9 oktober 2017

Stappenplan GDPR: bereid je voor op de nieuwe privacywetgeving

Vrijwel iedere organisatie heeft de komende maanden het voldoen aan de nieuwe privacywetgeving GPDR/AVG op haar ‘to-do-lijstje’ staan. De ene organisatie is al verder dan de ander. En niet voor iedere organisatie is de impact even groot. Weet jij al wat de GDPR voor jouw organisatie betekent? Heb je al een stappenplan GDPR? In deze blog geef ik je tips om succesvol met de GDPR van start te kunnen gaan.

De GDPR en de impact op jouw organisatie

De GDPR bevat regels voor het verzamelen, opslaan, gebruiken en het delen van (privacy)gevoelige gegevens. Binnen ieder type organisatie bevinden zich persoonsgegevens. Denk maar aan een CRM- of HR-systeem. Maar je kunt ook persoonsgegevens verzamelen via formulieren op je website, e-mails of foto’s.

Als deze persoonsgegevens zijn van personen die wonen in de Europese Unie, dan ben je verplicht om aan de GDPR-wetgeving te voldoen. De impact van de GDPR op je organisatie is afhankelijk van het type diensten die je organisatie verleent en de mate waarin je organisatie persoonsgegevens verwerkt.

Let op: als je gegevens van EU-inwoners verzamelt, verwerkt, opslaat en/of deelt buiten de EU, dan zijn de regels toch op je organisatie van toepassing. Ook voor organisaties die zich buiten de EU bevinden en werken met persoonsgegevens van EU-inwoners, is de wet van toepassing.

Stap 1: Persoonsgegevens in kaart brengen

Ik adviseer je om te starten met een 0-meting. Sinds 1 september 2001 is de Wet bescherming persoonsgegevens van kracht. Veel organisaties hebben al op deze wet geanticipeerd. Dit betekent, dat je in de basis al een aantal zaken hebt geregeld voor de GDPR. Maar de GPDR reikt verder dan de Wet bescherming persoonsgegevens. Er is dus nog wel actie vereist!

Actie: Maak inzichtelijk in hoeverre je persoonsgegevens binnen je organisatie vastlegt, welke datastromen je kent en wat je op dit moment al hebt geregeld om te voldoen aan de Wet bescherming persoonsgegevens. Uit je 0-meting volgt een risico-inventarisatie.

Stap 2: Controleer hoe persoonsgegevens worden gebruikt

Waarschijnlijk vind je het zelf ook prettig dat jouw privacy wordt beschermd. De GDPR gaat dit vanaf 28 mei 2018 voor je reguleren. Dit betekent dat je meer controle krijgt over de manier waarop organisaties je persoonsgegevens vastleggen en gebruiken.

Organisaties kunnen verzoeken van personen ontvangen om hun gegevens in te zien, om fouten te laten corrigeren of om hun gegevens voor bepaalde doeleinden niet te gebruiken. Personen hebben volgens de GDPR de volgende rechten:

  • Inzagerecht
  • Recht op rectificatie
  • Recht op vergetelheid
  • Recht op beperking
  • Recht op dataportabiliteit
  • Recht op bezwaar

Om aan deze rechten te kunnen voldoen, moeten je processen en (IT-)systemen op orde zijn. En niet onbelangrijk, er moet toestemming zijn van personen om hun gegevens in je systemen vast te laten leggen en te gebruiken voor bepaalde doeleinden. Transparantie, een privacy impact assessment (PIA) en een gegevensbeheerplan zijn dan ook noodzakelijk.

Actie: Bepaal of jouw organisatie aan de rechten vanuit de GDPR kan voldoen. Controleer op welke manier en waarvoor je toestemming vraagt aan personen voor de verwerking van gegevens. Is het duidelijk hoe jouw organisatie de gegevens vastlegt en wat ermee gebeurt? Komt dit ook duidelijk in je privacy statement naar voren? Ga vervolgens aan de slag met het ontwikkelen en invoeren van een gegevensbeheerplan.

Stap 3: Beveiliging persoonsgegevens

Organisaties zijn zich bewust van het belang van informatiebeveiliging. Met de komst van de GDPR wordt er nog meer van je informatiebeveiligingsbeleid gevraagd op zowel technisch als organisatorisch vlak. Er wordt van je organisatie verwacht dat je de juiste maatregelen neemt om vertrouwelijke / (privacy)gevoelige gegevens te beveiligen tegen verlies, openbaarmaking of ongeautoriseerde toegang. Je moet deze gegevens dus beschermen tegen diefstal, hackers, frauduleuze medewerkers en onopzettelijk verlies.

Het maken van een risiscobeheerplan en het nemen van de juiste risicobeperkende maatregelen, zoals wachtwoordbeveiliging, encryptie, logging en training van en het creëren van bewustwording bij je medewerkers, helpen je hierbij. Dit is ook het moment om te kijken of de Cloud je organisatie meer veiligheid biedt dan lokale on-premises omgevingen.

Actie: Maak inzichtelijk hoe de informatiebeveiliging op dit moment is geregeld en wat nodig is om je informatiebeveiliging naar een hoger niveau te tillen. Het maken van een risicobeheerplan en het nemen van organisatorische en technische maatregelen zijn vaak noodzakelijk om dit te kunnen realiseren. Maak je medewerkers bewust van het informatiebeveiligingsbeleid en geef duidelijk aan wat van hen wordt verwacht. Bepaal ook of het voor je organisatie belangrijk is om bepaalde certificaten te behalen of te verlengen, zoals ISO 27001 en NEN7510.

Stap 4: Monitoring en rapportage

De GDPR zal continu om je aandacht blijven vragen. Een aantal voorbeelden. Personen kunnen hun gegevens bij je opvragen. Ook moet je continu monitoren of je informatiebeveiliging op orde is. Nieuwe medewerkers vragen om trainingen. Daarnaast moet je actief bijhouden hoe en wie persoonsgegevens binnen je organisatie verwerkt en met wie deze gegevens worden gedeeld. Mocht er toch een inbreuk zijn op de persoonsgegevens, dan moet je de regels van de meldplicht datalekken adequaat naleven.

Actie: Zorg dat je aan alle voorwaarden van de GDPR-voldoet en leg dit vast in een audittool. Stel een protocol datalekken op en maak dit protocol onderdeel van je informatiebeveiligingsbeleid. De boetes bij datalekken zijn fors; laat zien dat jouw organisatie er alles aan doet om datalekken te voorkomen.

Stappenplan GDPR: hoe nu verder?

Een stappenplan geeft je houvast. Maar de kunst is om op een pragmatische manier met de GDPR om te gaan. Onze consultants geven je op basis van een security consult inzicht in je de huidige security niveau en de gewenste maatregelen om met behulp van Microsoft solutions en eventuele Microsoft (security) training voor collega’s aan de GDPR te kunnen voldoen.

REACTIES

Nog geen reacties

Je e-mailadres wordt niet gepubliceerd

Meer inspiratie
<
>
In deze update delen we de mogelijkheden van bellen via Microsoft Teams met je. Hiermee biedt Microsoft Teams je een nog completere hub voor teamwork.Lees meer >
Skype for Business maakt de belofte van slimmer (samen)werken echt waar. In deze blog delen we de mogelijkheden met je.Lees meer >
Windows Autopilot is een stabiel hulpmiddel die de uitrol van nieuwe werkplekken vereenvoudigt. Advantive deelt de mogelijkheden en voordelen met je.Lees meer >