Informatietechnologie speelt een onwaarschijnlijk belangrijke rol in onze samenleving. Zowel in onze persoonlijke levens als in het bedrijfsleven is technologie en informatie niet meer weg te denken. Maar als je organisatie met persoonsgegevens werkt, hoe waarborg je dan de privacy? Ook in geval van (bedrijfsgevoelige) informatie is het belangrijk om duidelijke regels en afspraken te maken over hoe er met deze informatie wordt omgegaan.
In deze miniserie informeren wij je de komende weken over alles rondom de nieuwe Wetgeving Informatiebeveiliging die vanaf 25 mei 2018 van kracht is. Door je goed te informeren over zaken als gegevensbescherming, privacy, continuïteit, databeveiliging en kritische succesfactoren voor de implementatie van de nieuwe wet- en regelgeving zorg je dat je goed bent voorbereid.
Wat is de Wetgeving Informatiebeveiliging?
Je kan informatiebeveiliging en privacy niet meer negeren. Het is belangrijk dat je bewust en op strategisch niveau nadenkt over welke gegevens in jouw organisatie verwerkt worden, hoe deze beveiligd kunnen worden en hoe de privacy van persoonsgegevens kan worden gegarandeerd.
MKB-bedrijven vallen net als andere bedrijven en instellingen onder de Wetgeving Informatiebeveiliging. Hierin worden wetten en regels op organisatorisch en technisch niveau beschreven waaraan organisaties moeten voldoen om beschikbaarheid, veiligheid, vertrouwelijkheid en integriteit van informatie te waarborgen. Dit zorgt voor continuïteit van informatie en informatievoorziening.
Wat verandert er in de nieuwe wetgeving?
Vanaf 25 mei 2018 wordt er een vernieuwde wet van kracht die bepaalt dat directeuren en aandeelhouders aansprakelijk zijn. Dat houdt in dat je geconfronteerd wordt met een flinke dosis regels en wetgeving waaraan jij je dient houden.
Naast alle andere werkzaamheden die jouw aandacht verdienen, is het een behoorlijke uitdaging om goed op de hoogte te blijven van alle ontwikkelingen in de wet- en regelgeving en ervoor te zorgen dat maatregelen en procedures worden geïmplementeerd.
Het belang van goede implementatie
Wanneer je niet voldoet aan de wetgeving kun je een boete krijgen die kan oplopen tot €20 miljoen of 4% van de jaaromzet. Belangrijker is de reputatieschade die jouw bedrijf kan oplopen zodra een misstand gemeld wordt. Deze schade kun je al oplopen bij de eerste waarschuwing, omdat dit publiekelijk bekend wordt gemaakt.
Drie resultaatgebieden binnen de nieuwe wet
De maatregelen en procedures in de nieuwe wetgeving focussen op de volgende drie resultaatgebieden:
- Informatiebeveiliging
Hierbij gaat het om de beveiliging van informatie om de continuïteit binnen je organisatie te waarborgen. Dit is een taak van de directeur en het managementteam.
- Privacy en databeveiliging
Als directeur en aandeelhouder bepaal je welke persoonsgegevens de organisatie nodig heeft om succesvol te kunnen zijn in de markt. Voor al deze informatie moet je de privacy en veiligheid kunnen garanderen. Dat geldt ook als de verwerking van die gegevens buiten je bedrijf plaatsvindt, ongeacht of dat binnen of buiten de EU gebeurd.
- ISO27001 implementatie
De implementatie van een Plan-Do-Check-Act cyclus in je bedrijf helpt je te voldoen aan de eisen van ISO27001. Hiermee wordt het gat tussen de huidige stand van zaken binnen je onderneming en de wettelijke eisen gedicht en voor de toekomst onderhouden. Wanneer zich een melding voordoet, wordt door middel van een audit bekeken of en in welke mate je onderneming ISO27001 compliant is.