GDPR (General Data Protection Regulation)

Algemene Verordening Gegevensbescherming (AVG) in het Nederlands, is een EU-verordening die in mei 2018 van kracht werd. Het is ontworpen om de privacy en bescherming van persoonlijke gegevens van individuen binnen de Europese Unie (EU) te verbeteren en te harmoniseren. Hier zijn enkele kernpunten:

1. Reikwijdte: GDPR is van toepassing op alle organisaties die persoonsgegevens van EU-burgers verwerken, ongeacht waar de organisatie zich bevindt.
2. Persoonsgegevens: Alle informatie die kan worden gebruikt om een persoon direct of indirect te identificeren, zoals naam, e-mailadres, IP-adres, etc.
3. Rechten van de betrokkenen: EU-burgers hebben uitgebreide rechten onder GDPR, waaronder het recht op toegang tot hun gegevens, het recht op correctie, het recht om te worden vergeten, en het recht op dataportabiliteit.
4. Toestemming: Organisaties moeten expliciete toestemming verkrijgen van individuen om hun gegevens te verzamelen en verwerken.
5. Gegevensbescherming door ontwerp en standaardinstellingen: Organisaties moeten gegevensbeschermingsmaatregelen integreren in hun systemen en processen.
6. Meldplicht datalekken: Organisaties moeten datalekken binnen 72 uur melden aan de toezichthoudende autoriteiten en soms aan de betrokkenen.
7. Boetes: Niet-naleving van GDPR kan resulteren in zware boetes, tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, wat het hoogste is.

NIS-2 (Network and Information Systems Directive 2)

De NIS-2 richtlijn is een herziening van de oorspronkelijke NIS-richtlijn en is ontworpen om de cyberveiligheid in de EU verder te versterken. Hier zijn de kernpunten:

1. Uitgebreide dekking: NIS-2 breidt de reikwijdte uit naar meer sectoren, waaronder energie, vervoer, gezondheidszorg, en digitale infrastructuren. Het omvat ook belangrijke aanbieders van digitale diensten zoals zoekmachines, online marktplaatsen en cloud computing diensten.
2. Hogere beveiligingsvereisten: Organisaties moeten strengere beveiligingsmaatregelen implementeren om hun netwerken en informatiesystemen te beschermen tegen cyberdreigingen.
3. Incidentenrapportage: Organisaties moeten significante incidenten snel melden aan de bevoegde autoriteiten. Dit helpt bij het snel identificeren en reageren op cyberaanvallen.
4. Samenwerking tussen lidstaten: De richtlijn bevordert de samenwerking en informatiedeling tussen de EU-lidstaten om een gecoördineerde aanpak van cyberdreigingen te waarborgen.
5. Sancties en handhaving: Lidstaten moeten strikte handhavingsmechanismen en sancties invoeren voor niet-naleving van de richtlijn.

Beide regelgeving, GDPR en NIS-2, zijn ontworpen om de digitale veiligheid en privacy binnen de EU te verbeteren, maar ze richten zich op verschillende aspecten: GDPR op gegevensbescherming en privacy, en NIS-2 op cyberbeveiliging van netwerken en informatiesystemen.