De EU AVG luidt een nieuw tijdperk van gegevensbescherming in, waarin naleving van de vinkjes wordt vervangen door begrip en verantwoordelijkheid.
In januari hield Elizabeth Denham, de Britse Information Commissioner, een toespraak over de AVG en verantwoordingsplicht voor het Institute of Chartered Accountants.
De boodschap was duidelijk:
“De nieuwe wetgeving legt een verantwoordelijkheid op voor bedrijven om de risico’s die zij voor anderen creëren te begrijpen, en om die risico’s te beperken. Het gaat erom de wet niet langer te zien als een afvinklijstje, maar in plaats daarvan te werken aan een raamwerk dat kan worden gebruikt om een cultuur van privacy op te bouwen die de hele organisatie doordringt.”
UK Information Commissioner
De AVG-verordening vervangt de huidige wet bescherming persoonsgegevens in slechts 10 maanden tijd. Het richt zich op u als gegevensbeheerder van Persoonlijk identificeerbare informatie (PII) gerelateerd aan klanten, verkoopvooruitzichten en personeel. Het richt zich ook op jou als gegevensverwerker van andere waardevolle gegevens.
De enorme omvang van de AVG en de gevolgen ervan voor bedrijven van elke omvang beginnen velen nu pas duidelijk te worden.
Omdat u geen gegevensprivacy kunt hebben zonder gegevensbescherming, en u kunt geen gegevensbescherming hebben zonder informatiebeveiliging. Dieper dan dat omvatten de AVG-vereisten processen, mensen en technologie, die de hele organisatie bestrijken en voor velen een culturele ommekeer, of zelfs 'C'-verandering, vereisen.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Hoewel Denham spreekt over kaders, het beperken van risico's en het creëren van culturen, wordt dit momenteel niet erkend GDPR ‘framework’ om te volgen of zelfs een certificering die kan worden aangetoond aan toezichthouders en klanten dat u aan de regels voldoet.
Het voordeel van het volgen van een raamwerk is dat de bewezen structuur al is gedefinieerd, wat een enorme hoeveelheid tijd bespaart. En waarom zou je, als de tijd dringt, een raamwerk bouwen als er al iets is dat je een belangrijke weg daarheen kan brengen?
sommige citeer NIST Cyber Security en Cyber Essentials als bruikbare benaderingen. Helaas zijn ze op zichzelf niet geschikt om te voldoen aan de wettelijke vereisten rond informatiebeveiliging voor de AVG.
Echter, ISO 27001 doet voldoet aan veel van de AVG-vereisten en is een overkoepelend raamwerk voor het beheer van het Information Security Management System (ISMS). Het is ook het internationaal erkende ISMS-framework voor beste praktijken, het enige dat processen, mensen en technologie omvat bij het beperken van risico's rondom alle waardevolle informatiemiddelen, bijvoorbeeld IP en financiële gegevens, en niet alleen PII.
Door ISO 27001 te gebruiken, kunt u uw AVG-uitdaging omzetten in een kans.
Zorg ervoor dat uw organisatie niet langer alleen aan de regelgeving voldoet vereisten voor het aantonen van een extern geaccrediteerd ISMS vergt net iets meer inspanning. Het zal echter grotere organisatorische voordelen opleveren in de vorm van nieuwe zakelijke kansen, betere gegevensprivacy en informatiebeveiliging in uw eigen organisatie en die van uw toeleveringsketen, en uiteindelijk ook minder risico's.
Uiterlijk mei 2018 moeten organisaties kunnen aantonen dat zij hieraan voldoen GDPR Anders riskeren we niet alleen kostbare overtredingen, maar ook onderzoeken van toezichthouders en een veel straffere toepassing van boetes. Het Britse Information Commissioners Office helpt organisaties met de voorbereiding op de AVG met een aantal eenvoudige stappen toolkits voor zelfevaluatie om de gereedheid voor de AVG te meten op het gebied van gegevensbescherming, informatiebeveiliging en archiefbeheer.
Toezichthouders zullen erop toezien dat u de datarisico's begrijpt en beheert, dat u over gedocumenteerde procedures beschikt en dat u volledig beschikt bewustzijn van het personeel en betrokkenheid bij gegevensprivacy. Met ISMS.online kunt u uw AVG-voorbereiding versnellen om aan de komende deadlines te voldoen.
En als u er klaar voor bent om nog een paar stappen te zetten, kunt u een ISO 27001 afgestemd ISMS en behaal externe certificering om op eenvoudige wijze vertrouwen in u en uw toeleveringsketen aan te tonen.
