Naar de inhoud
Avanet
Nieuwe Zwitserse wet op de gegevensbescherming (nDSG) – Wat is extreem belangrijk sinds 01.09.2023?

Nieuwe Zwitserse wet op de gegevensbescherming (nDSG) – Wat is extreem belangrijk sinds 01.09.2023?

4. OKTOBER 2023

De nieuwe wet op de gegevensbescherming (nDSG) en de bijbehorende verordeningen zijn op 1 september 2023 in Zwitserland van kracht geworden. De wetswijziging past de gegevensbescherming aan aan de huidige technologie en maatschappij. Mensen moeten beter kunnen begrijpen en controleren hoe hun gegevens worden gebruikt. Dit is ook al lang nodig, als men bedenkt dat de oude wet op de gegevensbescherming nog uit 1992 dateerde. Google werd opgericht in 1998 en Facebook (Meta) ging in 2004 online. Uiterlijk daarmee begon de grootschalige gegevensverzameling 🐙. De AVG is ook sinds mei 2018 van kracht en Zwitserland heeft nu gevolgd, zij het met een aanzienlijk verschil in de straffen.

Waarom IT-beveiliging hierdoor nog belangrijker wordt en velen pas nu reageren, zal ik zo meteen toelichten.

Waarom was een nieuwe wet nodig?

De nieuwe Zwitserse wet op de gegevensbescherming heeft twee hoofddoelen:

  • Het actualiseert de regels om ze aan te passen aan de huidige technologieën zoals cloud, sociale media, AI, big data en IoT. Dit moet mensen meer controle geven over hun eigen gegevens.
  • Het zorgt ervoor dat de gegevensbescherming in Zwitserland op het niveau van de EU wordt gebracht. Dit is belangrijk om de gegevensuitwisseling tussen Zwitserland 🇨🇭 en de EU 🇪🇺 probleemloos te laten verlopen. De wet houdt ook rekening met EU-regelgeving en internationale gegevensbeschermingsafspraken.

Persoonsgegevens? Dat raakt mij niet!

Het betreft iedereen die met persoonsgegevens te maken heeft. Zowel op het werk als in een vereniging of in het privéleven (met uitzondering van vrienden en familie). Zodra informatie die direct of indirect betrekking heeft op een specifieke natuurlijke persoon, wordt deze beschouwd als persoonsgegevens. Dit omvat niet alleen naam en adres, maar ook zaken als het IP-adres of e-mailadres. Indien dergelijke gegevens worden verzameld, opgeslagen, gebruikt, gewijzigd of verwijderd, spreekt men van verwerking en is de bijgewerkte wet op de gegevensbescherming van toepassing.

Privacy by Design en Privacy by Default

Privacy by Default” en “Privacy by Design” betekenen dat bedrijven gegevensbescherming vanaf het begin moeten opnemen in hun technologie en instellingen. Dat wil zeggen, bij de ontwikkeling van apps of websites moeten de gegevensbeschermingsregels al in de planningsfase in acht worden genomen. Bovendien moeten de standaardinstellingen altijd de meest privacyvriendelijke optie zijn. Als een website bijvoorbeeld een ledengedeelte heeft, mag de naam van de gebruiker in de standaardinstelling niet zichtbaar zijn.

Datacollectie minimaliseren tot het noodzakelijke

Wanneer iets nieuw wordt opgebouwd (Privacy by Default), is het natuurlijk gemakkelijker om hiermee rekening te houden; achteraf is het altijd wat ingewikkelder. Het is belangrijk dat gegevens alleen worden gebruikt voor het doel waarvoor ze oorspronkelijk zijn verzameld. Ze mogen alleen voor andere doeleinden worden gebruikt als er een geldige reden is, zoals het nakomen van een contract, of als de betrokkene uitdrukkelijk toestemming geeft.

Indien de gegevens niet langer nodig zijn voor het oorspronkelijke doel, moeten ze onverwijld worden verwijderd of onherkenbaar worden gemaakt.

Cookies 🍪

Het vervelende gedoe met cookies en de bijbehorende cookie banners.

Cookies zijn kleine tekstbestanden die websites op de computer of het mobiele apparaat van de gebruiker opslaan. Ze worden vaak gebruikt om de gebruikerservaring te verbeteren door instellingen op te slaan of het gedrag van de gebruiker te volgen. In de nieuwe wet op de gegevensbescherming zijn cookies relevant omdat ze vaak persoonsgegevens verzamelen. De wet vereist daarom dat gebruikers duidelijk en expliciet worden geïnformeerd over welke cookies worden gebruikt en waarvoor. Bovendien moeten gebruikers hun toestemming geven voordat cookies mogen worden geplaatst. De standaardinstellingen die in de cookiebanner te zien zijn, moeten privacyvriendelijk zijn. Dit betekent dat alleen absoluut noodzakelijke cookies automatisch moeten worden geactiveerd.

Het exploiteren van een website zonder cookies die gebruikersgegevens verzamelen, is echter niet langer moeilijk. Dankzij de AVG zijn er verschillende nieuwe tools beschikbaar die als alternatief dienen en die gegevensbescherming serieus nemen. Onze website maakt geen gebruik van cookies.

Privacyverklaring

De Privacyverklaring is een essentieel document dat op elke bedrijfswebsite aanwezig moet zijn. Het informeert bezoekers en klanten over welke persoonsgegevens worden verzameld, hoe deze gegevens worden gebruikt en opgeslagen, en welke rechten de betrokkenen hebben met betrekking tot hun gegevens. Bovendien is een duidelijke en begrijpelijke privacyverklaring niet alleen een goede bedrijfspraktijk, maar ook wettelijk verplicht, vooral in het licht van de nieuwe gegevensbeschermingswetgeving. Het moet regelmatig worden bijgewerkt om rekening te houden met nieuwe wettelijke vereisten of wijzigingen in de gegevensverwerkingspraktijken.

Het recht op uw gegevens

Elke persoon heeft recht op informatie over de opgeslagen gegevens. Deze informatie moet doorgaans binnen 30 dagen en kosteloos aan de betrokkene worden verstrekt. Personen hebben het recht om onjuiste gegevens te laten corrigeren of om de verwijdering van gegevens te verzoeken. Deze rechten gelden echter niet absoluut en zijn onderworpen aan beperkingen, zoals de bewaarplicht.

IT-beveiliging

Laten we nu overgaan tot het eigenlijke onderwerp van dit artikel: hoe gegevens te beschermen. Zoals u ziet, zijn er verschillende plaatsen in een bedrijf waar gegevens worden verzameld en dus ook opgeslagen. Alles wat ergens wordt opgeslagen, kan worden gestolen, versleuteld, gewijzigd of verwijderd. Met de nodige technische middelen heeft men nu de mogelijkheid om ongewenste wijzigingen te voorkomen.

De introductie van de nieuwe wet op de gegevensbescherming (nDSG) in Zwitserland heeft het belang van IT-beveiliging in bedrijven, vooral in kleine en middelgrote ondernemingen (kmo’s), aanzienlijk vergroot. Hoewel IT-beveiliging altijd al een kritieke factor was, heeft de nDSG de urgentie van dit onderwerp nog versterkt. Sinds de wet op 1 september 2023 van kracht is geworden, hebben we een aanzienlijke toename van aanvragen van kmo’s ontvangen die hun IT-beveiligingsmaatregelen willen versterken.

Iemand anders moet er maar voor zorgen

Veel aanvragen die we ontvingen, waren gericht op de Managed Detection and Response (MDR)-dienst. Bedrijven willen verantwoordelijkheid afstaan en erkennen dat IT-beveiliging niet eenvoudigweg wordt afgehandeld door de installatie van een firewall en de reeds aanwezige Windows Defender.

Het ligt dan ook voor de hand om deze taak uit te besteden aan externe dienstverleners die zich fulltime met het onderwerp bezighouden en zich bezighouden met threat-hunting, die niets anders doen en de scene extreem goed kennen. Dit is een slimme beslissing, want MDR biedt proactieve monitoring en respons op beveiligingsincidenten, wat in lijn is met de eisen van de nDSG. Als u nu andere systemen in het bedrijf heeft, kunt u ook deze telemetriegegevens van derden naar Sophos sturen. Dit betekent dat deze gegevens ook kunnen worden meegenomen voor een uitgebreide beveiligingsanalyse.

Toch hoort men steeds weer mensen die denken dat ze het zelf kunnen en de reikwijdte van dit onderwerp onderschatten. Hier kan ik dit artikel met de video’s aanbevelen en u zult snel van mening veranderen: The Ransomware Documentary

Ik spreek hier in de eerste plaats over de endpoint, maar hetzelfde geldt natuurlijk ook voor de firewall. Configuratie, onderhoud, audit en pentest moeten worden uitgevoerd door geschoold personeel of, indien niet beschikbaar, worden uitbesteed aan een externe dienstverlener zoals wij.

Beveiligingsaudit - Altijd opnieuw testen

Hoewel de meeste mensen regelmatige inspecties en onderhoud voor hun auto als vanzelfsprekend beschouwen, omdat dit wettelijk verplicht is, wordt IT-beveiliging vaak verwaarloosd. Juist in deze tijd, waarin het dreigingslandschap voortdurend groeit en verandert, is het echter essentieel om IT-systemen keer op keer kritisch te bekijken.

Een belangrijke stap richting een robuuste IT-beveiliging zijn regelmatige audits en pentesten. Waar audits de naleving van beveiligingsrichtlijnen controleren, simuleren pentesten cyberaanvallen om kwetsbaarheden in het systeem te identificeren. Beide methoden zijn belangrijk om ervoor te zorgen dat de beveiligingsmaatregelen voldoen aan de huidige eisen.

Enkele best practices op het gebied van cyberbeveiliging

In ons recent gepubliceerde blogbericht “Sophos Aanbevelingen – Cybersecurity Best Practices” hebben we verschillende punten belicht die belangrijk zijn voor IT-beveiliging. Veel van deze punten kunnen onder de categorie “nalatigheid” vallen als ze niet worden nageleefd, vooral in het licht van de nieuwe nDSG.

Meldplicht

De FGDB staat voor de Federale Gegevensbeschermings- en Openbaarheidstoezichthouder in Zwitserland. Het is een onafhankelijke autoriteit die de gegevensbescherming op federaal niveau bewaakt en handhaaft. In de nieuwe wet op de gegevensbescherming (nDSG) speelt de FGDB een belangrijke rol, aangezien deze verantwoordelijk is voor het toezicht op de naleving van de wet. Bij gegevenslekken die een hoog risico vormen voor de persoonlijke rechten of grondrechten van de betrokkenen, moeten deze aan de FGDB worden gemeld. Zij kan ook instructies geven en sancties opleggen indien de gegevensbeschermingsbepalingen niet worden nageleefd.

Nationaal Centrum voor Cyberbeveiliging (NCSC) Incident melden
report.ncsc.admin.ch

In het kader van de nDSG moeten cyberaanvallen die leiden tot een inbreuk op de gegevensbeveiliging worden gemeld aan de FGDB. Dit is met name het geval wanneer de aanval een hoog risico vormt voor de persoonlijke rechten of grondrechten van de betrokkenen.

Een inbreuk op de gegevensbeveiliging doet zich voor wanneer persoonsgegevens onbedoeld of onrechtmatig verloren gaan, worden verwijderd, vernietigd, gewijzigd of toegankelijk worden gemaakt voor onbevoegde personen. Dit moet onverwijld aan de FGDB worden gemeld. De melding moet zo snel mogelijk plaatsvinden, doorgaans binnen 72 uur na het bekend worden van de aanval. De FGDB is de bevoegde autoriteit voor het ontvangen van dergelijke meldingen en het verdere toezicht op de situatie. Het incident moet echter ook aan het NCSC worden gemeld: Incident melden bij het Nationaal Cyber Security Centrum (NCSC)

Zo’n scenario moet vooraf goed worden overwogen en niet pas wanneer de nood het hoogst is.

Strafbaarheid

Bij opzettelijke overtredingen van de nDSG, zoals schending van informatie-, inzage-, medewerking- of zorgvuldigheidsplichten, kunnen particulieren worden beboet met maximaal 250.000 CHF. Bij overtredingen in bedrijfsactiviteiten kunnen bedrijven worden beboet met maximaal 50.000 CHF, indien het opsporen van de schuldige personen onevenredig veel moeite zou kosten – en een boete van maximaal 50.000 CHF voor hen in aanmerking zou komen.

Dit is ook het essentiële verschil met de AVG. Met betrekking tot strafbaarheid moet er in het bijzonder rekening mee worden gehouden dat vanaf 1 september 2023 de schending van bepaalde verplichtingen aanleiding geeft tot strafbaarheid, die niet de onderneming treft, maar de verantwoordelijke natuurlijke persoon. De verantwoordelijke personen kunnen zowel leden van de directie als andere beslissingsbevoegde personen in het bedrijf zijn, of ook die personen die een plichtsverzuim (bijv. schending van de geheimhouding) hebben gepleegd. In het Zwitserse recht is echter alleen de bewuste dader strafbaar.

Een geldboete van maximaal 250.000 CHF kan in Zwitserland worden opgelegd voor verschillende overtredingen op het gebied van gegevensbescherming, waaronder:

  • Gebrek aan transparantie of ontbrekende privacyverklaring
  • Ontbrekende contractuele overeenkomsten met gegevensverwerkers
  • Fouten in gegevensbeveiliging, zoals onvoldoende technische en organisatorische maatregelen (TOM’s)
  • Overdracht van persoonsgegevens naar landen zonder adequate gegevensbescherming, zonder aanvullende beveiligingsmaatregelen of zonder geldige uitzondering, zoals een toestemming
  • Niet-naleving van de informatieplicht
  • Neerlegging van het zogenaamde “kleine beroepsgeheim”

De herziene Zwitserse wet op de gegevensbescherming voorziet ook in strafrechtelijke gevolgen voor personen die verantwoordelijk zijn voor dergelijke overtredingen.

FAQ over de nieuwe nDSG

Wat is de nieuwe Zwitserse wet op de gegevensbescherming?

Het is een herziening van de wet op de gegevensbescherming van 1992, die op 1 september 2023 van kracht is geworden, om de gegevensbescherming in Zwitserland te versterken en aan te passen aan de EU-Algemene Verordening Gegevensbescherming.

Wat zijn de straffen voor overtredingen van de nDSG?

De straffen kunnen oplopen tot 250.000 CHF, waarbij ook strafrechtelijke sancties tegen individuen mogelijk zijn.

Wat betekent "Privacy by Design"?

Het is een principe waarbij gegevensbescherming en gegevensbeveiliging vanaf het begin worden geïntegreerd in de planning en ontwikkeling van projecten.

Moeten bedrijven gebruikers informeren over de verwerking van hun gegevens?

Ja, bedrijven moeten hun gebruikers duidelijk en expliciet informeren over welke gegevens worden verzameld en voor welk doel.

Geldt de nDSG ook voor bedrijven buiten Zwitserland?

Ja, de wet heeft een grensoverschrijdende toepassingsbereik en is van toepassing op elke website die persoonsgegevens van personen in Zwitserland verwerkt, ongeacht hun locatie.

Welke eisen stelt de nieuwe nDSG aan de toestemming?

De toestemming moet specifiek, geïnformeerd en vrijwillig zijn, waarbij gebruikers de mogelijkheid moeten hebben om hun toestemming te geven voor verschillende categorieën cookies.

Wie wordt getroffen door de nieuwe wet op de gegevensbescherming?

Iedereen die met persoonsgegevens werkt, wordt getroffen door de wet. Dit geldt voor bedrijven, verenigingen, maar ook voor particulieren, voor zover het gebruik van de gegevens verder gaat dan de privésfeer zoals familie en vrienden.

Disclaimer ⚖️

Houd er rekening mee dat dit blogbericht slechts een korte samenvatting is van aspecten van de nieuwe wet op de gegevensbescherming die wij belangrijk vinden. Wij zijn geen juridische experts of advocaten. Voor uitgebreid juridisch advies dient u contact op te nemen met een gekwalificeerde advocaat om ervoor te zorgen dat u aan alle wettelijke vereisten voldoet. Onze belangrijkste bron hier was Admin.ch :: Persbericht :: Nieuw gegevensbeschermingsrecht vanaf 1 september 2023

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.