De Algemene verordening gegevensbescherming of GDPR wordt op 25 mei 2018 van kracht in heel de Europese Unie. Sommigen beschouwen deze nieuwe reglementering als een opportuniteit, anderen zijn er beducht voor. Maar verlies of diefstal van gegevens of zelfs een cyberaanval kan iedereen treffen. Hoe kunt u zich tegen datalekken beschermen? Professor Jacques Folon, partner bij het managementconsultingbedrijf Edge Consulting, overloopt de mogelijkheden.

Wacht niet op een cyberaanval om actie te ondernemen

Preventie is belangrijk voor elke ondernemer, benadrukt Jacques Folon: “Iedereen, in elke sector, krijgt in mindere of meerdere mate te maken met persoonsgegevens zoals telefoonnummers, rekeningnummers, adressen, cameraopnames... Cyberbeveiliging belangt ons dus allemaal aan, ieder op zijn niveau. Iedereen die persoonsgegevens verzamelt of verwerkt, is verantwoordelijk voor de beveiliging van deze gegevens. Maar u wacht best niet op een cyberaanval om iets te ondernemen: in geval van klachten zal de Privacycommissie (die vanaf 25 mei 2018 de Gegevensbeschermingsautoriteit zal heten) controles uitvoeren bij getroffen bedrijven. Daarbij zal ze rekening houden met de preventieve maatregelen die het bedrijf al dan niet heeft genomen. Wie de regels niet naleeft, kan een boete verwachten die kan oplopen tot 4% van de jaaromzet”.

Passende maatregelen voor uw activiteitensector

De GDPR bepaalt dat ondernemers ‘technische en structurele maatregelen’ moeten nemen om een aangepast veiligheidsniveau te garanderen. Dat is een relatief vage, maar wel belangrijke bepaling. Het feit dat de verplichtingen niet exact worden afgebakend, maakt het moeilijk om te weten wat u precies moet doen om in regel te zijn.

In de praktijk zal het vereiste beveiligingsniveau voornamelijk afhangen van de activiteitensector en het type behandelde gegevens. Folon verduidelijkt: “De zaakvoerder van een kmo moet uiteraard niet dezelfde maatregelen nemen als de CIA of een ministerie. Een voetbaltrainer van wie de gegevens voor het aankopen van de uitrusting (maten van de truitjes, schoenmaat van de spelers …) gestolen worden, heeft minder te vrezen dan een dokterspraktijk die onvoorzichtig omspringt met vertrouwelijke persoonlijke gegevens. Voor de gegevensbeschermingsautoriteit zullen de bedrijven vooral een middelenverplichting hebben, dat betekent dat ze alle noodzakelijke inspanningen moeten doen om de veiligheid van de gegevens te garanderen”.

Intern actieplan: hoe pakt u dit aan?

Hoe kunnen kleine en grote ondernemingen alle noodzakelijke preventieve maatregelen nemen? Alle bedrijven die onder de nieuwe verordening vallen, moeten voor 25 mei 2018 een actieplan voor gegevensbeveiliging hebben opgesteld. Ook moeten ze kunnen bewijzen dat de persoonsgegevens goed beschermd zijn en niet misbruikt kunnen worden in geval van diefstal of een cyberaanval.

Dat plan kan onder meer bestaan uit:

  • technische maatregelen, zoals de installatie van een antivirusprogramma, een firewall, back-upmethoden;

  • een beleid om de toegang tot de gegevens te beschermen (versleuteling van vertrouwelijke gegevens, wachtwoorden, beheer van toegangsrechten);

  • sensibilisering van de medewerkers via een charter voor goede praktijken, toe te passen veiligheidsregels of interne opleidingen door specialisten;

  • een proces voor het beheer van incidenten, bijvoorbeeld via een inventaris van de te beschermen gegevens, een aanwezigheidslijst en verdeling van verantwoordelijkheden bij een cyberaanval, de interne of extern beschikbare capaciteit om zulke incidenten aan te pakken, de noodzakelijke uitrusting en technologie om cyberincidenten op te sporen en te beheren, een communicatiestrategie voor de betrokken interne en externe betrokken partijen en de overheid ...;

  • en last but not least, gezien de omvang en het belang van deze taak: de aanstelling van een interne GDPR-verantwoordelijke of, als dat niet mogelijk is, een externe specialist of consultant;

  • … .

De ISO 27002-norm bevat de richtlijnen en een checklist waarmee u kunt nagaan of uw bedrijf voldoet aan de eisen inzake informatiebeveiliging en goede managementpraktijken.

Wat als het kwaad geschied is?

Als het IT-systeem van uw bedrijf werd gehackt en er gegevens werden gestolen of verloren zijn gegaan, doet er goed aan onmiddellijk te reageren: “Wanneer u de schade vaststelt, hebt u 72 uur de tijd om dit aan de gegevensbeschermingsautoriteit te melden. Als u denkt dat er een inbreuk is gepleegd op de grondrechten en de fundamentele vrijheden van de betrokkenen, moet u hen allemaal op de hoogte brengen. De reputatie van uw bedrijf staat hierbij op het spel. Een klant, burger, gebruiker van een dienst ... kan immers een klacht indienen bij de gegevensbeschermingsautoriteit. Die zal dan een controle uitvoeren in het bedrijf. Vandaar het belang van preventieve maatregelen zo belangrijk zijn. Het bedrijf moet immers – aan de hand van documenten – kunnen aantonen dat het de vereiste preventieve maatregelen heeft genomen. Daarna is het aan de gegevensbeschermingsautoriteit om de volgende vraag te beantwoorden: “Waren de genomen maatregelen coherent en voldoende voor de activiteitssector van het bedrijf?"

Conclusie? Zoals u ziet zijn er voldoende redenen om u vragen te stellen en u zelfs zorgen te maken. Daartegenover staat dat u concrete en vooral preventieve, maatregelen kunt nemen in functie van uw activiteitensector.

Jacques Folon

Professor Jacques Folon geeft les over werkdynamiek in bedrijven aan de Université Saint-Louis in Brussel. Hij is ook partner bij Edge Consulting, een adviesbureau voor management.