Overleg vandaag nog met SRS over hoe wij uw organisatie kunnen ondersteunen bij het leveren van veilige en compliant diensten.
De Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) heeft een diepgaande invloed op de gegevensbeveiligingspraktijken van organisaties die de persoonsgegevens van EU-burgers behandelen, opslaan of verwerken. De AVG, die sinds mei 2018 van kracht is, versterkt de gegevensbeschermingsrechten van EU-burgers en verduidelijkt de regelgevingsrichtlijnen voor internationale ondernemingen.
Met het oog op de versterking van de rechten van EU-burgers op het gebied van gegevensbescherming beoogt de AVG ook de regelgevingsrichtlijnen voor het internationale bedrijfsleven te verduidelijken. Toch is de wet complex en zien veel organisaties wereldwijd het als een uitdaging om deze na te leven. De kerngedachte van de AVG, namelijk dat “eenieder recht heeft op bescherming van zijn persoonsgegevens”, is echter een idee dat altijd centraal heeft gestaan in de beste praktijken van de ITAD-industrie.
Deze regelgeving is gericht op bedrijven met een vestiging in de EU. Deze regels zijn echter ook van toepassing op vestigingen buiten Europa als zij;
Van deze drie categorieën is de verwerking van persoonsgegevens het minst eenvoudig. In het kader van deze vereisten wordt de definitie van persoonsgegevens uitgebreid en worden de rechten van personen versterkt. De AVG definieert persoonsgegevens als elke vorm van identificeerbare gegevens. Dit kunnen basisgegevens zijn zoals naam, e-mailadres of telefoonnummer, maar ook andere aanvullende elementen zoals locatie, geslacht, leeftijd en IP-adres. Zelfs als u gegevens heeft die niet direct gekoppeld zijn aan een identiteit, kunnen ze toch beschouwd worden als “persoonsgegevens” onder de AVG. Bovendien vereisen gevoelige categorieën, zoals gezondheidsgegevens, een speciale behandeling.
De juridische en financiële gevolgen van de wet zijn ingrijpend. De gevolgen van niet-naleving zijn ernstig, inclusief boetes tot €20.000.000 ($24.490.600) of 4% van de wereldwijde omzet, evenals het risico van collectieve rechtszaken van slachtoffers van datalekken. Overtreders zullen ook onvermijdelijk te maken krijgen met verstoring van de bedrijfsvoering en schade aan hun reputatie.
Elk bedrijf, ongeacht zijn omvang, zal een functionaris voor gegevensbescherming (DPO) moeten aanstellen om toezicht te houden op de naleving van de voorschriften. Deze persoon kan een werknemer of een derde partij zijn met “uitgebreide kennis van gegevensbeschermingswetten en -praktijken” (hoewel de lidstaten de mogelijkheid hebben strengere criteria te eisen). De DPO is verantwoordelijk voor het opleiden van personeel en het uitvoeren van interne audits, alsmede het informeren van de toezichthouders als en wanneer zich een datalek voordoet. Deze meldingen moeten “onverwijld” en binnen 72 uur na de vaststelling van de overtreding worden gedaan, ongeacht of deze het gevolg is van een ongeval of van nalatigheid. In sommige gevallen zal de functionaris voor gegevensbescherming ook verplicht zijn de personen van wie de gegevens gecompromitteerd zijn, op de hoogte te brengen.
Sinds de stemming in het Verenigd Koninkrijk over “Brexit” in juni is er ook veel discussie geweest over de gevolgen daarvan voor de invoering van het GDPR (AVG) in het Verenigd Koninkrijk. Momenteel is de regering voornemens het GDPR ten uitvoer te leggen, aangezien dit van kracht zal worden voordat het Verenigd Koninkrijk de EU verlaat. Er zijn geen plannen om de verordening te wijzigen, hoewel daar op de lange termijn geen rekening mee is gehouden.
Het meest verontrustende risico van niet-naleving zijn de hoge boetes. Sancties voor het overtreden van de wet kunnen oplopen tot vier procent van de jaarlijkse inkomsten van een internationale onderneming. Bijkomende risico’s zijn onder meer;
De risico’s zijn groot en daarom wordt er zoveel aandacht besteed aan deze nieuwe verordening. Uw grootste kans om uw blootstelling te verlagen, zelfs bij niet-naleving, is om te laten zien dat u een proces op zijn plaats hebt en preventieve maatregelen neemt. Op het gebied van ontmanteling van IT-apparatuur kunt u uw ITAD-beleid bijwerken (of maken) om deze maatregelen op te nemen als manier om uw proces te documenteren.
Het is begrijpelijk dat de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) een onderwerp is waarover intensief wordt gediscussieerd en geëvalueerd door professionals op het gebied van de ontmanteling van IT-apparatuur (ITAD). De verordening, die sinds mei 2018 van kracht is, is van toepassing op alle organisaties – publiek en privaat, waar ook ter wereld – die de persoonsgegevens van EU-burgers behandelen, opslaan of verwerken.
De brede reikwijdte van de AVG lijkt ontmoedigend, maar dit veranderende landschap biedt ook grote kansen en groei voor ITAD-aanbieders. Gezien de technologische eisen en risico’s die aan het wissen van gegevens verbonden zijn, zullen veel bedrijven en agentschappen dat werk waarschijnlijk uitbesteden aan een aanbieder met reeds geaccrediteerde activiteiten. Hoe verontrustend de geldboetes ook zijn voor grote bedrijven, ze zouden voor kleinere bedrijven wel eens totaal verlammend kunnen zijn. Omdat de ITAD-industrie goed gepositioneerd is om de veiligheid van persoonsgegevens in heel Europa te waarborgen, zijn we goed gepositioneerd om te voldoen aan – en zelfs te groeien door – de AVG.
Om volledig in overeenstemming te zijn met de AVG moeten ITAD-aanbieders zowel technische als organisatorische maatregelen nemen om de persoonsgegevens van EU-burgers volledig te beveiligen. Accreditaties van de industrie kunnen de garantie bieden dat persoons- en bedrijfsgegevens veilig worden beheerd. ISO 27001 bevestigt dat een bedrijf binnen een geschikt kader werkt voor het beheren van risico’s op het gebied van gegevensbeveiliging, waarbij processen regelmatig worden herzien en verbeterd. Certificeringen zoals deze zijn daarom nuttige indicatoren dat een ITAD-aanbieder voldoet aan kritische elementen van de AVG-regelgeving.
ITAD-aanbieders moeten ervoor zorgen dat hun interne organisatiesystemen aan dezelfde onaantastbare normen voldoen als hun technische systemen. Deze organisatorische mandaten helpen het risico van een datalek te beperken en ITAD-aanbieders in overeenstemming te houden met AVG. Gelukkig zijn sommige van deze maatregelen vrij eenvoudig.
ITAD-aanbieders zullen ook zorgvuldig moeten nadenken over de dekking van hun cyberaansprakelijkheidsverzekering. Aanbieders dienen te beschikken over een passende bescherming en verzekering die wordt ondersteund door een professionele, gespecialiseerde ondersteuningsdienst bij incidenten en schade. Dit is te verkiezen boven mogelijk langdurige traditionele contractuele verhaalsmogelijkheden.
Waar uw bedrijf zich ook bevindt, u dient het volgende in acht te nemen met betrekking tot uw ITAD-programma:
Als u de mogelijkheid hebt om persoonsgegevens van een Europese burger op te slaan of te verwerken, is het raadzaam om nu te handelen. Het beheer van gegevens op afgedankte IT-apparatuur vormt slechts één deel van de AVG en uit de statistieken blijkt dat drie van de vier bedrijven op dit moment nog niet voorbereid zijn. Bewustwording is een begin, nu is het tijd om actie te ondernemen.
Overleg vandaag nog met SRS over hoe wij uw organisatie kunnen ondersteunen bij het leveren van veilige en compliant diensten.