De 4 belangrijkste wetten en regels die van invloed zijn op jouw IT omgeving

In Nederland en Europa zijn meerdere wetten die van invloed zijn op je IT omgeving en hoe je die moet inrichten. Voldoen aan deze wetten en regels is een belangrijk onderdeel van het ondernemen. De meeste van deze wetten richten zich op het beschermen van privacy.

De laatste jaren is het aantal wetten toegenomen en zijn ze ook steeds strenger geworden.

Hierdoor is ook de complexiteit toegenomen. Als je echter niet compliant bent kan je hoge boetes en fikse imagoschade verwachten.

Hieronder een overzicht van de 4 belangrijkste wetten waar je mee te maken hebt bij de inrichting van je IT omgeving:

Algemene Verordening Gegevensbescherming (AVG)

In het Engels heet deze wet General Data Protection Regulation (GDPR). De termen AVG en GDPR worden beide gebruikt en zijn dus hetzelfde.

AVG is sinds 25 mei 2018 de vervanger van de Wet Bescherming Persoonsgegevens (WBP)
De AVG is van toepassing op alle organisaties die persoonsgegevens verzamelen, bewaren, uitwisselen of verwerken. De wet meldplicht datalekkenen de cookiewetzijn aanvullend op de AVG.

De AVG heeft als voornaamste doel om de privacy van burgers te versterken en uit te breiden. Het geeft meer verantwoordelijkheid aan organisaties en meer bevoegdheden aan (Europese) toezichthouders. De wet regelt hoe gegevens met betrekking tot personen mogen worden opgeslagen en gebruikt.Bij overtreding van de AVG kan dit hoge boetes tot gevolg hebben tot 5% van je jaarlijkse omzet.

Als bedrijf heb je altijd met privacy te maken. Zowel bij potentiele klanten, huidige klanten als werknemers. De data moet goed beschermt zijn, maar kan wel overal staan;op uw server, computer, back-ups e.d.

Privacy borgen kent drie invalshoeken:

  • Je eigen doelstelling om de privacy veilig te houden en toch te kunnen gebruiken,
  • Je visie om alle data goed af te schermen tegen ‘hackers’, en andere cybercrime en
  • Je intentie om dit duidelijk te maken aan klanten en prospects. (privacy policy / cookie policy)

Een voorbeeld van het derde punt is dat potentiële klanten hun ‘persoonlijke gegevens’ niet willen geven omdat ze niet gespamd willen worden met marketing uitingen. Wanneer je duidelijkheid biedt over de privacy van hun gegevens en wat je er mee doet kan dit je zelfs helpen de informatie wel te krijgen.

Data die privacy gevoelig is staat vaak in verschillende databankenen op meerdere devices. Denk aan laptops, smartphones en servers. Het gaat ook vaak om grote hoeveelheden data en persoonlijke gegevens. Wereldwijd ziet men in dat privacy risico’s met zich meebrengt zoals afbreuk van reputatie en imago wanneer er iets misgaat. Je leest regelmatig over overheden en bedrijven die gehackt worden en waarbij persoonlijke data op straat komt te liggen. Het is dus belangrijk de databeheer goed te regelen en te beveiligen.

De Databankwet

Een databank is een set van gesystematiseerde informatie. De Databankwet zorgt voor bescherming van de investering, in tijd en geld, voor het verzamelen, rangschikken en ontsluiten van data die deze databank vormt.

Het gaat hier vaak om een grote hoeveelheid informatie die je in je onderneming gebruikt en die je ontsluit aan je medewerkers, klanten of prospects. Deze informatie kan van grote waarde voor je zijn wanneer deze slim is gerangschikt en ook de vindbaarheid of aanroepbaarheid van de data goed geregeld is.

Je kan hierbij denken aan je producten catalogus, je lijst met inkoop- of verkoopadressen, medische of financiële gegevens data opslag en het beheer van ‘online’ aangeboden sets goederen (Marktplaats). Maar ook andere zaken als data over de toegang tot gegevens of accounts via internet of intranet, betalingen en operationele aspecten bij hardware en applicaties. Als laatste kan je denken aan een online vakantiegids, een online nieuwsarchief, een bestand met huizen voor de verkoop ervan zoals Funda, een woordenboek (Van Dale), ‘detelefoongids.nl’, de GoudenGids.nl ofeen register van kentekens.

Wet meldplicht datalekken (WMD)

Deze wet houdt in dat je als bedrijf bij een (ernstig) datalek altijd moet documenteren en direct melding moet maken bij de Autoriteit Persoonsgegevens (AP). Soms moeten ook de mensen van wie de gegevens gelekt zijn geïnformeerd worden. Aan de hand van de documentatie moet de AP kunnen controleren of je aan de meldplicht datalekken hebt voldaan.

Je spreekt van een datalek bij toegang tot of vernietiging, wijziging of verlies van persoonsgegevens, zonder dat dit de bedoeling is.

Of je een datalek echt moet melden of alleen moet documenteren hangt af van de impact die het datalek potentieel heeft op de het persoonlijke leven van de betrokkenen. Hiervoor zijn door de Europese privacy toezichthouders de Guidelines meldplicht datalekkenopgesteld. Deze richtlijnen helpen je te bepalen of je een datalek moet melden of niet.

Elk kwartaal wordt er door het AP een overzichtgepubliceerd van alle gemelde datalekken.

Wanneer je een datalek ten onrechte niet hebt gemeld bij de AP, dan kan je een boete krijgen. AP kan ook een boete geven als je verzaakt een datalek te melden bij de betrokkene wanneer dit wel had gemoeten.

Wet computercriminaliteit (WCC)

Als iemand digitaal toegang krijgt tot uw computers of systemen zonder toestemming is dit strafbaar. Vervolging is echter niet mogelijk als u uw computers en systemen niet goed beveiligt heeft. Een wachtwoord en gebruikersnaam is hierbij het minimale wat nodig is. Zonder beveiliging kan er namelijk ook sprake zijn van toevallige toegang die “per ongeluk” is verkregen.

Het is dus belangrijk om te zorgen voor een goede toegangsbeveiliging en sterke encryptie op al je IT producten en zo je beveiliging op orde te hebben.

Hiernaast regelt de WCC ook bescherming tegen heling van computergegevens, handelsfraude en DDoS-aanvallen. De politie heeft daarom, onder strenge privacy-voorwaarden, meer bevoegdheden voor “terughacken” van pc’s en telefoons van criminelen. Denk hierbij aan ernstige misdrijven als mensenhandel en deelname aan terroristische organisaties.

Nog meer wetten

Naast deze 4 wetten zijn er nog tal van wetten en regels die van invloed kunnen zijn op je bedrijf. Denk hierbij aan de Auteurswet, de Octrooiwet, de Telecomwet, het ‘Cyber crime verdrag’ of bepaalde wetten uit het burgerlijk wetboek.

Wil je een IT omgeving die flexibel is, veilig en betrouwbaar? Een omgeving waarvan je zeker weet dat aan alle wetten en regels is gedacht en waarmee je zonder problemen compliant bent? Neem dan vrijblijvend contact op via info@kirema.nl