GDPR of AVG, what’s the deal?!

Iedereen heeft er wel al iets over gehoord, of iets over gelezen… AVG of ook GDPR genoemd komt er aan!

De datum van 25 mei 2018 lijkt als een doemsdag boven ons allen te hangen… of toch niet?
In deze blogpost(s) gaan wij er even dieper op in en nemen we jullie mee doorheen deze nieuwe regelgeving die op ons allen invloed zal hebben.

Let’s get prepared together!

Ok, first off… wat is GDPR of AVG?

De AVG of Algemene Verordening Gegevensbescherming (in het Engels spreken we over GDPR: General Data Protection Regulation) is een wetgeving die door de EU voor haar lidstaten is opgesteld om het verwerken van persoonlijke gegevens te reguleren. Het vervangt eerdere wetgeving die van vóór het Cloud-tijdperk stamt waarin grootschalige verzameling en ‘mining’ van data – waaronder persoonlijke data –gemeengoed is geworden. De wet beoogt de risico’s van dergelijke ‘Verwerking’ te controleren.

Aan deze Europese wet liggen vier jaar van voorbereiding ten grondslag, waarin de Werkgroep ‘Article 29’ de regelgeving inzake bescherming van persoonlijke informatie in lijn bracht met de nieuwe, onvoorziene manieren waarop data tegenwoordig wordt behandeld.

Wat is er nieuw?

Alle lidstaten van de EU hebben al hun eigen, lokale wetten inzake bescherming van data (veelal vormgegeven naar twee niet-dwingende Directieven van de EU: de Data Protection Act uit 1998 en het daarop volgende EU Data Protection Directive, 1995. De lokale wetten verschillen echter aanzienlijk tussen de deelstaten, waardoor het voor bedrijven en overheden moeilijk is om grensoverschrijdend te werken als daar persoonlijke informatie mee is gemoeid.

De AVG verhelpt dit; het is één centraal uitgegeven wet die – zonder wijzigingen – effectief wordt in elk van de lidstaten, en zelfs daarbuiten als een niet-lidstaat persoonlijke informatie van EU-residenten verwerkt. Bijgevolg kunnen organisaties hetzelfde niveau van beveiliging verwachten in elk van de lidstaten als ook in staten buiten de EU voor zover het de bescherming van zulke data betreft.

Deze sterke vereenvoudiging zal de zakenwereld zo’n 2,3 miljard Euro op jaarbasis besparen, schatte de EU in haar Memo 17-1441.

Een ander nieuwtje is dat deze Regulation de boetes voor non-conformiteit en inbreuken vaststelt en niets meer te raden overlaat. De boetes zijn aanzienlijk en maken het overduidelijk dat de EU de bescherming van haar burgers uiterst serieus neemt.

Ook die rechten zet de AVG haarfijn uiteen zodat ook daarover geen misverstanden meer kunnen ontstaan. Het definieert bijvoorbeeld het recht om vergeten te worden en het recht om voldoende te worden geïnformeerd als er ongeoorloofde dingen met de data gebeuren.

Wat wordt beschouwd als “Persoonlijke Informatie”?

Tot de komst van de AVG kon een deelstaat zelf invulling geven aan de betekenis van de woorden ‘persoonlijke informatie’. De Verordening geeft een eenduidige definitie – en gaat daarin veel verder dan de meeste lokale wetgeving deed.

Persoonlijke informatie omvat nu: enige data waarmee een individu persoonlijk kan worden geïdentificeerd, maar ook datatypes zoals IP-adressen, waaruit persoonlijke informatie kan “afgeleid” worden. Naast ‘harde’ data zoals geboortedatum en beroep, omvat de term ook ‘zachte’ data zoals gezondheidsgegevens en informatie over de culturele achtergrond.
Zelfs als data is geanonimiseerd (of ‘pseudo-anonimised’), valt ze onder de definitie als het mogelijk is om de data zodanig te bewerken dat de personen met een redelijke graad van zekerheid identificeerbaar zijn.

Op wie is het van toepassing?

Net als de eerdere Directives, onderscheidt ook de AVG de Data-Verwerker (Processor) van de Data-Verwerkingsverantwoordelijke (Controller); beiden zijn onderworpen aan de Regulatie.

  • De Verwerkingsverantwoordelijke, of Controller, is de ‘eigenaar’ van de data. Dit is bijvoorbeeld de klant van Stone Internet Services die een online datingsite uitbaat en daartoe gegevens verwerkt zoals namen, persoonlijke voorkeuren en betaalgegevens. Om dit in goede banen te leiden, is de Verwerkingsverantwoordelijke verplicht om aan de Verwerker te melden hoe hij deze specifieke data moet verwerken – en zelfs waarom. De Verwerkingsverantwoordelijke moet ervoor instaan dat de verwerking wettig is, een specifiek (legaal) doel dient én transparant wordt uitgevoerd;
  • De Verwerker, of Processor, is de entiteit die de data verwerkt zoals de Verwerkingsverantwoordelijke die aanlevert. Als Stone Internet Services bijvoorbeeld de backup voor de klant in de voorgaande bullet beheert, zijn wij de Verwerker van die databewerking. Wij moeten dan logs bijhouden van die bewerking en zijn verantwoordelijk voor incidenten die aan Stone Internet Services verwijtbaar zijn;
  • De Verwerker moet er tevens voor zorgen dat elke derde partij die hij inhuurt in verband met de Verwerking, volledig conform de AVG werkt. Dergelijke partijen duidt de AVG aan met de term ‘sub-Verwerkers’ en de Verwerker is volledig verantwoordelijk voor inbreuken die volgen uit het inhuren van een sub-Verwerker.

De personen wiens persoonlijke informatie wordt verwerkt, duidt de Regulation aan als zijnde de ‘data subjects’ (of kortweg ‘subjects’).

Note: de AVG is eveneens van toepassing op Verwerkers en (sub)-Verwerkers buiten de EU als de bewerking plaatsvindt op persoonlijke data van residenten van de EU.

Belangrijk: wettige verwerking!

Het eerste dat de Verwerkingsverantwoordelijke moet vaststellen, is of de verwerking wel wettig is. De AVG laat ook hier niets aan de verbeelding over en definieert de volgende gevallen als ‘wettig’ (er moet aan tenminste één van de criteria worden voldaan).

  • Voldoen aan verplichtingen onder een overeenkomst – zeer relevant voor de relatie tussen een klant en Stone Internet Services, is de situatie waarin wij de Verwerkingsverantwoordelijke zijn van de persoonlijke informatie van vertegenwoordigers van die klant. Het gaat daarbij vooral om contactgegevens van personen bij adminstratie en projectmanagers, technische contactpersonen, enzovoort;
  • Actieve toestemming van het data subject – in plaats van slechts een ‘opt-out’ vakje niet aan te klikken of akkoord te gaan met Algemene Voorwaarden waarin tevens een opt-in is verstopt, moet het subject actief toestemming geven voor de verwerking. Deze toestemming moet bovendien deugdelijk worden opgeslagen – en moet eenvoudig weer kunnen worden ingetrokken. De verwerking is alleen geldig als aan al deze voorwaarden is voldaan;
  • Wettelijke verplichting – alle verwerking die men doet om aan andere wetten te voldoen, is uiteraard ook wettig onder de AVG;
  • Persoonlijke veiligheid / gezondheid – relevant in bijvoorbeeld de gezondheidszorg: persoonlijke informatie mag bewerkt worden als dit van essentieel belang is voor het leven van het subject;
  • Algemeen belang – verwerking die het publieke belang dient, is eveneens wettig onder AVG;
  • Legitiem belang van de Verwerkingsverantwoordelijke – de AVG staat ook verwerking toe als dit een legitiem belang van de Verwerkingsverantwoordelijke dient, zoals het kunnen identificeren van individuen die verantwoordelijk zijn voor hacking, fraude, enzovoort.

Voila, dit is het voor vandaag. We wouden jullie reeds een algemene introductie geven tot AVG / GDPR, zonder té diep te gaan. In onze volgende blogpost zullen we iets dieper ingaan op de mogelijke inbreuken en de regelgeving ook toepassen op onze samenwerking.

ISO 27001 certificatie voor Stone IS!

Databeveiliging en security management zijn zeer belangrijke begrippen in web hosting, aangezien wij als hostingbedrijf de informatie van heel wat privé personen en bedrijven huisvesten. Dat het voor ons niet enkel een loos begrip is, kunnen we nu ook aantonen door middel van onze ISO 27001 certificering welke we middels een diepgaande externe audit behaald hebben.

Meer concreet gaat het over het Certificate Information Security Managment Systems ISO 27001 certificaat. De ISO 27001 norm voor informatiebeveiliging biedt een model voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een managementsysteem voor informatiebeveiliging of een Information Security Management System (ISMS). Dit geeft onze klanten een uitgebreide garantie voor de veiligheid van hun hosting oplossingen bij Stone Internet Services.

Onze bedrijfsprocessen en de manier waarop we met informatie omgaan werden duchtig doorgelicht door KIWA en werden afgetoetst aan de NEN-EN-ISO 27001:2013 voor de scope hosting (http://diensten.kiwa.nl/brandveiligheid-en-beveiliging/managementsystemen-voor-informatiebeveiliging-iso-27001).

De ISO 27001 norm betreft alle aspecten van informatiebeveiliging op de volgende niveau’s:

  • Beleidsmatig (management)
  • Organisatorisch (verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen en overige bedrijfsmiddelen)
  • Personeel (huisregels, fouten, diefstal, fraude, misbruik)
  • Fysiek (sloten, brandbeveiliging)
  • Communicatie en operatie (beheer van systemen, processen en procedures)
  • Toegangscontrole (password, biometrie)
  • Systeem- en softwareontwikkeling en onderhoud (documentatie, processen)
  • Incident management (anticiperen en reageren op beveiligingsproblemen)
  • Continuïteit (calamiteitenvoorzieningen)
  • Regelgeving (Wet Computercriminaliteit, Wet Bescherming Persoonsgegevens)

Het certificaat wordt voor 3 jaar uitgereikt en houdt ook een constante tussentijdse opvolging in waarbij het naleven van de processen wordt afgetoetst.

U kan ons certificaat hier: http://www.kiwa.nl/gecertificeerde-bedrijven.aspx?certNr=k87026/01 raadplegen of bekijk de bijlage: ISO 27001 certificaat Stone Internet Services .

Op die manier weet u ook dat we zorgzaam en correct omgaan met processen waarbij financiële risico’s of risico’s ten aanzien van de privacy van gegevens in het spel zijn.