Met een voortdurende toename van cybercriminaliteit heeft de EU nieuwe wetgeving opgesteld die gevolgen zal hebben voor elk bedrijf. De Algemene Verordening Gegevensbescherming (AVG) en de Richtlijn Netwerk- en Informatiebeveiliging (NIS) zullen bedrijven verplichten om te voldoen aan, of te handelen met betrekking tot, bepaalde cybersecurity-eisen. Wat betekenen ze voor kleine bedrijven en hoe ze hun beveiliging beheren??

In essentie zijn de nieuwe voorschriften erop gericht een meer veiligheidsbewust bedrijfsleven te creëren. Het wettelijke kader dat momenteel van toepassing is op alle vormen van digitale gegevens die uw bedrijf kan hebben over klanten of commerciële partners, moet nu worden versterkt. Uw bedrijf heeft misschien al de zogenaamde 'cookiewet' behandeld die nu opt-ins voor uw website regelt en hoe persoonlijke informatie wordt gebruikt. De GDPR gaat veel verder.

Adam Palmer, directeur van internationale overheidsrelaties bij FireEye, lichtte toe: "De NIB-richtlijn is puur gericht op veiligheid, terwijl de GDPR gericht is op gegevensprivacy, die elk verschillende regels en reikwijdte hebben.De GDPR is van toepassing op elke entiteit die de persoonsgegevens van EU-ingezetenen hadden betrekking op het aanbieden van goederen of diensten of om hun gedrag te controleren.

"De NIB-richtlijn is nauwer van toepassing op" exploitanten van essentiële diensten "en digitale-dienstverleners met 50 of meer werknemers.De NIB-richtlijn vereist dat entiteiten die onder het toepassingsgebied van de NIB-richtlijn vallen, 'state of the art'-beveiligingsmaatregelen implementeren die' een beveiligingsniveau passend bij het risico '. "

De veranderingen die Brussel in essentie wil maken, maken alle informatie die betrekking heeft op een klant of zakenpartner 'persoonlijk' en als zodanig moet er een sterke beveiliging op worden toegepast. Met zo veel persoonlijke informatie die elke seconde in de EU wordt gedeeld, is de hoop gewekt dat de nieuwe regelgeving die informatie veel veiliger zal maken.

De GDPR-regels zijn van toepassing op middelgrote bedrijven met 250 werknemers of meer. En de vermelde boetes lijken hoog te zijn op € 20 miljoen (ongeveer £ 15,8 miljoen of $ 23,2 miljoen) of 4% van de jaaromzet, afhankelijk van welke het hoogste is.

Volledige industrieën worden getransformeerd door gegevens te gebruiken om gepersonaliseerde producten en diensten te creëren

Voordelen van een proactieve aanpak

Jason du Preez, CEO van Privitar: "Onze wereldeconomie is afhankelijk van datagedreven besluitvorming: volledige industrieën worden getransformeerd door gegevens te gebruiken om gepersonaliseerde producten en diensten te creëren in elke denkbare sector." De GDPR vertegenwoordigt een grote verandering in hoe groot data analytics-investeringen kunnen worden ontworpen, geleverd en benut.

"Organisaties hebben twee jaar om aan GDPR te voldoen, maar degenen die proactief zijn, kunnen een concurrentievoordeel behalen door het vertrouwen van klanten te winnen. Hoe meer klanten begrijpen hoe hun gegevens worden gebruikt en voor welk doel, hoe kleiner de kans is dat ze zich afmelden omdat ze begrijp de regeling niet op zijn plaats. "

Voor de meeste organisaties die onder de reikwijdte van de nieuwe regelgeving vallen, is een nieuwe functie van functionaris voor gegevensbescherming (DPO) nodig als uw bedrijfsprocessen de opslag en manipulatie van bepaalde gegevenscategorieën vereisen.

Andy Green, specialist in technische inhoud, Varonis, legt uit: "De GDPR is een enorme, complexe wet. En de schrijvers van de regelgeving wisten dat kleine of kleine bedrijven niet alles zouden kunnen verwerken.

"Ze maakten enkele uitzonderingen op de zwaardere eisen, en ze gaven de DPA's (Digital Protection Authorities) bijvoorbeeld ook de bevoegdheid om rekening te houden met de omvang van het bedrijf in termen van toepassing van de wet - proportionaliteit, in hun woorden.

"KMO's zijn bijvoorbeeld in het algemeen ontheven van de vereiste om een ​​DPO voor gegevens aan te nemen. Er zijn ook uitzonderingen gemaakt voor DPIA's (Data Protection Impact Assessments), wat een nieuwe vereiste is voor het documenteren van de gevolgen van het verzamelen van zeer gevoelige gegevens. ook verminderd voor het MKB.

"Mijn algemene gevoel is dat als een kleine / middelgrote onderneming de ideeën van 'Privacy By Design' volgt, waarnaar veel wordt verwezen in de GDPR, alles in orde komt - vooral de principes van het minimaliseren van het verzamelen van persoonlijke gegevens en het houden van gegevens consumentendossiers langer dan nodig is. "

  • Wijzigingen in de Europese verordening gegevensbescherming: een blik op de GDPR