9 oktober 2017

GDPR en IT: wat betekent het voor jouw IT-omgeving?

Vanaf 25 mei 2018 is de nieuwe privacywetgeving (GDPR) van kracht. Dit vraagt om goede voorbereidingen en bewustwording binnen je organisatie. Daarnaast zijn GDPR en IT zijn onlosmakelijk verbonden. In deze blog leg ik in hoofdlijnen uit wat de GDPR is en wat dit betekent voor jouw IT-omgeving.

Wat is de GDPR?

De GDPR is een nieuwe wetgeving voor privacyrechten, -beveiliging en compliance. GDPR staat voor General Data Protection Regulation (GDPR) en geldt voor de Europese Unie. In Nederland heet deze wet Algemene Verordening Gegevensbescherming (AVG) . De AVG vervangt de huidige Nederlandse Wet Bescherming Persoonsgegevens (WBP). De GDPR geldt voor alle bedrijven ongeacht omvang of branche.

GPDR in hoofdlijnen

Wetgeving is vaak omvangrijk en complex. Om je toch een goed beeld van de GDPR te geven, heb ik deze voor je samengevat is zes basisonderdelen:

  1. Transparantie over de verwerking en het gebruik van persoonsgegevens.
  2. Het beperken van de verwerking van persoonsgegevens tot specifieke, legitieme doeleinden.
  3. Het beperken van de verzameling en opslag van persoonsgegevens tot beoogd gebruik.
  4. Individuen in staat stellen om persoonsgegevens te corrigeren of om verwijdering te vragen.
  5. De opslagduur van persoonsgegevens beperken tot zo lang als nodig is voor het beoogd gebruik.
  6. Persoonsgegevens beveiligen met geschikte beveiligingsmethoden.

Wanneer starten met het voldoen aan de GDPR?

Het voldoen aan de nieuwe regels vraagt om inspanningen van je volledige organisatie. ‘We zullen wel zien’ is niet de juiste strategie; er wordt veel van je gehele organisatie verwacht. Mijn advies is dan ook om te starten met een 0-meting / security consult, waaruit een risico-inventarisatie volgt.

Uiteraard vraagt de GDPR de komende maanden om de nodige inspanningen. Je kunt dit zelf doen of uitbesteden. Het mooie is wel, dat de GDPR je meer kan brengen dat alleen compliant zijn met de wetgeving. Het is namelijk ook een goede katalysator voor het (verder) realiseren van de digitale transformatie van je organisatie.

Stappenplan GDPR

Vaak worden er binnen je organisatie verschillende IT-omgevingen gebruikt voor het opslaan, beheren en analyseren van gegevens. Denk hierbij aan (persoonlijke) devices, applicaties, on-premises servers en/of een extern datacenter of een datacenter in de Cloud. Dit betekent dus ook dat je IT-omgevingen aan de eisen en normen van de GDPR moeten voldoen. Met de juiste tools, kennis en processen help je je organisatie om GDPR-compliant te worden.

De volgende vier stappen helpen je een goede basis te vormen voor de implementatie van GDPR binnen je organisatie:

  1. Identificeren: stel vast welke persoonsgegevens je hebt en waar ze zijn opgeslagen.
  2. Beheren: controleer hoe persoonsgegevens worden gebruikt en benaderd.
  3. Beveiligen: stel beveiligingscontroles in om kwetsbaarheden en gegevensschendingen te voorkomen, te ontdekken en erop te reageren.
  4. Rapporteren: onderneem actie op gegevensverzoeken, rapporteer inbreuk op gegevens en bewaar vereiste documentatie.

GDPR en Microsoft solutions

Microsoft biedt je de meest uitgebreide compliance-portfolio op het gebied van privacy, beveiliging, compliance en transparantie in de technologiesector. Als Microsoft partner bieden we je de gewenste ondersteuning om met behulp van de verschillende Microsoft solutions de nieuwe GDPR-richtlijnen te kunnen naleven.

Meldplicht datalekken in de GDPR

Als organisatie doe je er alles aan om datalekken te voorkomen. Datalekken kunnen al simpelweg ontstaan door het verliezen van een device of van een geprinte lijst met gevoelige informatie. Mocht dit onverhoopt toch gebeuren, is iedere organisatie vanaf 28 mei 2018 verplicht om datalekken te melden bij het meldloket datalekken van de Autoriteit Persoonsgegevens.

Belangrijk is om tijdig passende maatregelen te nemen om dit te voorkomen. Je medewerkers blijven de zwakste schakel. Bewustwording en (ICT-)training zijn dan ook een must.

Aan de slag met de GDPR en IT!

Wil je weten hoe je organisatie GDPR-compliant kunt maken? Of wil je weten waar je organisatie nu staat (0-meting / security consult) en wat je eventueel nog moet regelen? Laat het ons weten. We helpen je op een pragmatische manier om de nieuwe regels na te leven.

REACTIES

Nog geen reacties

Je e-mailadres wordt niet gepubliceerd

Meer inspiratie
<
>
Veel organisaties worstelen met het vraagstuk: waar wordt welke informatie opgeslagen, wie is de eigenaar en hoe wordt het beheerd? Lees meer >
In deze update delen we de mogelijkheden van bellen via Microsoft Teams met je. Hiermee biedt Microsoft Teams je een nog completere hub voor teamwork.Lees meer >
Steeds meer bedrijven kiezen ervoor om (volledig) in de cloud te werken. Lees in deze blog hoe je je applicaties cloud ready maakt.Lees meer >