De GDPR komt er aan, hoe ver ben jij?

De GDPR komt er aan, hoe ver ben jij?
We weten allemaal dat de GDPR eraan komt, alleen we hebben het overdag te druk om ons er in te verdiepen en ’s avonds hebben we ook nog wel een sociaal leven dat we willen behouden. Dus is het plezierig als iemand je meeneemt en vertelt waar je moet beginnen.

Steeds meer mensen en bedrijven berichten over de GDPR op de verschillende sociale media kanalen, zoals LinkedIn. De ene specifieker dan de andere, maar wat betekent het nu voor jouw organisatie, waar moet jij op letten? Waar begin je überhaupt?

Eind september hebben we reeds gesproken over “de vijf voornaamste pijlers van de GDPR”. Kun je je het artikel nog herinneren? Je kunt hem hier nog eens teruglezen.

Wij helpen je voorbereiden

We willen er echt voor zorgen dat je zo goed als mogelijk bent voorbereid op de komst van de GDPR. Er staat ons namelijk wel het een en ander te wachten. Waaronder het volgende:

  1. Je moet exact weten welke bestanden met persoonsgegevens je beheert en in bezit hebt.
  2. Je moet weten welke rechten de personen hebben van wie je gegevens in bezit hebt.
  3. Wanneer je een product of dienst ontwikkelt, dan moet er ‘security by design’ worden toegepast. Je moet dus direct nadenken over hoe je de beveiliging van gegevens waarborgt en inbouwt.
  4. Je moet van elk aspect van de persoonsgegevens afzonderlijk kunnen aangeven waarom je deze gegevens opslaat.
  5. Projecten met een hoog risico op lekken moeten vooraf een inschatting van privacy risico’s krijgen, een zogenaamde Privacy Impact Analyse (PIA).
  6. Je mag persoonsgegevens alleen maar gebruiken voor het doel waar de informatie oorspronkelijk voor verzameld is. Er moet een ‘juridische grondslag’ zijn.
  7. De verantwoordelijke voor de gegevens moet toestemming vragen aan de eigenaar van de gegevens wanneer hij onderaannemers inschakelt (voor zover deze persoonsgegevens verwerkt). Dat geldt dus ook wanneer je 1A of een partner van 1A inschakelt om je gegevens te beheren en te bewaken.
  8. Bedrijven die buiten de EU zijn gevestigd of die buiten de EU gegevens van Europese burgers verwerken (denk aan Google, Amazon of Microsoft) moeten zich ook aan de GDPR houden.

Waar begin je?

Het eenvoudigst is om te beginnen met een inventarisatie van de gegevens die je nu binnen jouw bedrijf hebt. Je dient een antwoord te formuleren op de volgende vragen:

  • Welke typen persoonsgegevens worden er binnen onze organisatie verwerkt?
  • Wat is het doel hiervan?
  • Van welke betrokkenen verwerken wij eigenlijk persoonsgegevens? Om wie gaat het eigenlijk?
  • Hoe lang bewaren wij deze gegevens?

Met de antwoorden op deze vragen is het maken van een Privacy Impact Analyse veel eenvoudiger. Ook kun je gemakkelijker klanten te woord staan wanneer ze vragen hebben over hun gegevens.

Documenteer je bedrijfsprocessen!

Daarnaast is het belangrijk om, in ieder geval intern, de bedrijfsprocessen te hebben gedocumenteerd. Veel bedrijven laten nu security scans uitvoeren, om te achterhalen of de beveiliging wel op orde is. Echter, een van de punten welke vrijwel altijd naar voren komt en waarop getest wordt, zijn de interne processen en de documentatie hiervan.

Denk dus goed na over welke processen er intern zijn en op welk moment er risico kan worden gelopen. Bijvoorbeeld als in het volgende voorbeeld:

Een medewerker vind op de parkeerplaats voor jouw bedrijfspand een USB-stick. Hierop kan natuurlijk gevoelige informatie staan. Wat dient de medewerker te doen? Waar kan hij zich melden? Wat als hij zich niet meldt? Welke procedure wordt gevolgd?

Dat en veel meer zal intern voor iedere medewerker bekend moeten zijn en zal beschikbaar moeten worden gesteld in een handboek of digitaal in een soort intranet, waar alle medewerkers bij kunnen.

Wil je meer weten over de nieuwe wetgeving, heb je hulp nodig om processen vast te leggen of om je collega’s klaar te stomen op dat wat komen gaat? Laat het ons dan weten en wij ondersteunen je waar mogelijk.

Auteur

Wesley Vitters

Blinkt uit in het vertalen van technische vraagstukken van klanten naar menselijke oplossingen.

Facebooktwitterlinkedin

Facebooklinkedinrssyoutube