Skip links
GDPR: Wat je moet weten over de nieuwe wet

GDPR: Wat je moet weten over de nieuwe wet

Deze blogpost geeft inzicht in de nieuwe Europese Unie Algemene Gegevens Verordening (GDPR), hoe dit gevolgen heeft voor Nodes en de digitale en mobiele industrie.

Over de nieuwe wet gegevensbescherming

De volgende wijzigingen treden in werking vanaf 25 mei 2018:

  1. Uitbreidingen in persoonsgegevens. waaronder nu IP-adressen, cookies en andere generieke gegevens die aan de gebruiker zijn toegekend
  2. Hogere boetes, sancties beginnen bij 10 miljoen euro of 2% van de bruto inkomsten en kunnen oplopen tot 20 miljoen euro of 4% van de bruto inkomsten.
  3. Dekking van buiten de EU gesloten overeenkomsten indien gegevens binnen de EU worden overgedragen of opgeslagen
  4. Voor het opstellen van profielen en het omgaan met Big Data is waarschijnlijk de uitdrukkelijke toestemming van elke gebruiker vereist.
  5. DPO (Data Protection Officer) toekennen, zowel bedrijven die optreden als Data Controller en als Data Processor moeten een DPO toekennen.
  6. Wanneer een inbreuk plaatsvindt, moet dit binnen 72 uur aan de DPO worden gemeld.
  7. De verwerking van persoonsgegevens vereist een expliciet toestemming mechanisme voor de verzameling en verwerking van gegevens
  8. Wat definieert een inbreuk? “Een inbreuk op de beveiliging die leidt tot de onwettige verspreiding, het verlies, de wijziging, de niet-geautoriseerde vrijgave van of de toegang tot verstrekte, opgeslagen of anderszins verwerkte persoonsgegevens”.

Wat zullen de gevolgen hiervan zijn voor bedrijven en dienstverleners?

Bedrijven

Bedrijven zullen zich meer bewust moeten maken van wie hun gegevens beheert. Als bedrijven openbare API’s of andere diensten hebben, blijft de verzoeker de Data Controller. De uitdaging zal zijn dat het bedrijf nu een deur naar hun systemen hebben geopend.

Dit betekent in wezen dat ze ervoor moeten zorgen dat hun beveiliging altijd up-to-date is. Dit betekent ook dat bedrijven een grondiger veiligheidsonderzoek gaan moeten doen voordat derden toestaan om gegevens op hun server op te vragen en aan te passen. 

Digitale bureaus zien het nu al als een uitdaging om momenteel API’s en diensten van bedrijven te beheren. Deze nieuwe laag beveiliging zal het er niet eenvoudiger op maken.

Dienstverleners

We stelden Judopay twee vragen over hoe dienstverleners zoals zij reageren:

1. Wat doet Judo om hun stack en protocollen klaar te houden voor GDPR?

“Bij Judopay zijn veiligheid en sterke datamanagement-processen de kern van het DNA. Als verwerker van financiële transacties verzamelen wij verschillende soorten gegevens die onder de gegevensbeschermingsautoriteit vallen.

Deze data versterkt onze geavanceerde technologie voor fraudeopsporing, hieronder vallen klantgegevens, consumentengegevens en personeelsgegevens. Als een wereldwijd betalingsbedrijf hebben we de meest geavanceerde controles op alle persoonlijke gegevens binnen en buiten de EU die we verzamelen en verwerken, waarbij de toegang tot onze databases, sterk wordt beperkt.

Een aantal voorbeelden: We hebben een PCI Level 1 data-omgeving en hebben strenge veiligheidscontroles rondom onze code en productie, met regelmatige externe penetratietesten en veiligheids-en risicobeoordelingen.”

2. Ziet Judopay bezwaren tegen de nieuwe regelgeving vanuit het oogpunt van de dienstverleners?

In de VS hebben we al grote veranderingen van bedrijven gezien als het gaat om de gegevens die ze verwerken en opslaan, vaak door samen te werken met derden zoals Judopay. Om aan de nieuwe GDPR-vereisten te voldoen, zullen veel bedrijven hun manier van informatie verzamelen, opslaan en verwerken drastisch moeten verbeteren en zich meer moeten focussen op gegevensbescherming. 

Zij zullen veel transparanter moeten omgaan met het informeren van consumenten over de gegevens die wij verzamelen. Voor meer informatie over Judopay kunt u hun website hier bezoeken.

Nodes en GDPR?

Nodes gebruikt Awazon Web Services (AWS) als hosting oplossing. Dit betekent dat Nodes wordt beschouwd als Data Controller (Richtlijn 95/46/EG). AWS zijn de Data Controllers van de fysieke gegevensopslag waar Nodes Data Controllers voor de applicatie zijn. 

Dit betekent dat als iemand de server-room van Amazons binnenloopt en een server of harde schijf steelt, Amazon een boete krijgt. Nodes is verantwoordelijk voor het aanleggen van nieuwe beveiligingspatches rond de frames en de stack die we gebruiken.

Server-laag

We streven ernaar om altijd de best practices van AWS te volgen, daarom zijn al onze servers geplaatst in een VPC (Virtual Private Cloud), met strikte toegangsregels. De toegang tot onze servers is beveiligd met 4096-bit versleutelde sleutels en een wachtwoord die aan elke operationele werknemer  wordt verstrekt.  

We loggen zoveel mogelijk: webapplicaties, toegang en dergelijken op externe systemen, zodat we altijd een digitale footprint hebben buiten de servers, om te weten wat er gaande is, en het uitvoeren van regelmatige audits van deze logs. 

Alle leden van ons Operations-team zijn getraind om op een veilige manier om te gaan met data en servers, en blijven altijd op de hoogte van de laatste thread analyses en best practices op het gebied van beveiliging. Alle systemen worden regelmatig gepatcht door Puppet.

Onze gegevens bevinden zich alleen in de EU (AWS: eu-west-1 Ierland – Hetzner: Duitsland).

Applicatie-laag

Nodes gebruikt momenteel Laravel 5.3 als ons server framework. Laravel werkt regelmatig zijn frameworks bij, Nodes loopt altijd voorop in deze updates en gebruikt een deel van het onderhoudspakket van onze klanten (in overleg met hen) om ervoor te zorgen dat alle patches en frameworks up-to-date zijn. 

Nodes heeft een operationeel team in ons kantoor in Kopenhagen dat dagelijks onze stack en hosting bewaakt. Lees hier meer over AWS gegevensbescherming, voor meer achtergrondinfo lees hier ook hun whitepaper. Voor meer informatie kun je contact met ons opnemen bij Nodes Agency.

 

Call Now ButtonNeem contact op!