Het is inmiddels niet meer te missen. Vanaf 25 mei 2018 treedt de GDPR in werking. Deze EU-wetgeving beschermt de privacy van burgers, nu hun data zich razendsnel over de digitale wereld verspreiden. Overal in de pers verschijnen verontrustende berichten. De kans op hoge boetes trekt vooral de aandacht. Maar waar moeten organisaties nou echt rekening mee houden. Hoe onderscheid je de realiteit van de hype en hoe vertaal je de GDPR naar de dagelijkse praktijk?
Het beleid omtrent informatiebeveiliging van organisaties is grofweg gebaseerd op twee pijlers. Enerzijds de wet- en regelgeving waar je aan moet voldoen. Aan de andere kant wil je de bedrijfsrisico’s goed afdekken. Dat betreft naast storingen ook de impact van datalekken of –diefstal. En niet alleen van de eigen bedrijfsinformatie. Organisaties moeten ook zorgvuldig omgaan met persoonsgebonden informatie van medewerkers, klanten, cliënten of burgers. Vroeger was het genoeg om te zeggen dat je de privacy goed geregeld had. Met de GDPR is dat niet langer vrijblijvend.
Duidelijk faseplan
Om aan de GDPR te voldoen, moet een organisatie vier fases doorlopen: inventarisatie, risico-analyse, verantwoordelijkheden en protocollen. Het is cruciaal per proces te weten waar persoonsgebonden informatie opgeslagen is. Dat verschilt per organisatie. Een productiebedrijf heeft vaak alleen persoonlijke informatie van medewerkers. Terwijl een online webshop zoveel mogelijk klantgegevens wil verzamelen voor doelgerichte sales. Een overzicht is nodig om de proceseigenaar, meestal in de business, aan te kunnen wijzen. Deze inventarisatie biedt tegelijkertijd de kans om informatie op te schonen en onnodige opslag te voorkomen.
Risico’s in kaart brengen
De inventarisatie is het vertrekpunt voor een risicoanalyse, in de GDPR betreft dit een Privacy Impact Assessment (PIA). Deze analyse maakt duidelijk welke maatregelen genomen zijn en vooral ook waar de hiaten zitten. Zaken zoals het labelen van privacygevoelige informatie en autorisatie vergemakkelijken een zorgvuldig beleid. De implementatie van de maatregelen ligt niet bij IT, maar bij de proceseigenaar. Om een goed beeld van de gehele organisatie te hebben, schrijft de GDPR een eindverantwoordelijke of regisseur voor, een Data Protection Officer of Functionaris Gegevensbescherming.
Tot slot worden maatregelen geborgd in protocollen. De verwerkersovereenkomst is een goed voorbeeld. Daarbij is het niet alleen zaak om goede afspraken te maken, maar ook eerdere overeenkomsten met ketenpartners, zoals cloud- of SaaS-leveranciers te checken. Ondanks deze afspraken blijft een organisatie overigens wel zelf verantwoordelijk. Een ander aandachtspunt is de voorbereiding op verzoeken van gebruikers. Zij krijgen binnen de GDPR het recht om gegevens in te zien en te laten verwijderen. Dat kan veel extra werk opleveren, als hierover niet goed nagedacht is.
Tijd voor actie
Ongeacht hoe ver organisaties met GDPR zijn, zijn er zeker praktische Do’s & Don’ts die het complianceproces versnellen. Zo voorkom je dat je als organisatie in de hype blijft hangen.
Do’s
- Kom in actie – Het faseplan biedt een goed beeld van de actuele status en een houvast voor doelgerichte maatregelen.
- Bepaal of je het zelf doet of uitbesteedt – het faseplan maakt duidelijk welke onderdelen je zelf wilt oppakken en welke niet.
- Externe hulp kan efficiënter of effectiever zijn – je hoeft dan niet zelf het wiel uit te vinden en kunt kosten tegen besparingen afzetten.
- Leg alle GDPR-activiteiten vast – ook als je eind mei nog niet helemaal gereed bent, is het nuttig duidelijk te maken wat er al gebeurd is.
Don’ts
- Afwachten – de tijd dringt, benut de kans die de GDPR biedt om IT security te optimaliseren.
- Verantwoordelijkheid afschuiven – Voldoen aan de GDPR is niet volledig uit te besteden, wijs proceseigenaren aan en zorg dat ze hun verantwoordelijkheid kunnen nemen.
- Werken met onvoldoende support van de directie – De GDPR werkt door tot in de haarvaten van een organisatie, implementatie is een onbegonnen project zonder draagvlak en support.
- Maak van de GDPR geen IT-feestje – De IT-afdeling zorgt meestal dat de generieke beveiliging in orde is, maar juist de specifieke maatregelen in de business maken het verschil tussen 100 procent compliant of niet.
Meer weten over de praktische invulling van GDPR binnen jouw organisatie? Bekijk de replay van ons webinar ‘De GDPR bubble: van hype naar praktijk’ of neem contact met ons op.
