Algemene Verordening Gegevensbescherming van de EU: Vijf gevolgen voor de printindustrie

De Algemene Verordening Gegevensbescherming (AVG) van de EU werd op 25 mei 2018 van kracht. Als uw organisatie persoonlijke gegevens van individuen in de EU verwerkt, dient u de verordening na te leven om een boete te voorkomen die kan oplopen tot € 20 miljoen of 4% van uw wereldwijde jaaromzet.

Wat betekent de nieuwe verordening voor de printindustrie? Hier zijn vijf belangrijke uitgangspunten:

1. “Gegevensbeheerder” en “Gegevensverwerker” begrijpen
De eerste stap voor elk bedrijf in de printindustrie is begrijpen of het als een gegevensbeheerder of als een gegevensverwerker is geclassificeerd. Beide hebben verplichtingen onder de nieuwe verordening. Een “gegevensbeheerder” bepaalt de doeleinden waarvoor en de middelen waarmee persoonlijke gegevens worden verwerkt (bijvoorbeeld een bank) en een “gegevensverwerker” verwerkt die persoonlijke gegevens namens de beheerder (bijvoorbeeld een drukkerij).

Ongeacht hun classificatie moeten organisaties wellicht een Data Protection Officer (DPO) aanstellen. De DPO werkt samen met andere afdelingen en heeft taken zoals controle van de AVG-naleving, de organisatie en haar werknemers adviseren en informeren over hun verplichtingen, en optreden als het contactpunt voor toezichthoudende autoriteiten en individuen waarvan de gegevens worden verwerkt.

2. Records van verwerkingsactiviteiten
Onder de nieuwe verordening moeten zowel gegevensbeheerders als gegevensverwerkers records van gegevensverwerkingsactiviteiten bewaren en die records beschikbaar stellen aan toezichthoudende autoriteiten indien daarom wordt gevraagd.

Hoe moeten gegevensverwerkers de stroom van gegevens bijhouden? Eén manier is gegevenstoewijzingen uit te voeren die een uitgebreid overzicht bieden van de gegevens die worden verzameld, verwerkt en bewaard, en die de stroom van gegevens onder businessunits en subverwerkers of derden bijhouden. Deze toewijzingen zouden ook moeten worden herhaald, aangezien de manier waarop gegevens worden verzameld kan worden veranderd en aangezien systemen, processen of procedures kunnen worden gewijzigd tijdens de levenscyclus van de gegevens.

3. Rechten van individuen
Het is essentieel persoonlijke gegevens nauw te controleren en bij te houden om te voldoen aan de versterkte AVG-rechten van individuen, waaronder het recht om te worden geïnformeerd, het recht om gegevens te verplaatsen en het recht om gegevens te wissen (ook wel bekend als “het recht om te worden vergeten”).

Stel dat een individu wil dat zijn of haar gegevens worden gewist of, indien van toepassing, dat de verwerking van de gegevens wordt gestopt. Drukkerijen moeten, als gegevensverwerkers, gegevensbeheerders dan wellicht toegang tot die gegevens verlenen. Gegevensverwerkers zouden daarvoor specifieke persoonlijke gegevens moeten terugvinden om ze op verzoek van een gegevensbeheerder of individu te verwijderen of vernietigen.

4. Beveiliging en privacy volgens ontwerp
Het nieuwe AVG-tijdsbestek voor gegevenslekmeldingen, die gegevensbeheerders 72 uur de tijd geeft om gegevenslekken aan de toezichthoudende autoriteiten te melden, heeft aanzienlijk veel aandacht gekregen. De AVG vereist ook dat gegevensverwerkers gegevensbeheerders zo snel mogelijk op de hoogte stellen nadat ze zich bewust zijn geworden van een gegevenslek.

Om boetes en reputatiebeschadiging te voorkomen die een gegevenslek kan veroorzaken, moet de printindustrie een hogere beveiligingsnorm dan ooit tevoren naleven. Drukkerijen moeten geschikte technische en organisatorische maatregelen treffen om een mate van beveiliging te verzekeren die is afgestemd op de risico‘s.

Met de komst van het Internet of Things (IoT) en steeds meer draadloze apparaten met toegang tot netwerken zijn er nu nieuwe cyberbeveiligingsbedreigingen die een impact op printertechnologie hebben. Moderne printers en slimme apparaten vereisen een meerlaagse benadering van beveiliging die inbraakpreventie, apparaatdetectie, document- en gegevensdetectie en externe partnerschappen met beveiligingsspecialisten omvat. Het is noodzakelijk persoonlijke gegevens te beveiligen, bijvoorbeeld via codering. Wanneer gegevens niet meer nodig zijn, moeten ze op gepaste wijze worden gewist.

Daarnaast helpen productfuncties zoals toegangscontrole (waarbij alleen bevoegde gebruikers toegang hebben tot printers) en veilig printen (waarbij printopdrachten pas worden vrijgegeven zodra de gebruiker zijn of haar unieke pincode invoert) bezorgdheden omtrent beveiliging weg te nemen.

Naarmate het controleren van de beveiliging alsmaar lastiger wordt, zullen contracten waarschijnlijk steeds vaker SLA‘s (Service Level Agreements) voor beveiliging bevatten – met gegevenscodering en dubbele verificatie.

5. Netwerkconsolidatie
De vereisten van de AVG kunnen resulteren in meer business voor grotere OEM‘s. Klanten kiezen misschien voor de veiligheid van een one-stop shop die subverwerkers op alle geografische locaties beheert en infrastructuur, beveiliging en geautomatiseerde melding in een beheerde omgeving biedt.

De vereisten van de AVG kunnen resulteren in meer business voor grotere OEM‘s. Klanten kiezen misschien voor de veiligheid van een one-stop shop die subverwerkers op alle geografische locaties beheert en infrastructuur, beveiliging en geautomatiseerde melding in een beheerde omgeving biedt.

Nu de AVG van kracht is, dient u voorbereid te zijn op de aanzienlijke veranderingen die deze verordening teweegbrengt in de printindustrie. Het is tijd voor onder meer drukkerijen om hun gegevensverwerkingsactiviteiten te beoordelen, deskundig advies in te winnen en een systematische benadering te ontwikkelen.

Contact opnemen

Leg contact ›

 

Disclaimer

De content van dit artikel wordt uitsluitend voor algemene informatieve doeleinden aangeboden en is niet bedoeld om te worden gebruikt als vervanging van specifiek juridisch advies of specifieke juridische meningen. Xerox wijst alle aansprakelijkheid af voor enige acties die worden genomen of verzuimd op basis van de content van dit artikel.

Xerox heeft een functieoverschrijdend Core Privacy Team in dienst dat als taak heeft operationele gereedheid als wereldburger en dienstverlener te verzekeren. Wij verwachten volledig dat we onze nalevingsverplichtingen onder de Algemene Verordening Gegevensbescherming van de EU zullen kunnen nakomen.