Bereid uw organisatie voor op de AVG

Wat u moet weten over de Algemene verordening gegevensbescherming (AVG)

Op 25 mei 2018 stelde de Europese Unie (EU) de Algemene verordening gegevensbescherming (AVG), een belangrijke privacywet, in werking. Bij Okta maken we ons sterk voor het succes van onze klanten. We helpen onze klanten te voldoen aan de AVG door middel van de uitgebreide privacy- en beveiligingsmaatregelen die de Okta Identity Cloud te bieden heeft. De inhoud van deze pagina (inclusief de links) is geen juridisch advies en wordt alleen voor informatieve doeleinden verstrekt. Voor juridisch advies kunt u het beste het juridisch team van uw eigen organisatie raadplegen.

Addendum dataverwerking van Okta

Okta heeft een bijgewerkte versie van het Addendum dataverwerking gepubliceerd met bijgewerkte en toegevoegde bepalingen om klanten te helpen bij de naleving van de AVG. Het Addendum dataverwerking werkt de bestaande overeenkomsten van onze klanten met Okta bij en beschrijft de verplichtingen van Okta onder de AVG wat betreft onze levering van de Okta-service. Het Addendum dataverwerking van Okta – met selfservice-instructies voor klanten van Okta voor het uitvoeren van het document, op pagina 1 – is hier beschikbaar op onze website.

Wat is de AVG?

De AVG ontstond grotendeels als een holistische manier om bestaande, uiteenlopende en soms met elkaar conflicterende wetten en richtlijnen in de EU bij te werken en om de bescherming van de persoonsgegevens van individuen te versterken gezien het zich snel ontwikkelende technologisch landschap, de toegenomen interconnectiviteit en globalisering, en de complexer wordende internationale uitwisseling van persoonsgegevens. De AVG vervangt de eerdere mix van nationale wetten voor gegevensbescherming door één allesomvattende wet die rechtstreeks van toepassing is op elke EU-lidstaat.

Meer in het bijzonder regelt de AVG de "verwerking", waartoe het verzamelen, opslaan, gebruik en overbrengen van persoonsgegevens over natuurlijke personen in de EU behoren. Elke organisatie (ongeacht of deze wel of niet in de EU is gevestigd, of wel of geen vestiging in de EU heeft) die de persoonsgegevens van natuurlijke personen in de EU verwerkt, moet voldoen aan de AVG. Onder de AVG hanteert de EU een breed begrip van "persoonsgegevens", zodat de wet in het algemeen betrekking heeft op alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Welke gegevens worden geregeld door de AVG?

De AVG regelt het verzamelen, verwerken en opslaan van persoonsgegevens van natuurlijke personen in de EU. Persoonsgegevens bestaan uit alle informatie die betrekking heeft op een specifieke natuurlijke persoon in de EU. Sommige persoonsgegevens die onder de AVG vallen, zijn vrij logisch, zoals e-mailadressen en telefoonnummers. Maar niet alle persoonsgegevens zijn zo voor de hand liggend. De AVG regelt ook informatie die te herleiden is naar een specifiek persoon. Dus afhankelijk van de omstandigheden kan de informatie ook betrekking hebben op de geolocatie en gedragsgegevens. Omdat de wet is opgesteld met het oog op de toekomst, bevat deze geen definitieve lijst met typen persoonsgegevens. In het algemeen tellen alle gegevens waarmee een levende natuurlijke persoon in de EU wordt geïdentificeerd, als persoonsgegevens.

Op wie is de AVG van toepassing?

De AVG (GDPR in het Engels - General Data Protection Regulation) geldt wereldwijd voor elke entiteit die persoonsgegevens van natuurlijke personen in de EU verzamelt, opslaat of verwerkt. Deze entiteiten worden geclassificeerd als verwerkingsverantwoordelijken of als gegevensverwerkers. Deze categorieën kunnen in grote lijnen als volgt worden gedefinieerd:

Een verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van persoonsgegevens en besluit welke gegevens er worden verzameld.

Een gegevensverwerker verwerkt persoonsgegevens uitsluitend namens de verwerkingsverantwoordelijke.

Wat betekent dat alles voor u?

De grootst mogelijke negatieve gevolgen van overtredingen van de AVG zijn de mogelijkheid van boetes en de daaruit volgende afbreuk van de goede naam van een organisatie in de ogen van haar werknemers, zakelijke partners, klanten en andere entiteiten voor wie de organisatie de persoonsgegevens verwerkt.

87% van de CIO's maakt zich zorgen dat het huidige informatiebeveiligingsbeleid van hun organisatie niet voldoet aan de strenge nieuwe vereisten van de AVG

– Rapport voor 2016 van Egress Software Technologies

Gegevens van derden

Omvat persoonsgegevens van natuurlijke personen in de EU zoals persoonlijke gegevens over de klanten of partners van een organisatie.

De gegevens van uw eigen organisatie

Omvat persoonsgegevens van natuurlijke personen in de EU zoals persoonlijke gegevens over uw werknemers.

Bent u er op voorbereid?

De AVG is erg omvangrijk en de Groep gegevensbescherming artikel 29 (Groep artikel 29), een onafhankelijke Europese werkgroep die ondersteuning biedt bij de implementatie van de wet, blijft organisaties informatie bieden over de bekrachtiging en het afdwingen van de wet. Toch zijn er verschillende belangrijke punten waarmee organisaties nu al rekening kunnen houden om aan de naleving van de AVG te voldoen.

De gegevens van uw eigen organisatie

Zorg dat u gegevens van natuurlijke personen in de EU die uw organisatie verzamelt, verwerkt en opslaat, kunt vinden, corrigeren, wissen en er kopieën van kunt verstrekken. Zo hebben natuurlijke personen in de EU door de AVG ruimere mogelijkheden om organisaties die hun persoonsgegevens opslaan, verwerken en beheren, te vragen die gegevens in de volgende gevallen te verwijderen:

  • De gegevens zijn niet langer nodig voor het oorspronkelijke doel
  • Ze trekken hun toestemming in
  • Ze hebben bezwaren tegen de manier waarop de gegevens worden verwerkt

Persoonsgegevens moeten op aanvraag kunnen worden overgedragen

Een andere belangrijke AVG-vereiste is het recht op inzage en op overdraagbaarheid van gegevens.

Natuurlijke personen in de EU moeten hun persoonsgegevens kunnen overbrengen van het ene verwerkingssysteem naar het andere zonder tussenkomst van de gegevensverwerker. Bovendien moet de gegevensverwerker deze gegevens aan de natuurlijke persoon verstrekken in een gestructureerde, algemeen gebruikte, machineleesbare en interoperabele elektronische indeling.

Okta’s inzet om te voldoen aan de AVG

Wij beschouwen de AVG zowel als een belangrijke stap vooruit in het stroomlijnen en gelijktrekken van vereisten voor gegevensbescherming in de EU en als een mogelijkheid voor Okta om onze jarenlange inzet voor principes en uitvoering van gegevensbescherming te versterken. 

Okta voldoet aan de AVG met de dienstverlening aan onze klanten. We hebben de vereisten van de AVG zorgvuldig geanalyseerd en op basis van onze bevindingen hebben we verbeteringen aangebracht aan onze producten en services, onze documentatie en contractdocumenten om onze klanten te helpen bij het naleven van de AVG-vereisten.

Hoewel Okta niet alle door de AVG gepresenteerde uitdagingen kan oplossen, vormt identity en access management met een product zoals Okta wel een krachtige basis voor naleving van de wet en het verkleinen van uw risico's. Raadpleeg het juridisch team van uw organisatie om te begrijpen hoe de AVG op u van toepassing is.

In 2016 maakte de gemiddelde werknemer actief gebruik van 36 cloudservices. De gemiddelde onderneming gebruikte er meer dan 1400.

– 12 belangrijke cijfers over cloudgebruik in de onderneming, Skyhigh

Denk eraan dat elke andere entiteit die de persoonsgegevens van natuurlijke personen in de EU van uw organisatie, met inbegrip van leveranciers, partners en apps, verwerkt, het algehele risicoprofiel van uw organisatie kan vergroten. Okta biedt consolidatie en zichtbaarheid in het gebruik van persoonsgegevens, wat kan bijdragen aan het tegemoetkomen aan de beveiliging en naleving voor zowel uw organisatie als uw klanten.

Ons platform helpt zowel individuele gebruikers als grote ondernemingen om te voldoen aan de AVG-vereisten:

IAM voor enterprises

Holistische beveiliging en naleving voor werknemers en andere partners waar organisaties mee samenwerken. Zo heeft Flex Okta geïmplementeerd bij hun toeleveranciers en werknemers.

IAM voor klanten

End-to-end beveiliging en naleving voor identity's die aan klanten worden geleverd. Het klantenplatform van Adobe is bijvoorbeeld beveiligd via Okta.