoonsgegevens. Tot 2018 was er de Wet Bescherming Persoonsgegevens (WBP). Deze wet beschermde burgers tegen het onrechtmatig gebruik maken van hun persoonlijke gegevens. Nadat deze wet in 2018 kwam te vervallen kwam daar een nieuwe wet voor in de plaats. Te weten de Algemene Verordening Gegevensbescherming, afgekort als AVG. Maar wat betekenen de regels van de AVG voor werkzaamheden binnen de ICT? Sinds de Europese privacy verordening, ook wel GDPR genoemd, in werking trad zijn alle bedrijven in Europa die persoonsgegevens digitaal verwerken verplicht aan deze regelgeving te voldoen. Dat geldt niet alleen voor gegevens van de computer, tablet, smartphone of internet maar ook voor gemaakte prints die persoonsgevoelige informatie bevatten.

Privacy by default:

Elke IT dienstverlener dient gebruik te maken van een verwerkersovereenkomst. Hierin zijn verplichtingen en afspraken over de verwerking van persoonsgegevens tussen de verwerker en de verwerkingsverantwoordelijke vastgelegd. Op deze manier weet de privépersoon precies voor welk doel zijn gegevens gebruikt worden. Ook bij het ontwerpen van nieuwe software of applicaties wordt rekening gehouden met de privacy. Gebruikte persoonsgegevens kunnen worden versleuteld om de privacy van privépersonen te waarborgen. Met privacy by default worden zo min mogelijk persoonsgegevens gevraagd en verwerkt.

Meldingsplicht datalekken:

Hackers stelen steeds vaker persoonsgegevens om die online te zetten of te verkopen aan derden. Dit gebeurt niet alleen met gegevens van privépersonen maar ook met gegevens van bedrijven of organisaties. IT security heeft dan ook een hoge prioriteit Melding maken van een datalek was al verplicht vanaf 2016. Met de doorvoering van de AVG zijn deze regels aangepast en uitgebreid. Nu is de werkgever ook verplicht om datalekken vast te leggen en de betrokken personen erop te wijzen dat er sprake was van een datalek.

Vier belangrijke regels om aan de AVG norm te voldoen:

Het voldoen aan deze regels vraagt veel nauwkeurigheid van de hele organisatie. Vaak worden er binnen één organisatie meerdere IT toepassingen gebruikt voor het opslaan, analyseren en beheren van persoonsgegevens. Al deze IT toepassingen moeten dus ook aan de normen van de AVG blijven voldoen. Alleen zo wordt de organisatie geholpen om AVG compliant te zijn, en te blijven. In deze vier stappen waarborgt u de AVG binnen het ICT bedrijf.

Identificeren, welke gegevens heeft u en waar zijn deze opgeborgen

Beheren, Hoe worden persoonsgegevens gebruikt en benaderd

Beveiligen, stel controles in om privacy schendingen te voorkomen

Rapporteren, Rapporteer inbreuk op privacygegevens en bewaar documentatie

Voor alle IT dienstverleners is de AVG een uiterst belangrijk aandachtspunt. Het is immers zeer belangrijk om een goede inventarisatie te hebben van de manier waarop u namens de opdrachtgever diverse persoonsgegevens verwerkt. Wanneer uw organisatie hier niet aan voldoet kunt zowel u als de opdrachtgever beboet worden door Autoriteit Persoonsgegevens.