Er werd nogal gebrekkig door de Gegevensbeschermingsautoriteit gecommuniceerd. Vandaar dat er een aantal hardnekkige mythes circuleren. De meest voorkomende zijn onderstaande:
Mythe 1
GDPR is enkel van toepassing voor grote bedrijven zoals Facebook en Google.
De wet zegt: GDPR is van toepassing voor elke organisatie die privégegevens verwerkt in welke vorm dan ook. Zowel Facebook als de plaatselijke postzegel verzamelclub moeten in orde zijn met de GDPR-verordening.
Mythe 2
Mijn boekhouder heeft gezegd dat ik niet in orde moet zijn. De werkelijkheid is dat het Beroepsinstituut van Erkende Boekhouders en Fiscalisten bij heel wat boekhoudkantoren druk zet om zich eindelijk eens in orde te stellen met GDPR.
Mythe 3
Ik ga het aan mijn boekhouder vragen. GDPR bestaat uit een juridisch- en een IT security technisch luik. Weinig tot geen boekhoudkantoren hebben deze kennis in huis.
Mythe 4
Een kleine onderneming moet geen Register van de verwerkingsactiviteiten, het zogenaamde dataprocessing register, aanleggen. Deze mythe klopt doch men gaat voorbij aan alle uitzonderingen waardoor het er in de praktijk op neer komt dat 99,9% van de bedrijven/organisaties een Register van de verwerkingsactiviteiten dient aan te leggen. Bovendien is dit register een noodzakelijke basis tool om de andere verplichte documenten in te vullen. Dit werd beaamd door onze staatssecretaris op Kanaal Z.
Mythe 5
Ik heb een banner op mijn website staan en nu ben ik in orde. Vaak zien we dit op onbeveiligde websites staan die ook nog eens gelinkt zijn met sociale media waardoor ze technisch gezien, zonder medeweten van de website eigenaar, persoonlijke data lekken zoals bv. het surfgedrag van de bezoeker van de website. Het plaatsen van een banner alleen komt neer op het openbaar afleggen van een valse verklaring en maakt de zaak alleen maar erger.
Mythe 6
De overheid controleert toch niet.
Tot vorig jaar werden er geen sancties opgelegd. Dat kwam omdat het directiecomité nog niet volledig was samengesteld. Thans gebeurt dit wel en in de meeste gevallen wordt er ook gereageerd op klachten. Je kan stellen dat je per verkeerd email address dat je gebruikt tussen de € 1.500,00 en de € 2.000,00 aan boete moet betalen.
Mythe 7
Er is toch niemand die klacht neerlegt…
De werkelijkheid is anders. De GDPR (wet op de privacy) laat toe dat iedereen klacht kan neerleggen. Dus ook diegenen die in feite niets met je bedrijf te maken hebben. Bovendien moet men zich er bewust van zijn dat meer en meer privépersonen, mede door de pers, hun rechten kennen. Vaak zijn het de volgende partijen die beroep doen op de GDPR-wetgeving om uw organisatie of onderneming aan te klagen.
-
- Concurrenten
- Vroegere werknemers
- Mensen die jaloers zijn op uw succes.
- Gepensioneerde ambtenaren.
- Buitenlandse, meestal Nederlandse, advocatenkantoren die er een lucratieve bron van inkomsten in zien. GDPR is geen Belgische wet maar een Europese wet.
Mythe 8
Wie gaat mij hacken?
De tijd dat de nerd om de hoek vaak met onschuldige bedoelingen in uw systeem probeerde te raken is ver voorbij. Zonder in detail te treden… Hacken gebeurt op een georganiseerde en geautomatiseerde wijze. De wereldwijde opbrengsten uit cybercriminaliteit zijn vele malen hoger dan die van de drugsmaffia.
Mythe 9
Ik heb een gratis virusscanner en die is goed volgens Test Aankoop.
Statistisch onderzoek wijst uit dat 70% van de bedrijven niet afdoende beveiligd zijn tegen cybercriminaliteit bovendien kan je, door de manier waarop het internet gebouwd is (basis technologie jaren ’60 van de vorige eeuw), je nooit 100% beveiligen. Denk twee keer na voor je met gratis software werkt. U als bedrijfsleider werkt ook niet voor niets. Waarom zou een wildvreemde u dan gratis software aanbieden? Vaak bestaat het verdienmodel van dergelijke software eruit dat u toestemming verleent om data te lekken die dan vervolgens verkocht wordt en vermits toch niemand het privacy statement van een programma leest voor het installeren van de software is die ‘gratis’ softwareonderneming juridisch ingedekt en bent u als ondernemer de sigaar.
Daarnaast biedt een virusscanner niet voldoende bescherming. Zo zijn de meeste gratis versies niet beveiligd tegen ransomware en is er ook niet altijd een firewall aanwezig. De Gegevens Beschermingsautoriteit is van mening dat u als een goed huisvader moet zorgdragen voor de persoonlijke data van uw klanten. Haar standpunt hierin is dat u bovenop uw virusscanner, firewall en ransomware scanner uw IT-park moet voorzien van een multifactorlogin en een dat uw gegevens via encryptie moeten verzegeld zijn.
Mythe 10
Het is de fout van de hacker ik ben niet verantwoordelijk.
Dit is een misvatting. Bij een datalek riskeert u wel een boete die kan oplopen tot 4% van uw jaaromzet. De achterliggende gedachte is dat een hacker vrijwel onmogelijk te vatten is. Hackers werken via een omweg en maken gebruik van andere reeds gehackte machines (pc, laptop, alarmsystemen van woningen en bedrijven, babyfoons, smartphones, auto’s…) om uw systemen aan te vallen.