Voor een security consultant is de Internationale Dag van de Privacy niet zo heel bijzonder. Bescherming van gevoelige data is toch iedere dag je uitdaging?

En eigenlijk vraagt 2018 ook om veel meer dan een Dag van de Privacy. Is 2018 voor jou als security consultant niet gewoon het ‘Jaar van de Privacy’? Want naast veel andere IT trends staat dat onderwerp het komende jaar nadrukkelijk op de agenda.

Nog een paar maanden voor de AVG

Op de Internationale Privacy Dag (28 januari) hebben we nog exact 117 dagen tot 25 mei 2018. Op die datum moet iedereen voldoen aan de nieuwe AVG, de Algemene Verordening Gegevensbescherming. Die nieuwe wetgeving is erop gericht dat we op een veilige manier omgaan met de persoonsgegevens van klanten, medewerkers, patiënten of leerlingen. Voor een security consultant betekent dat wellicht behoorlijk wat extra werk. En leuke kansen bij uitdagende projecten uiteraard.

Wat betekent de AVG voor de security consultant?

De AVG is de Nederlandse implementatie van wat binnen de EU bekend staat als de GDPR, de General Data Protection Regulation. Een Europese set regels voor de bescherming van persoonsgegevens. Feitelijk is het hele vakgebied even stevig op de schop genomen om de zwaar verouderde wetgeving van de verschillende EU-lidstaten met één nieuwe wet op te frissen.

Dat begint met het feit dat organisaties veel beter in beeld moeten krijgen welke gegevens men eigenlijk verzamelt. En voor welk doel. Ook moet de betreffende persoon er expliciet toestemming voor hebben gegeven. ‘Zomaar’ om klantgegevens vragen omdat de marketingafdeling dat wil, is niet langer een optie. Als de klant erom vraagt, moeten we bovendien per omgaande kunnen vertellen welke gegevens van hem of haar zijn verzameld. En desgewenst moeten we die gegevens ook direct weer kunnen verwijderen.

Privacy by Design en Privacy by Default

Al onze systemen en processen moeten in mei zodanig zijn ontworpen en georganiseerd dat ze voldoen aan de ‘Privacy by Design’ en ‘Privacy by Default’ richtlijnen. Vanaf het eerste klantcontact tot en met het afscheid moet de beveiliging van gegevens gegarandeerd zijn. Met de privacy instellingen standaard op het hoogste niveau.

Pittige boetes en bewijslast

De AVG is geen papieren tijger. Niet een kwestie van formulieren invullen, handtekeningen verzamelen en het geheel in een diepe la opbergen. De boetes bij een daadwerkelijk datalek kunnen desastreus zijn voor je opdrachtgever. Afhankelijk van de mate waarin het bedrijf zelf nalatig is geweest, kunnen ze oplopen tot 20 miljoen euro. Of 4 procent van de wereldwijde jaaromzet als dat een hoger bedrag oplevert. Daarnaast is er een nadrukkelijke meldplicht en zal in sommige gevallen ook de buitenwereld worden ingelicht. Die naming and shaming zijn vaak nog erger dan een boete.

Zijn bedrijven klaar voor de AVG?

Belangrijk dus om goed voorbereid te zijn op de AVG. Maar zijn we dat ook? Dat blijkt tegen te vallen. Onderzoeksbureau Team Vier onderzocht dit recent in opdracht van Microsoft. Ze ondervroegen meer dan 600 directeuren en IT-managers. Iets meer dan 20 procent weet zeker dat ze er op 25 mei klaar voor zijn. Een kleine 15 procent denkt niet klaar te zijn of weet dat zelfs zeker. De overige bijna 65 procent vermoedt tegen die tijd ‘waarschijnlijk wel’ aan de eisen te voldoen. Waarbij een behoorlijk aantal overigens aangeeft niet exact te weten wáár ze dan precies aan moeten voldoen…

Als security consultant klaar voor de AVG?

Heb jij een meivakantie gepland dit jaar? Of sla je als security consultant in het jaar van de privacy een keertje over? Er is namelijk een hoop te doen op het gebied van IT-beveiliging. We hebben je nodig!