De algemene verordening gegevensbescherming (AVG), het herkenningspunt van de Europese Unie data Privacy wet, die in 2018 van kracht werd. Toch hebben veel organisaties nog steeds moeite om aan de nalevingsvereisten te voldoen, en de gegevensbeschermingsautoriteiten van de EU aarzelen niet om boetes uit te delen.

Zelfs de grootste bedrijven ter wereld zijn niet vrij van GDPR-problemen. Ierse toezichthouders Meta kreeg een boete van 1.2 miljard euro opgelegd in 2023. De Italiaanse autoriteiten wel onderzoek naar OpenAI wegens vermoedelijke overtredingen, en gaat zelfs zo ver dat ChatGPT kortstondig wordt verboden.

Veel bedrijven vinden het moeilijk om de AVG-vereisten te implementeren, omdat de wet niet alleen complex is, maar ook veel aan discretie overlaat. De AVG bevat een litanie aan regels voor de manier waarop organisaties binnen en buiten Europa omgaan met de persoonlijke gegevens van EU-inwoners. Het geeft bedrijven echter enige speelruimte bij de manier waarop zij deze regels toepassen.

De details van het plan van elke organisatie om volledig AVG-compliant te worden, zullen variëren op basis van de gegevens die de organisatie verzamelt en wat zij met die gegevens doet. Dat gezegd hebbende, zijn er enkele kernstappen die alle bedrijven kunnen nemen bij de implementatie van de AVG: 

• Inventariseer persoonsgegevens
• Identificeer en bescherm gegevens uit speciale categorieën 
• Gegevensverwerkingsactiviteiten controleren
• Toestemmingsformulieren van gebruikers bijwerken  
• Creëer een registratiesysteem
• Wijs compliance-leads aan
• Stel een gegevensprivacybeleid op
• Zorg ervoor dat externe partners hieraan voldoen
• Bouw een proces voor impactbeoordelingen op gegevensbescherming
• Implementeer een responsplan voor datalekken
• Maak het voor betrokkenen gemakkelijk om hun rechten uit te oefenen
• Informatie implementeren veiligheids maatregelen

Moet ik AVG implementeren? 

De AVG is van toepassing op elke organisatie die de persoonlijke gegevens van de Europese inwoners, ongeacht waar die organisatie gevestigd is. Gezien het onderling verbonden en internationale karakter van de digitale economie, omvat dat tegenwoordig veel – misschien zelfs de meeste – bedrijven. Zelfs organisaties die niet onder de reikwijdte van de AVG vallen, kunnen de vereisten ervan overnemen om de gegevensbescherming te versterken.

Meer specifiek is de AVG van toepassing op alle gegevensbeheerders en gegevensverwerkers gevestigd in de Europese Economische Ruimte (EER). De EER omvat alle 27 EU-lidstaten plus IJsland, Liechtenstein en Noorwegen. 

A gegevensbeheerder is elke organisatie, groep of persoon die persoonlijke gegevens verzamelt en bepaalt hoe deze worden gebruikt. Denk aan: een online retailer die de e-mailadressen van klanten opslaat om orderupdates te sturen.

A data Processor is elke organisatie of groep die gegevensverwerkingsactiviteiten uitvoert. De AVG definieert ‘verwerking’ in grote lijnen als elke actie die met gegevens wordt uitgevoerd: opslaan, analyseren, wijzigen, enzovoort. Tot verwerkers behoren derde partijen die persoonsgegevens namens een verwerkingsverantwoordelijke verwerken, zoals een marketingbedrijf dat gebruikersgegevens analyseert om een ​​bedrijf te helpen de belangrijkste demografische gegevens van klanten te begrijpen.

De AVG is ook van toepassing op verwerkingsverantwoordelijken en verwerkers die buiten de EER gevestigd zijn, als zij aan minimaal één van de volgende voorwaarden voldoen: 

• Het bedrijf biedt regelmatig goederen en diensten aan aan inwoners van de EER, zelfs als er geen geld van eigenaar wisselt.
• Het bedrijf houdt regelmatig toezicht op de activiteiten van inwoners van de EER, bijvoorbeeld door het gebruik van trackingcookies. 
• Het bedrijf verwerkt persoonsgegevens namens verwerkingsverantwoordelijken in de EER. 
• Het bedrijf heeft werknemers in de EER.

Er zijn nog een paar dingen die het vermelden waard zijn over de reikwijdte van de AVG. In de eerste plaats gaat het alleen om de persoonsgegevens van natuurlijke personen, ook wel genoemd betrokkenen in GDPR-taal. A natuurlijke persoon is een levend mens. De AVG beschermt de gegevens van rechtspersonen, zoals bedrijven, of overledenen niet.

Ten tweede hoeft iemand geen EU-burger te zijn om AVG-bescherming te genieten. Ze hoeven alleen maar een formele inwoner van de EER te zijn.

Ten slotte is de AVG van toepassing op de verwerking van persoonsgegevens om vrijwel elke reden: commercieel, academisch, overheids- en anderszins. Bedrijven, ziekenhuizen, scholen en overheden zijn allemaal onderworpen aan de AVG. De enige verwerkingsactiviteiten die zijn vrijgesteld van de AVG zijn nationale veiligheids- en wetshandhavingsactiviteiten en puur persoonlijk gebruik van gegevens.

Implementatiestappen AVG 

Er bestaat niet zoiets als een one-size-fits-all AVG-nalevingsplan, maar er zijn wel enkele fundamentele praktijken die organisaties kunnen gebruiken om de inspanningen voor de implementatie van de AVG te begeleiden.

Voor een lijst met de belangrijkste AVG-vereisten, zie de Controlelijst voor naleving van de AVG. 

Inventariseer persoonsgegevens  

Hoewel de AVG niet expliciet een data-inventarisatie vereist, beginnen veel organisaties hier om twee redenen. Ten eerste helpt het weten welke gegevens het bedrijf heeft en hoe deze worden verwerkt de organisatie een beter inzicht te geven in de nalevingslasten. Een bedrijf dat gezondheidsgegevens van gebruikers verzamelt, heeft bijvoorbeeld sterkere bescherming nodig dan een bedrijf dat alleen e-mailadressen verzamelt.

Ten tweede maakt een uitgebreide inventaris het gemakkelijker om te voldoen aan verzoeken van gebruikers om hun gegevens te delen, bij te werken of te verwijderen. 

Een gegevensinventaris kan details vastleggen zoals:

• Soorten verzamelde gegevens (gebruikersnamen, browsegegevens)
• Datapopulaties (klanten, medewerkers, studenten)
• Hoe gegevens worden verzameld (evenementregistraties, landingspagina's)
• Waar gegevens worden opgeslagen (on-premises servers, clouddiensten)
• Het doel van gegevensverzameling (marketingcampagnes, gedragsanalyse)
• Hoe gegevens worden verwerkt (geautomatiseerde scores, aggregatie)
• Wie heeft toegang tot gegevens (werknemers, leveranciers)
• Bestaande waarborgen (encryptie, multi-factor authenticatie) 

Het kan moeilijk zijn om persoonlijke gegevens op te sporen die verspreid zijn over het netwerk van de organisatie in verschillende workflows, databases, eindpunten en zelfs schaduw-IT-middelen. Om gegevensinventarisaties beter beheersbaar te maken, kunnen organisaties overwegen om gegevensbeschermingsoplossingen te gebruiken die gegevens automatisch ontdekken en classificeren. 

Ontdek hoe IBM Guardium® Data Protection automatisch gevoelige gegevens ontdekt, classificeert en beschermt in grote opslagplaatsen zoals AWS, DBaaS en on-premises mainframes.

Identificeer en bescherm gegevens uit speciale categorieën 

Bij het inventariseren van gegevens moeten organisaties noteren welke bijzonder gevoelige gegevens extra bescherming behoeven. De AVG schrijft voorzorgsmaatregelen voor met name voor drie soorten gegevens: gegevens uit speciale categorieën, gegevens over strafrechtelijke veroordelingen en gegevens over kinderen.  

• Gegevens uit speciale categorieën omvat biometrie, medische dossiers, ras, etniciteit en andere zeer persoonlijke informatie. Organisaties hebben doorgaans de uitdrukkelijke toestemming van een gebruiker nodig om gegevens van bijzondere categorieën te verwerken. 

• Gegevens over strafrechtelijke veroordelingen kunnen alleen worden gecontroleerd door overheidsinstanties en op hun aanwijzing worden verwerkt. 

• Gegevens van kinderen kunnen niet worden verwerkt zonder toestemming van de ouders, en organisaties hebben mechanismen nodig om de leeftijd van de betrokkenen en de identiteit van hun ouders te verifiëren. Elke EER-staat stelt zijn eigen definitie van “kind” vast onder de AVG. De grenswaarden variëren van jonger dan 13 tot jonger dan 16 jaar. Bedrijven moeten bereid zijn aan deze uiteenlopende definities te voldoen. 

Gegevensverwerkingsactiviteiten controleren 

Tijdens de data-inventarisatie leggen organisaties vast welke verwerkingen de gegevens ondergaan. Vervolgens moeten organisaties ervoor zorgen dat deze handelingen voldoen aan de AVG-verwerkingsregels. Enkele van de belangrijkste AVG-principes zijn onder meer:

• Elke verwerking moet een vastgestelde rechtsgrondslag hebben: Gegevensverwerking is alleen acceptabel als de organisatie over een goedgekeurde wettelijke basis voor die verwerking beschikt. Gemeenschappelijke rechtsgrondslagen zijn onder meer het verkrijgen van toestemming van de gebruiker, het verwerken van gegevens om een ​​contract met de gebruiker uit te voeren en het verwerken van gegevens voor het algemeen belang. Organisaties moeten de wettelijke basis voor elke verwerking documenteren voordat ze beginnen.

Voor een volledige lijst met goedgekeurde rechtsgrondslagen, zie de Pagina voor naleving van de AVG.

• Doelbinding: Gegevens moeten worden verzameld en gebruikt voor een specifiek gedefinieerd doel. 

• Gegevensminimalisatie: Organisaties moeten de minimale hoeveelheid gegevens verzamelen die nodig is voor hun specifieke doel. 

• Nauwkeurigheid: Organisaties moeten ervoor zorgen dat de gegevens die zij verzamelen correct en actueel zijn. 

• Opslagbeperking: Organisaties moeten gegevens veilig verwijderen zodra het doel ervan is bereikt. 

Voor een volledige lijst met GDPR-verwerkingsprincipes, zie de Controlelijst voor naleving van de AVG.

Toestemmingsformulieren van gebruikers bijwerken  

Toestemming van de gebruiker is een gebruikelijke wettelijke basis voor verwerking. Toestemming is echter alleen geldig onder de AVG als deze geïnformeerd, bevestigend en vrijelijk wordt gegeven. Organisaties moeten mogelijk toestemmingsformulieren bijwerken om aan deze vereisten te voldoen.

• Om ervoor te zorgen dat er sprake is van geïnformeerde toestemming, moet de organisatie duidelijk uitleggen wat zij verzamelt en hoe zij die gegevens zal gebruiken op het moment van gegevensverzameling.

• Om ervoor te zorgen dat toestemming bevestigend is, moeten organisaties een opt-in-aanpak hanteren, waarbij gebruikers actief een vakje moeten aanvinken of een verklaring moeten ondertekenen om toestemming te geven. Toestemmingen kunnen ook niet worden gebundeld. Gebruikers moeten met elke verwerkingsactiviteit afzonderlijk akkoord gaan.  

• Om ervoor te zorgen dat toestemming gratis is, kunnen organisaties alleen toestemming vragen voor gegevensverwerkingsactiviteiten die daadwerkelijk een integraal onderdeel zijn van een dienst. Met andere woorden: een bedrijf kan gebruikers niet dwingen hun politieke mening openbaar te maken om een ​​t-shirt te kopen. Gebruikers moeten hun toestemming op elk moment kunnen intrekken.  

Creëer een registratiesysteem 

Organisaties met meer dan 250 werknemers en bedrijven van elke omvang die regelmatig gegevens verwerken of gegevens met een hoog risico verwerken, moeten schriftelijke elektronische gegevens bijhouden van hun verwerkingsactiviteiten. 

Het is echter mogelijk dat alle organisaties dergelijke gegevens willen bijhouden. Dit helpt niet alleen bij het volgen van privacy- en beveiligingsinspanningen, maar kan ook de naleving aantonen als er een audit of inbreuk plaatsvindt. Bedrijven kunnen de straffen verminderen of vermijden als ze kunnen aantonen dat ze te goeder trouw hebben geprobeerd hieraan te voldoen.  

Gegevensbeheerders willen mogelijk bijzonder robuuste gegevens bijhouden, omdat de AVG hen verantwoordelijk houdt voor de naleving door hun partners en leveranciers. 

Wijs leads voor AVG-naleving aan  

Alle overheden en organisaties die regelmatig bijzondere gegevens verwerken of onderwerpen op grote schaal monitoren, moeten een functionaris voor gegevensbescherming (DPO). Een DPO is een onafhankelijke bedrijfsfunctionaris die verantwoordelijk is voor de naleving van de AVG. Gemeenschappelijke verantwoordelijkheden zijn onder meer het toezicht houden op risicobeoordelingen, het trainen van werknemers op het gebied van gegevensbeschermingsprincipes en het samenwerken met overheidsinstanties.

Hoewel slechts enkele organisaties verplicht zijn DPO’s aan te stellen, willen ze misschien allemaal overwegen dit te doen. Het hebben van een aangewezen AVG-nalevingsleider kan de implementatie helpen stroomlijnen.

DPO’s kunnen werknemers van een bedrijf zijn of externe consultants die hun diensten op contractbasis aanbieden. DPO’s moeten rechtstreeks rapporteren aan het hoogste managementniveau. Het bedrijf kan geen represailles nemen tegen een DPO die zijn taken uitvoert. 

Organisaties buiten de EER moeten een vertegenwoordiger binnen de EER aanwijzen als zij regelmatig de gegevens van EER-inwoners verwerken of met zeer gevoelige gegevens omgaan. De vertegenwoordiger van de EER De belangrijkste taak is het namens het bedrijf coördineren met gegevensbeschermingsautoriteiten tijdens onderzoeken. De vertegenwoordiger kan een werknemer, een aangesloten bedrijf of een ingehuurde dienst zijn. 

De DPO en de EER-vertegenwoordiger hebben verschillende rollen met verschillende verantwoordelijkheden. Met name handelt de vertegenwoordiger onder leiding van de organisatie, terwijl de DPO een onafhankelijke functionaris moet zijn. Een organisatie kan niet één partij benoemen om te dienen als zowel DPO als EER-vertegenwoordiger.

Als een organisatie in meerdere EER-staten actief is, moet zij een leidende toezichthoudende autoriteit. De leidende toezichthoudende autoriteit is de belangrijkste gegevensbeschermingsautoriteit (DPA) die toezicht houdt op de naleving van de AVG voor dat bedrijf in heel Europa. 

Doorgaans is de leidende toezichthoudende autoriteit de DPA in de lidstaat waar de organisatie haar hoofdkantoor heeft of haar kernverwerkingsactiviteiten uitvoert. 

Stel een gegevensprivacybeleid op 

De AVG vereist dat organisaties mensen op de hoogte houden van hoe zij hun gegevens gebruiken. Bedrijven kunnen aan deze vereiste voldoen door een privacybeleid op te stellen dat hun verwerkingsactiviteiten duidelijk beschrijft, inclusief wat het bedrijf verzamelt, het bewaar- en verwijderingsbeleid, de gebruikersrechten en andere relevante details.

Het privacybeleid moet duidelijke taal gebruiken die iedereen kan begrijpen. Het verbergen van belangrijke informatie achter dicht jargon kan in strijd zijn met de AVG. Organisaties kunnen ervoor zorgen dat gebruikers hun beleid zien door privacyverklaringen te delen op het moment dat gegevens worden verzameld. Organisaties kunnen hun privacybeleid ook hosten op openbare, gemakkelijk te vinden pagina's op hun websites. 

Zorg ervoor dat externe partners hieraan voldoen 

Verwerkingsverantwoordelijken zijn uiteindelijk verantwoordelijk voor de persoonlijke gegevens die zij verzamelen, inclusief de manier waarop hun verwerkers, leveranciers en andere derde partijen deze gebruiken. Als partners zich niet aan de regels houden, kunnen verwerkingsverantwoordelijken worden bestraft. 

Organisaties moeten hun contracten met derde partijen die toegang hebben tot hun gegevens herzien. Deze contracten moeten de rechten en verantwoordelijkheden van alle partijen met betrekking tot de AVG duidelijk op juridisch bindende wijze vastleggen.

Als een organisatie met verwerkers buiten de EER werkt, moeten die verwerkers nog steeds aan de eisen van de AVG voldoen. Gegevensoverdrachten buiten de EER zijn zelfs onderworpen aan strikte normen. Verwerkingsverantwoordelijken in de EER kunnen alleen gegevens delen met verwerkers buiten de EER als aan een van de volgende criteria wordt voldaan:

• De Europese Commissie heeft de privacywetgeving van het land adequaat geacht
• De Europese Commissie is van oordeel dat de verwerker over voldoende gegevensbescherming beschikt
• De verwerkingsverantwoordelijke heeft stappen ondernomen om ervoor te zorgen dat de gegevens worden beschermd

Eén manier om ervoor te zorgen dat alle partnerschappen en gegevensoverdrachten voldoen aan de AVG is het gebruik van standaardcontractbepalingen. Deze vooraf geschreven clausules zijn vooraf goedgekeurd door de Europese Commissie en zijn vrij beschikbaar voor gebruik door elke organisatie. Door deze clausules in een contract op te nemen, voldoet het aan de AVG, op voorwaarde dat elke partij zich eraan houdt. Voor meer informatie over standaardcontractbepalingen, zie de website van de Europese Commissie (link bevindt zich buiten ibm.com).

Bouw een proces voor impactbeoordelingen op gegevensbescherming

De AVG vereist dat organisaties gegevensbeschermingseffectbeoordelingen (DPIA’s) uitvoeren voordat er sprake is van verwerking met een hoog risico. Hoewel de AVG een paar voorbeelden biedt (het gebruik van nieuwe technologieën en grootschalige verwerking van gevoelige gegevens), wordt niet uitputtend elke activiteit met een hoog risico opgesomd.

Organisaties kunnen overwegen om vóór elke nieuwe verwerking een DPIA uit te voeren, omdat dit veilig is. Anderen kunnen een vereenvoudigde pre-screening gebruiken om te bepalen of het risico hoog genoeg is om een ​​DPIA te rechtvaardigen.

Een DPIA moet op zijn minst de verwerking en het doel ervan beschrijven, de noodzaak van de verwerking beoordelen, de risico’s voor de betrokkenen evalueren en risicobeperkende maatregelen identificeren. Als het risico na de beperking hoog blijft, moet de organisatie een gegevensbeschermingsautoriteit raadplegen voordat zij verder gaat. 

Ontdek hoe IBM Guardium® Insights u kan helpen de compliancerapportage te stroomlijnen met vooraf geconfigureerde workflows voor AVG, CCPA en andere belangrijke regelgeving.

Implementeer een responsplan voor datalekken 

Organisaties moeten de meeste persoonlijke meldingen doen datalekken binnen 72 uur aan een toezichthoudende autoriteit. Als het lek een risico voor de betrokkenen oplevert, zoals identiteitsdiefstal, moet het bedrijf de betrokkenen ook op de hoogte stellen. Meldingen moeten rechtstreeks naar de slachtoffers worden gestuurd, tenzij dit niet haalbaar zou zijn. In dat geval is een publieke kennisgeving voldoende.

Organisaties hebben behoefte aan effectief incident reactie plannen die lopende inbreuken snel identificeren, bedreigingen uitroeien en autoriteiten op de hoogte stellen. Incidentresponsplannen moeten tools en tactieken omvatten om systemen te herstellen en te herstellen informatiebeveiliging. Hoe sneller een organisatie de controle terugkrijgt, hoe kleiner de kans dat zij te maken krijgt met ernstige regelgevende maatregelen.

Ook organisaties kunnen deze kans aangrijpen om zich te versterken gegevensbeveiliging maatregelen. Als het onwaarschijnlijk is dat een inbreuk gebruikers zal schaden (bijvoorbeeld als de gestolen gegevens zo sterk zijn gecodeerd dat hackers deze niet kunnen gebruiken), hoeft het bedrijf de betrokkenen niet op de hoogte te stellen. Dit kan de reputatie- en omzetschade helpen voorkomen die het gevolg kan zijn van een datalek.

Maak het voor betrokkenen gemakkelijk om hun rechten uit te oefenen 

De AVG geeft betrokkenen rechten over hoe organisaties hun gegevens gebruiken. Dankzij het recht op rectificatie kunnen gebruikers bijvoorbeeld onjuiste of verouderde gegevens corrigeren. Het recht op verwijdering geeft gebruikers de mogelijkheid om hun gegevens te laten verwijderen.

Over het algemeen moeten organisaties binnen 30 dagen aan verzoeken van betrokkenen voldoen. Om verzoeken beter beheersbaar te maken, kunnen organisaties selfserviceportals bouwen waar proefpersonen toegang kunnen krijgen tot hun gegevens, wijzigingen kunnen aanbrengen en het gebruik ervan kunnen beperken. Portalen moeten een manier bieden om de identiteit van proefpersonen te verifiëren. De AVG legt de last op organisaties om te verifiëren dat aanvragers zijn wie ze zeggen dat ze zijn.

Geautomatiseerde beslissingen en profilering 

Betrokkenen hebben bijzondere rechten met betrekking tot geautomatiseerde verwerking. In het bijzonder kunnen organisaties automatisering niet gebruiken om belangrijke beslissingen te nemen zonder toestemming van de gebruiker. Gebruikers hebben het recht om geautomatiseerde beslissingen aan te vechten en te verzoeken dat een mens de beslissing herziet. 

Organisaties kunnen selfserviceportals gebruiken om betrokkenen een manier te bieden om geautomatiseerde besluiten aan te vechten. Bedrijven moeten ook bereid zijn om indien nodig menselijke reviewers aan te stellen. 

data portabiliteit 

Betrokkenen hebben het recht om hun gegevens over te dragen waar ze maar willen, en organisaties moeten deze overdrachten faciliteren. 

Organisaties moeten het niet alleen gemakkelijk maken voor gebruikers om overdrachten aan te vragen, maar moeten ook gegevens opslaan in een deelbaar formaat. Het gebruik van bedrijfseigen formaten kan overdrachten bemoeilijken en de rechten van gebruikers belemmeren. 

Voor een volledige lijst met rechten van betrokkenen, zie de AVG-nalevingspagina.

Implementeer informatiebeveiligingsmaatregelen

De AVG vereist dat organisaties redelijke gegevensbeschermingsmaatregelen nemen om systeemkwetsbaarheden te dichten en ongeoorloofde toegang of illegaal gebruik te voorkomen. De AVG schrijft geen specifieke maatregelen voor, maar stelt wel dat organisaties zowel technische als organisatorische controles nodig hebben.

Technische beveiligingsmaatregelen omvatten software, hardware en andere technologische hulpmiddelen, zoals SIEM's en oplossingen voor het voorkomen van gegevensverlies. De AVG moedigt encryptie en pseudonimisering sterk aan, dus organisaties willen wellicht vooral deze controles implementeren. 

Organisatorische maatregelen omvatten processen zoals het trainen van medewerkers op het gebied van de AVG-regels en het implementeren van formele maatregelen gegevensbeheer beleid. 

De AVG draagt ​​bedrijven ook op om het principe van gegevensbescherming by design en by default over te nemen. ‘By design’ betekent dat bedrijven vanaf het begin gegevensprivacy in systemen en processen moeten inbouwen. “Standaard” betekent dat de standaardinstelling voor elk systeem degene moet zijn die de meeste gebruikersprivacy handhaaft. 

Ontdek hoe IBM-oplossingen voor gegevensbeveiliging en -bescherming gegevens in hybride clouds beveiligen en compliance-eisen vereenvoudigen.

Waarom AVG-naleving belangrijk is 

Elke organisatie die in de Europese Economische Ruimte (EER) wil opereren, moet voldoen aan de AVG. Niet-naleving kan ernstige gevolgen hebben. De belangrijkste overtredingen kunnen resulteren in boetes tot 20,000,000 euro of 4% van de wereldwijde omzet van de organisatie in het voorgaande jaar, afhankelijk van welke van de twee het hoogste is.

Maar dataconformiteit gaat niet alleen over het vermijden van consequenties. Het heeft ook voordelen. Afgezien van het feit dat het voldoen aan de AVG organisaties toegang geeft tot een van de grootste markten ter wereld, kunnen de AVG-principes de maatregelen voor gegevensbeveiliging aanzienlijk versterken. Organisaties kunnen meer datalekken voorkomen voordat ze plaatsvinden, waardoor de gemiddelde kosten worden vermeden 4.45 miljoen dollar per inbreuk.

Naleving van de AVG kan ook de reputatie van een bedrijf vergroten en het vertrouwen bij de consument vergroten. Mensen doen over het algemeen het liefst zaken met organisaties die dat wel doen klantgegevens op zinvolle wijze beschermen.

De AVG heeft soortgelijke wetten inzake gegevensbescherming geïnspireerd in andere regio’s, waaronder de California Consumer Privacy Act en de Indiase wet op de bescherming van digitale persoonsgegevens. De AVG wordt vaak beschouwd als een van de strengste van deze wetten, dus het naleven ervan kan organisaties in de positie brengen om ook aan andere regelgeving te voldoen.

Als een bedrijf ten slotte in aanraking komt met de AVG, kan het aantonen van een zekere mate van naleving de gevolgen helpen verzachten. Regelgevende instanties wegen factoren als bestaand af cyberbeveiligingscontroles en samenwerking met toezichthoudende autoriteiten bij het vaststellen van sancties.

Ontdek IBM Guardium Data Protection